Configuración de Incident Management: Paso 3. Configurar orígenes de alertas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Este procedimiento es necesario para que las alertas de los orígenes de alertas se muestren en Incident Management. Tiene la opción de activar o desactivar las alertas que se completan en la vista Incident Management. De forma predeterminada, esta opción está inhabilitada en Reporting Engine, Malware Analytics y ECAT, y solo está habilitada en Event Stream Analysis. Por lo tanto, cuando instala el servicio Incident Management, debe habilitar esta opción en Reporting Engine, Malware Analytics y ECAT para completar las alertas correspondientes en la vista Incident Management.

Requisitos previos

Garantice que:

  • El servicio Incident Management está instalado y en ejecución en Security Analytics.
  • Hay una base de datos configurada para el servicio Incident Management.
  • ECAT está instalado y en ejecución.

Configurar Reporting Engine para mostrar alertas que activó Reporting Engine en la vista Incident Management

De forma predeterminada, las alertas de Reporting Engine no se muestran en la vista Incident Management. Para mostrar y ver las alertas de Reporting Engine, debe habilitar las alertas de Incident Management en la vista Configuración de servicios > pestaña General para Reporting Engine.

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione el servicio Reporting Engine y elija  > Ver > Configuración.
    La vista Configuración de servicios se muestra con la pestaña General de Reporting Engine abierta.
  3. Seleccione Configuración del sistema.
  4. Seleccione la casilla de verificación Reenviar alertas a IM.
    Reporting Engine ahora reenvía las alertas a Incident Management.

Para obtener detalles acerca de los parámetros de la pestaña General, consulte el tema Pestaña General de Reporting Engine de la Guía de configuración de Reporting Engine.

Configurar Malware Analytics para ver las alertas que activó Malware Analytics en la vista Incident Management

La visualización de alertas de Incident Management es una función de auditoría en Malware Analysis. El procedimiento para habilitar alertas de IM se describe en el tema (Opcional) Configurar la auditoría en un host de Malware Analysis de la Guía de configuración de Malware Analysis.

Configurar ECAT para ver las alertas que activó ECAT en la vista Incident Management

Este procedimiento se requiere para integrar ECAT con Security Analytics de modo que el componente Incident Management de Security Analytics recopile las alertas de ECAT y las muestre en la vista Incidente > Alertas.

Nota: En el tema Integración de RSA ECAT de la Guía de integración de RSA ECAT se proporciona una descripción general de las funcionalidades de integración de ECAT en Security Analytics, así como procedimientos detallados para configurar la integración de ECAT con Security Analytics a través del bus de mensajes.

En el siguiente diagrama se representa el flujo de alertas de ECAT para la línea de espera de Incident Management de Security Analytics y su visualización en la vista Incidente > Alertas.

                       ECAT_integration.png

Configurar ECAT para mostrar alertas de ECAT

Para configurar ECAT de manera que muestre alertas de ECAT en la interfaz del usuario de Security Analytics:

  1. En la interfaz del usuario de ECAT, haga clic en Configurar > Monitoreo y componentes externos.

    Se muestra el cuadro de diálogo Monitoreo y componentes externos.

  2. Haga clic con el botón secundario en cualquier lugar del cuadro de diálogo y seleccione Agregar componente.

    Se muestra el cuadro de diálogo Agregar componente.

  3. Proporcione la siguiente información:

    • Seleccione intermediador de IM como el Tipo de componente en las opciones del menú desplegable.
    • Escriba un nombre de usuario para identificar al intermediador de IM.
    • Escriba la Dirección IP o el DNS del host del intermediador de IM.
    • Escriba el Número de puerto. El puerto predeterminado es 5671.
  4. Haga clic en Guardar y cerrar para cerrar todos los cuadros de diálogo.
  5. Para configurar SSL para las alertas de IM, realice los siguientes pasos en ECAT con el fin de establecer las comunicaciones SSL:

    1. En el servidor de consola primario de ECAT, exporte el certificado de CA de ECAT al formato cer (X.509 con codificación Base 64) desde el área de almacenamiento de certificados personales de la computadora local (sin seleccionar la clave privada).
    2. En el servidor de consola primario de ECAT, genere un certificado de cliente para ECAT mediante el certificado de CA de ECAT. (El nombre de CN se debe configurar en ecat).

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "EcatCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

    3. En el servidor de la consola primaria de ECAT, tome nota de la huella digital del certificado de cliente generado en el paso b. Ingrese el valor de la huella digital del certificado de cliente en la sección IMBrokerClientCertificateThumbprint del archivo ConsoleServer.Exe.Config como se muestra.

      <add key="IMBrokerClientCertificateThumbprint" value="?896df0efacf0c976d955d5300ba0073383c83abc"/>

    4. En el servidor de SA, agregue el contenido del archivo de certificado de CA de ECAT en formato .cer (del paso a) a /etc/puppet/modules/rabbitmq/files/truststore.pem.
    5. En el servidor de SA, ejecute puppet agent como se muestra (o espere 30 minutos hasta que se ejecute el servidor de SA).

      puppet agent -t

    6. En el servidor de consola primario de ECAT, importe el archivo /var/lib/puppet/ssl/certs/ca.pem desde el servidor de SA al almacén de autoridades de certificación raíz de confianza. Con esto se garantizará que ECAT, como cliente, pueda confiar en el certificado de servidor de IM.
You are here
Table of Contents > Configurar Incident Management > Paso 3. Configurar orígenes de alertas para mostrar alertas en Incident Management

Attachments

    Outcomes