Live: Comentarios y uso compartido de datos de Security Analytics

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se presentan las funciones de comentarios y uso compartido de datos de Security Analytics.

La configuración de estas funciones está disponible en Administration >Sistema > vista Servicios de Live, en la sección Servicios adicionales de Live.

Servicios adicionales de Live

La participación en los servicios adicionales de Live se configura en Administration > Sistema > vista Servicios de Live.

Live Feedback

Live Feedback está diseñado para ayudar a mejorar RSA Security Analytics.

Una vez que se configura una cuenta de Live, los datos de uso se comparten con RSA. Los datos se encuentran protegidos conforme al acuerdo de licencia correspondiente. Los datos de uso del cliente, como métricas de uso y la versión actual de los hosts de Security Analytics, se comparten automáticamente con RSA cuando el sistema se conecta a Internet.

Antes de que los datos se envíen a RSA, se elimina toda la información de identificación personal. Por lo tanto, solo los datos de uso anónimo se transfieren a RSA.

Live Connect Threat Data Sharing (beta)

RSA Live Threat Data Sharing es un servicio de recopilación automatizada de datos. Su objetivo es compartir datos de inteligencia de amenazas potenciales en el servicio de nube de RSA Live Connect con fines de análisis. Se puede recopilar cualquier tipo de metadatos según la implementación, la configuración, la actividad de red y la interacción de los analistas con Security Analytics.

De manera predeterminada, este servicio está activado. Para cambiar la configuración, vaya a Administration > Sistema > vista Servicios de Live (o póngase en contacto con atención al cliente para que no participar).

Security Analytics captura localmente los metadatos, los cuales se envían de manera segura y anónima al servicio de nube de RSA Live. El servicio de nube de RSA Live almacena esta información junto con otros datos recopilados en la comunidad RSA Security Analytics a fin de mejorar los servicios de inteligencia de amenazas de RSA Live.

Nota: Todos los datos recopilados localmente quedan inidentificables y protegidos, y se envían de manera segura y anónima al servicio de nube de RSA Live Connect, donde se almacenan en un ambiente seguro.

Descripción

Live Connect Threat Data Sharing se desarrolló como una plataforma de uso compartido de inteligencia de amenazas basada en la comunidad.

Tiene las siguientes características y objetivos:

  • Colaboración abierta: la comunidad de RSA contribuye a la recopilación de inteligencia completa
  • Recopilar y analizar de forma centralizada los datos de la comunidad de RSA
  • Reducir el tiempo del ciclo de inteligencia de días a minutos

Algunos detalles que se deben considerar son los siguientes:

  • Se aprovecha la actividad de investigación de los analistas
  • Se recopilan metadatos, como direcciones IP y nombres de dominio
  • Se realiza un análisis exhaustivo de los datos: Tendencias, correlación y detección de anomalías
  • Se debe recordar que esta función se encuentra en versión beta

Participación

La participación del cliente es opcional. Tras la instalación inicial o una actualización a Security Analytics 10.6, se muestra una pantalla de confirmación. De forma predeterminada, se le incorpora al programa, pero puede salir de él en cualquier momento.

Autenticación en la nube

La autenticación para el programa se realiza en la interfaz del usuario de Security Analytics. Aquí debe configurar la cuenta de Live en la sección Servicios de Live.

Configuración

Para ver o cambiar la configuración de Live Connect Threat Data Sharing, en el menú de Security Analytics, seleccione Administración > Sistema > Servicios de Live. Seleccione o deseleccione la casilla Habilitar para participar o dejar de participar en el programa.

Recopilación de datos

Los datos se recopilan de la siguiente manera:

  • Atribución de los datos: Anónimo
  • Origen de datos: Subconjunto de claves de metadatos y valores de metadatos de vistas de las páginas de un analista de Security Analytics desde registros de consulta de Security Analytics Core.
  • Proceso de recopilación de registros de consulta:

    • Periodicidad: Modo de lotes cada 24 horas (04:00 a 06:00 h UTC).
    • Recopilación de registros: El servidor de Security Analytics recopila entradas de registro de dispositivos de SA Core de las últimas 24 horas.
    • Entradas de registro: Solo se recopilan llamadas de API de valor de SDK y consulta de SDK que contienen una cláusula where.
    • Análisis de atributos de registro: En cada entrada debe estar presente uno de los siguientes indicadores de claves de metadatos: ip.src, ip.dst, ip.addr, device.ip, alias.ip, alias.host, paddr, sessionid, domain.dst o domain.src. Si es así, se recopilarán las claves y los valores de metadatos de la entrada.

    Nota: Una vez que se cumplen los criterios anteriores, Security Analytics envía todas las claves y los valores de metadatos de la consulta a la nube, no solo a los indicadores de claves de metadatos.

El informe de registro se envía en formato JSON a través de SSL. Incluye:

  • Registros de fecha y hora
  • Nombre de usuario de Live CMS (sha256)
  • ID del servidor de licencia de Security Analytics (sha256)
  • Lista de ID de terminal de SA (sha256)
  • Valores de metadatos recopilados (MD5 y SHA256 con hash)

Ejemplo

En esta sección se muestran las entradas de un registro y, a continuación, la sección correspondiente de datos extrapolados.

Sección de un archivo de registro:

User admin (session 204298, 10.4.50.60:57454) has issued values (channel 205237) (thread 2332): fieldName=filter id1=1 id2=23138902 threshold=100000 size=20 flags=sessions,sort-total,order-descending,ignore-cache where="(alias.host = 'mail.google.com') && (ip.src = 161.253.31.130) && time=\"2015-12-07 18:08:00\"-\"2015-12-07 21:07:59\"“

Extrapolación de datos con aplicación de hash:

Solución de problemas

En esta sección se realiza un análisis breve de la solución de problemas de Live Connect Threat Data Sharing.

Ejemplo de recuperación de registros de consulta

Para recuperar una muestra de datos de inteligencia de amenazas enviados a Live Connect, debe formar una dirección URL mediante la configuración de los siguientes parámetros:

  • sendReport: El valor es true o false: true para enviar este informe al servidor de Live Connect. Con false, el informe solo se crea para su visualización. El valor se configura de manera predeterminada en false.
  • hashValues: El valor es true o false: true para aplicar hash a los valores, como md5/sha256. Con false, los valores se muestran en texto no cifrado; solo se debe usar para su visualización manual. Se configura de manera predeterminada en false.
  • startDate/endDate: Fechas que corresponden a los límites de tiempo de las entradas del registro. Formato: AAAA-MM-DD HH:mm:ss

El siguiente es un ejemplo de la dirección URL que se usará para recuperar registros de consulta:

https://<server>/admin/liveconnect/force_aggregation?startDate=2016-01-18%2000:00:00&endDate=2016-01-19%2010:10:00&sendReport=false&hashValues=true

Registro de sistema: Depurar

Puede acceder a cierta información de depuración de la siguiente manera.

  1. En el menú de Security Analytics, seleccione Administration > Sistema > Registro de sistema.
  2. Seleccione la pestaña Configuración.
  3. En la sección Configuración de paquetes, seleccione com > netwitness > platform > server > liveconnect > service (DEBUG).

You are here
Table of Contents > Referencias > Comentarios y uso compartido de datos de Security Analytics

Attachments

    Outcomes