Decoder: Mapear una dirección IP a un tipo de servicio

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describe el procedimiento para mapear una dirección IP a un tipo de servicio para análisis de registros.

El Log Collector describe el tipo de origen de eventos por mensaje. Si no se usa el analizador correcto para el origen de eventos específico, los mensajes que son comunes entre los tipos de orígenes de eventos se clasifican en forma equívoca. Los mensajes mal identificados no completarán reglas y alertas de servicio, y los informes no tendrán información adecuada. Además, si hay múltiples servicios asociados con una dirección IP, puede ser difícil para los analizadores identificar el servicio exacto desde donde se generó el registro. 

Si mapea una dirección IP a sus servicios, el Log Decoder puede identificar el servicio desde donde se genera el registro. Cuando llegan los mensajes a Log Decoder desde un servicio mapeado, se cargan los analizadores asignados para buscar coincidencias de eventos. 

Puede asignar tipos de servicio a IPV4, IPV6 o el valor de nombre de host del origen de eventos. También puede asignar múltiples tipos de servicio a una única dirección IP. Además, puede usar CollectorID cuando se envían distintos tipos de servicio con la misma dirección IP a los distintos recopiladores.

Procedimiento

Para mapear una dirección IP a un tipo de servicio, realice lo siguiente:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la vista Servicios, seleccione un Log Decoder y, en la columna Acciones, elija Menú Acciones recortado > Ver > Explorar.
  3. Vaya al nodo /decoder/parsers, haga clic con el botón secundario en parsers y seleccione Propiedades.
  4. En la vista Propiedades, especifique el comando ipdevice con los siguientes parámetros:
    op=edit entries="+/-ipaddress=service”reload=true (por ejemplo, op=edit entries="+10.100.201.300=ciscoasa" reload=true)
  5. Haga clic en Enviar.
    Parser_Properties_View.png

Comando IPdevice

En el comando ipdevice, hay dos operaciones disponibles:

  • Editar: puede usar esta operación para agregar y eliminar entradas en el mapa de ipdevice.
    • Para agregar una entrada, especifique:
      +<IP value> = <service type>
    • Para eliminar una entrada, especifique:
      -<IP value> = <service type>
  • Descripción: esta operación devuelve los valores que están actualmente en el mapa de ipdevice.

Comando Reload

Debe volver a cargar el analizador después de editar el mapa de ipdevice mediante el comando reload=true. Sin embargo, esto no se debe hacer después de cada entrada, sino que solo al final de la tarea. También puede reemplazar una configuración existente mediante la edición del valor. El nuevo valor entra en vigencia después de volver a cargar el analizador.

Resultado

Security Analytics mapea la dirección IP a los tipos de servicio en el Log Decoder.

Ejemplos

Los siguientes ejemplos proporcionan distintas instancias para mapear direcciones IP a tipos de servicios:

  • Si desea mapear dos entradas distintas con distintos valores IPV4 y tipos de servicios, ingrese el siguiente parámetro en el comando ipdevice y haga clic en Enviar.
    op=edit entries=”+10.5.245.9=ciscoasa +10.5.245.45=vmware_vcloud”
  • Si desea eliminar una entrada para un solo valor IPV4 y tipo de servicio, ingrese el siguiente parámetro en el comando ipdevice y haga clic en Enviar.
    op=edit entries=”-10.5.245.9=ciscoasa” 
  • Si desea crear una sola entrada para un valor IPV6 y tipo de servicio, ingrese el siguiente parámetro en el comando ipdevice y haga clic en Enviar.
    op=edit entries=”+ 2001:0db8:85a3:0000:0000:8a2e:0370:7353=vmware_esx_esxi"
  • Si desea crear una sola entrada para un solo valor IPV4 que tiene dos tipos de servicios y enviar cada tipo de servicio a distintos colectores, ingrese el siguiente parámetro en el comando ipdevice y haga clic en Enviar.
    op=edit entries="+10.168.0.2,nwappliance20819=rhlinux +10.168.0.2,nwappliance3014=apache"
  • Si desea crear una entrada para un solo nombre de host con dos tipos de servicios distintos y cargar el analizador, ingrese el siguiente parámetro en el comando ipdevice y haga clic en Enviar.
    op=edit entries=”+RS214Server-2=rhlinux,apache” reload=true
You are here
Table of Contents > Procedimientos adicionales > Mapear una dirección IP a un tipo de servicio

Attachments

    Outcomes