Recopilación de SDEE: Parámetros de configuración

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describen los parámetros del origen de eventos del intercambio de eventos de dispositivos de seguridad (SDEE).

Use la opción SDEE de la pestaña Ver orígenes de eventos en la Configuración de Log Collector para agregar y mantener parámetros de configuración para la recopilación de datos de un sistema de detección de intrusiones (IDS) (por ejemplo, mensajes de Cisco Secure IDS) formateados conforme al estándar SDEE.

Para acceder a los parámetros de configuración del origen de eventos de SDEE:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Log Collector.
  3. Haga clic en AdvcdExpandBtn.PNG bajo Acciones y seleccione Ver > Configuración.
  4. En la pestaña Orígenes de evento, seleccione SDEE/Configuración en el menú desplegable.

SDEEEvSrcTb.png

La vista SDEE/Configurar de la pestaña Orígenes de evento tiene dos paneles: Categorías de evento y Orígenes.

Panel Categorías de evento

En el panel Categorías de evento, puede agregar o eliminar los tipos de orígenes de eventos correspondientes.

                         
CaracterísticaDescripción
Icon-Add.png Muestra el cuadro de diálogo Tipos de origen de evento disponibles en el cual se selecciona el tipo de origen para el cual desea definir parámetros.
Icon_Delete_sm.png Elimina los tipos de orígenes de eventos seleccionados en el panel Categorías de evento.
Checkbox.png Selecciona los tipos de orígenes de eventos.
NombreMuestra el nombre de los tipos de orígenes de eventos que ha agregado.

Cuadro de diálogo Tipos de orígenes de eventos disponibles

El cuadro de diálogo Tipos de origen de evento disponibles muestra la lista de tipos de orígenes de eventos compatibles.

                         
CaracterísticaDescripción
Checkbox.png Selecciona el tipo de origen de eventos que desea agregar.
TipoMuestra los tipos de orígenes de eventos disponibles para agregar.
CancelarCierra el cuadro de diálogo sin agregar el tipo de origen de eventos.
OKAgrega el tipo de origen de eventos seleccionado al panel Categorías de evento.

Panel Orígenes

Use este panel para revisar, agregar, modificar y eliminar orígenes de eventos.

Barra de herramientas

En la siguiente tabla se proporcionan descripciones de las opciones de la barra de herramientas.

                               
CaracterísticaDescripción
Icon-Add.png

Muestra el cuadro de diálogo Agregar origen, en el cual puede definir los parámetros para un host de firewall.

Icon_Delete_sm.png Elimina el host que seleccionó.
icon-edit.png

Abre el cuadro de diálogo Editar origen, en el cual puede editar los parámetros del origen de eventos seleccionado.

Seleccione varios orígenes de eventos y haga clic en icon-edit.png para abrir el cuadro de diálogo Edición en masa de origen, en el cual puede editar los valores de los parámetros de los orígenes de eventos seleccionados.

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

ImportSourceIcon.PNG

Abre el cuadro de diálogo Opción Adición en masa, en el cual puede importar hosts de forma masiva desde un archivo de valores separados por comas (CSV).

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

ExportSourceIcon.PNG

Crea un archivo .csv que contiene los parámetros de los hosts seleccionados.

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

Cuadro de diálogo Agregar/Modificar origen

En este cuadro de diálogo, se agrega o modifica un directorio de archivos del origen de eventos seleccionado.

                       
CaracterísticaDescripción
Parámetros de origenMuestra los parámetros completados con los valores predeterminados. Ingrese o modifique los valores apropiados.
CancelarCierra el cuadro de diálogo sin agregar un directorio de archivo ni guardar los valores de los parámetros de los orígenes de eventos seleccionados.
OKEn el cuadro de diálogo Agregar origen, agrega el directorio de archivos y sus parámetros. En el cuadro de diálogo Modificar orígenes, aplica los cambios en los valores de los parámetros del origen de eventos seleccionado.

Parámetros de Agregar/Editar origen

En la siguiente tabla se proporcionan descripciones de los parámetros del origen.

                                                                                                          
NombreDescripción
Básico
Nombre *Nombre del origen de eventos.
Nombre de usuario*Nombre de usuario para autenticarse con el origen de eventos.
Contraseña *

Contraseña para autenticarse con el origen de eventos.

Precaución: La contraseña se cifra internamente y se muestra en su forma cifrada.

Dirección *Dirección IP del origen de eventos, que es el sensor de IDS.
ActivadoSeleccione la casilla de verificación para activar la configuración del origen de eventos con el fin de iniciar la recopilación. La casilla de verificación está seleccionada de manera predeterminada.
Nombre del certificado

El nombre del certificado que las conexiones seguras deben utilizar cuando el modo de transporte sea https. Los valores válidos son los certificados que existen actualmente en su área de almacenamiento de confianza que creó usando la pestaña Configuración.

Nota: Si deja este campo en blanco, Security Analytics no ejecuta la validación.

Avanzado
PuertoNúmero de puerto. Un número de puerto válido es cualquier número dentro del rango de 1 a 65535 (el valor predeterminado es 443).
Versión de SSL

Versión de SSL a través de la cual está configurada la comunicación del origen de eventos.  Los valores válidos son:

  • tlsv1 (valor predeterminado)
  • sslv2
  • sslv3
  • sslv2
Incluir datos de evento crudo

Seleccione la casilla de verificación para incluir datos XML crudos para el evento que devuelve el origen de eventos de SDEE en los datos de eventos que se envían a Log Decoder. De forma predeterminada, la casilla de verificación no está seleccionada.

Nota: este parámetro solo se admite para datos de contenido 3.0.

Guardar archivos XML crudosSeleccione la casilla de verificación para enviar datos crudos a /var/netwitness/logcollector/runtime/sdee/saved_raw_events. De forma predeterminada, la casilla de verificación no está seleccionada.
Cuota de archivo guardadaCantidad de espacio disponible para los archivos XML guardados. El valor válido es la cantidad de megabytes, kilobytes o gigabytes de espacio que desea asignar. Security Analytics se configura de forma predeterminada en 100 megabytes.
Tipos de eventos de suscripción

(Solo se aplica cuando realiza una solicitud de suscripción inicial.)

Filtra eventos de los tipos de eventos de suscripción especificados (por ejemplo, alertas de IDS). El valor predeterminado es evIdsAlert.

Forzar suscripción

(Solo se aplica cuando realiza una solicitud de suscripción inicial.)

Seleccione la casilla de verificación si desea que el servidor de SDEE cree una suscripción incluso cuandoestá abierta la cantidad máxima de suscripciones. La casilla de verificación está seleccionada de manera predeterminada.

Nota: el servidor cierra la suscripción existente para acomodar la nueva.

Filtro de severidad de suscripción

(Solo se aplica cuando realiza una solicitud de suscripción inicial.)

A todos los eventos que genera un origen de eventos de SDEE se les asigna un nivel de severidad. Use este parámetro para filtrar los mensajes de eventos por severidad. Si deja este campo en blanco, Security Analytics recopila todos los eventos independientemente del nivel de severidad.
Por ejemplo, si desea recopilar eventos exclusivamente con niveles de gravedad media y alta, debe especificar la siguiente cadena de caracteres en este parámetro:
medium+high

Compensación de tiempo de suscripción

(Solo se aplica cuando realiza una solicitud de suscripción inicial.)

Valor predeterminado (tiempo de suscripción activado). Este parámetro le permite especificar desde cuánto tiempo hacia atrás (en segundos) comenzar a extraer eventos.

Intervalo de sondeo

El intervalo (cantidad de tiempo en segundos) entre cada encuesta. El valor predeterminado es 180.

Por ejemplo, si especifica 180, el recopilador programa un sondeo del origen de eventos cada 180 segundos. Si aún se está realizando el ciclo de sondeo anterior, el recopilador espera a que ese ciclo termine. Si está sondeando una gran cantidad de orígenes de eventos, es posible que el sondeo tarde más de 180 segundos en comenzar porque los subprocesos están ocupados.

Máximo de eventos de encuestaLa cantidad máxima de eventos por ciclo de sondeo (cuántos eventos se recopilan por ciclo de sondeo).
Tiempo de espera agotado de consultaValor (en segundos) que se transmite al origen de eventos de SDEE y que indica al servidor cuánto tiempo debe esperar cuando no hay datos.
Parámetros de URLAnexa parámetros a la cadena de URL (por ejemplo, /cgi-bin/sdee-server.cgi).
Ruta de URLRuta de URL del servidor de SDEE.
Protocolo de URL

Los valores válidos son:

  • http
  • https
Depurar

Precaución: Active la depuración (defina este parámetro en "Activado" o "Detallado") solamente si tiene un problema con un origen de eventos y necesita investigarlo. La activación de la depuración afectará negativamente el rendimiento del Log Collector.

Activa o desactiva el registro de depuración del origen de eventos. Los valores válidos son:
  • Apagado = (predeterminado) desactivado
  • Encendido = activado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.
Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos.
Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar).
El registro de depuración es detallado, por lo que se debe limitar la cantidad de orígenes de eventos para minimizar el impacto en el rendimiento.

Tareas

Paso 1. Configurar orígenes de eventos de SDEE en Security Analytics

You are here
Table of Contents > Guía de configuración de la recopilación de SDEE > Referencia: Parámetros de configuración del origen de eventos de SDEE

Attachments

    Outcomes