Decoder: Habilitar el mapeo de orígenes de eventos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica a los administradores cómo habilitar el mapeo de orígenes de eventos en un Log Decoder.

El Log Collector descubre el tipo de origen de eventos por mensaje. Si no se identifica el analizador correcto para el origen de eventos, los mensajes que son comunes a los mismos tipos de orígenes de eventos se clasifican de forma equívoca. Los mensajes clasificados incorrectamente no completan las reglas y las alertas de orígenes de eventos y los informes no tienen los datos correctos. Si hay múltiples tipos de orígenes de eventos asociados con una dirección IP, es difícil para los analizadores identificar el origen de eventos exacto desde el cual se generan los registros.

Si mapea una dirección IP a su tipo de origen de eventos, el Log Decoder puede identificar el origen de eventos desde el cual se genera el registro. Cuando se distribuyen mensajes al Log Decoder desde un origen de eventos mapeado, solo se consultan los analizadores asignados para encontrar coincidencias de eventos.

Puede asignar tipos de orígenes de eventos a IPV4, IPV6 o al valor de nombre de host del origen de eventos. También puede asignar múltiples tipos de orígenes de eventos a una única dirección IP. También puede usar el ID de Log Collector cuando se envían distintos tipos de orígenes de eventos con la misma dirección IP a los distintos Log Collectors.

Procedimientos

Habilitar un mapeo de dirección IP a origen de eventos

Para habilitar un mapeo de dirección IP a origen de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Sistema > Mapeos de analizadores de registros.
  2. Seleccione un Log Decoder y elija Menú Acciones recortado Ver > Configuración.
    La pestaña Mapeo de analizadores se muestra en la vista Configuración de servicios.

Actualizar un mapeo de dirección IP a origen de eventos

Para actualizar un mapeo de dirección IP a origen de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un Log Decoder y, en la columna Acciones, elija Menú Acciones recortado > Ver > Configuración.
    Se muestra la vista Configuración de servicios.
  3. Seleccione la pestaña Mapeo de analizadores.

  4. Haga clic en ic-add.png.
    Se muestra el Editor de mapeos.
  5. Es posible definir cualquiera de los siguientes mapeos:

Un host y un tipo de origen de eventos
- En el campo Host, ingrese el nombre de host.  
  Por ejemplo:10.0.0.1
- En el campo Orígenes de evento, ingrese el tipo de origen de eventos.
  Por ejemplo:apache
Un host y uno o más tipos de orígenes de eventos
- En el campo Host, ingrese el nombre de host.
  Por ejemplo: 10.0.0.1 
- En el campo Orígenes de evento, ingrese el tipo de origen de eventos. 
  Por ejemplo:apache,sap,aix
Un Host, un Log Collector y un tipo de origen de eventos
- En el campo Host, ingrese el nombre de host y el ID de Log Collector.  
  Por ejemplo: 10.0.0.1,LC-1.
- En el campo Orígenes de evento, ingrese el tipo de origen de eventos.
  Por ejemplo: apache
Un Host, un ID de Log Collector y uno o más tipos de orígenes de eventos
- En el campo Host, ingrese el nombre de host y el ID de Log Collector.
  Por ejemplo: 10.0.0.1,LC-1
- En el campo Orígenes de evento, ingrese el tipo de origen de eventos.
  Por ejemplo: apache,sap,aix

Nota: Los tipos de orígenes de eventos se procesan en el orden en que se ingresan los analizadores y, si uno o más analizadores coinciden con un registro, se consulta el primer analizador de la lista. El host/IP puede ser IPv4, IPv6 o nombre de host.

  1. Haga clic en Aceptar.
    El mapeo de analizadores se agrega.
  1. Para aceptar la selección de mapeos de analizadores, haga clic en Aplicar.
  2. Para cancelar la selección de mapeos de analizadores, haga clic en Revertir.

Leer mapeos de dirección IP a tipo de origen de eventos

Para leer mapeos de dirección IP a tipo de origen de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Log Decoder.
  3. En la columna Acciones, seleccione Menú Acciones recortado > Ver > Configuración.
    Se muestra la vista Configuración de servicios.
  4. Seleccione la pestaña Mapeo de analizadores.
    Se muestran los mapeos.

Editar un mapeo de dirección IP a tipo de origen de eventos

Para editar un mapeo de dirección IP a tipo de origen de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Log Decoder.
  3. En la columna Acciones, seleccione Menú Acciones recortado > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  4. Seleccione la pestaña Mapeos de analizadores.
  5. Seleccione el mapeo que desea editar.
  6. Haga clic enic-edit.png
  7. En el campo Orígenes de evento, modifique los orígenes de eventos.
  8. Haga clic en Aceptar para aceptar el origen de eventos editado.
  9. Para aceptar el origen de eventos editado, haga clic en Aceptar.
  10. Para cancelar los cambios, haga clic en Cancelar.

Eliminar un mapeo de dirección IP a tipo de origen de eventos

Para eliminar un mapeo de dirección IP a tipo de origen de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Log Decoder.
  3. En la columna Acciones, seleccione Menú Acciones recortado > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  4. Seleccione la pestaña Mapeos de analizadores.
  5. Seleccione el mapeo que desea eliminar.
  6. Haga clic en ic-delete.png.
    El mapeo se elimina.
  7. Para cancelar los cambios, haga clic en Cancelar.

Ordenar el nombre de host o el tipo de origen de eventos

Para ordenar el nombre de host o el tipo de origen de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Log Decoder.
  3. En la columna Acciones, seleccione Menú Acciones recortado > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  4. Seleccione la pestaña Mapeos de analizadores.
  5. Para ordenar una columna, haga clic en su encabezado.
    Los tipos de origen de eventos se aplican para la dirección IP seleccionada. Los registros se analizan en los analizadores en el orden en que aparecen.

Importar entradas de mapeo de dirección IP a origen de eventos

Para importar entradas de mapeo de dirección IP a origen de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Log Decoder.
  3. En la columna Acciones, seleccione Menú Acciones recortado > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  4. Seleccione la pestaña Mapeos de analizadores.
  5. Seleccione Acciones > Importar.
    Se muestra el cuadro de diálogo Importar.
  6. Haga clic en ic-add.png.
  7. Seleccione el archivo que desea importar y haga clic en Aceptar.
  8. Para cargar el analizador, haga clic en Importar.

Nota: Solo puede importar un archivo .csv por vez.

Exportar entradas de mapeo de dirección IP a origen de eventos

Para exportar entradas de mapeo de dirección IP a origen de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Log Decoder.
  3. En la columna Acciones, seleccione Menú Acciones recortado > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  4. Seleccione la pestaña Mapeos de analizadores.
  5. Seleccione los mapeos que desea exportar.
  6. Seleccione Acciones > Exportar> Selección.
    Se muestra el cuadro de diálogo Selección de exportación.
  7. Ingrese el nombre de archivo y haga clic en Exportar.

Buscar entradas de mapeo de dirección IP a origen de eventos

Para buscar entradas de mapeo de dirección IP a origen de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Log Decoder.
  3. En la columna Acciones, seleccione Menú Acciones recortado > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  4. Seleccione la pestaña Mapeos de analizadores.
  5. En la barra de herramientas Mapeo de analizadores, ingrese el host o el origen de eventos en el campo Filtro.
  6. Haga clic en Intro.
    Se muestran los hosts o los orígenes de eventos que coinciden con los nombres ingresados en el campo Filtro.
You are here
Table of Contents > Procedimientos adicionales > Habilitar el mapeo de orígenes de eventos

Attachments

    Outcomes