ESM: Importar orígenes de eventos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Puede importar atributos de orígenes de eventos desde un archivo con formato CSV. Para importar información desde una base de datos de administración de configuración (CMDB), una hoja de cálculo u otro tipo de archivo, primero convierta o guarde la información en un archivo CSV.

Nota: Los siguientes atributos de identificación se manejan de manera especial: IP, IPv6, Nombre del host, Tipo de origen de evento, Log Collector y Log Decoder. Si importa un origen de evento que incluye un valor distinto para cualquiera de estos campos (en comparación con el valor de Security Analytics), el valor original de Security Analytics no se sobrescribirá.

Los atributos importados se asocian con el origen de eventos con el cual hubo coincidencia y están disponibles para su uso en reglas de creación de grupos de orígenes de eventos.

RSA Security Analytics considera el archivo de importación como el registro completo correcto. Esta suposición conlleva los siguientes comportamientos relacionados con la importación de atributos de orígenes de eventos:

  • De manera predeterminada, cuando importa atributos, el sistema actualiza únicamente los atributos de los orígenes de eventos existentes.
  • Si el origen de eventos existe en el archivo de importación, pero no en Security Analytics, los atributos de ese origen de evento se omiten. Es decir, Security Analytics no crea un nuevo origen de eventos para estos atributos.
  • Si el origen de eventos existe en el archivo de importación y en Security Analytics, los valores de ese origen de eventos se sobrescriben.
  • Si un atributo está en blanco en el archivo de importación, este borra el atributo correspondiente en Security Analytics.
  • Si un atributo no se especifica en el archivo de importación, el atributo correspondiente se omite en Security Analytics (es decir, no se borra).

Nota: hay una diferencia entre un atributo en blanco y uno que no se especifica. Si un atributo se especifica, pero en blanco, la suposición es que está en blanco a propósito y Security Analytics lo borra para el origen de eventos correspondiente. Sin embargo, si un atributo no se especifica, se da por hecho que no se espera ningún cambio.

Los comportamientos anteriores son los predeterminados. Es posible cambiarlos como se especifica en el siguiente procedimiento.

Importar atributos de orígenes de eventos

Para importar atributos de orígenes de eventos desde un archivo:

  1. En el menú de Security Analytics, seleccione Administration > Orígenes de evento.
  2. Seleccione la pestaña Administrar.

    Se muestra la pestaña Administrar de orígenes de eventos.

    esm_manage.png

  3. En el menú Importar/Exportar de la barra de herramientas (esm_impExIcon.png), seleccione Importar (esm_import.png).

    Se muestra el cuadro de diálogo Importar orígenes de eventos.

    esm_import02.png

  4. Navegue al archivo de importación y seleccione las casillas correspondientes:

    • Valor predeterminado: el comportamiento predeterminado, como se describió anteriormente.
    • Solo agregar: Importa un atributo solo si el campo correspondiente en Security Analytics está en blanco. Por lo tanto, los valores existentes no se sobrescriben.
    • No borrar valores: No borra valores de atributos en Security Analytics para los elementos del archivo de importación que están en blanco.
    • Agregar orígenes desconocidos: agrega nuevos orígenes de eventos en función de los elementos del archivo de importación.

    Nota: puede seleccionar varias opciones.

  5. Haga clic en Importar.
  6. Haga clic en en el cuadro de diálogo de confirmación para realizar la importación.

Solución de problemas del archivo de importación

Si el archivo de importación no tiene el formato correcto o si le falta información requerida, se muestra un error y el archivo no se importa.

Revise lo siguiente:

  • Si está agregando orígenes desconocidos, cada línea del archivo debe contener una combinación de los atributos requeridos:
    • IP o IPv6, Nombre de host y
    • Tipo de origen de evento
  • La primera línea del archivo debe contener nombres de encabezado y estos deben coincidir con los nombres en Security Analytics. Para obtener una lista de nombres de columna correctos, puede exportar un único origen de eventos. Examine el archivo CSV exportado: la primera fila del archivo contiene el conjunto correcto de atributo/nombres de columna.
You are here
Table of Contents > Administrar grupos de orígenes de eventos > Importar orígenes de eventos

Attachments

    Outcomes