Recopilación de registros: Conceptos básicos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica cómo funciona y cómo se implementa la recopilación de registros, se señalan los protocolos de recopilación compatibles, se describe la implementación básica y se ilustra la configuración y la implementación de la recopilación de registros.

Cómo funciona la recopilación de registros

El servicio Log Collector recopila registros de orígenes de eventos en todo el ambiente de TI de una organización y los reenvía a otros componentes de Security Analytics. Los registros y el contenido descriptivo se almacenan como metadatos para utilizarlos en investigaciones e informes.

Los orígenes de eventos son los recursos en la red, como servidores, switches, enrutadores, arreglos de almacenamiento, sistemas operativos y firewalls. En la mayoría de los casos, el equipo de tecnología de la información (TI) configura orígenes de eventos para enviar sus registros al servicio Log Collector y el administrador de Security Analytics configura este servicio para sondear orígenes de eventos y recuperar sus registros. En consecuencia, Log Collector recibe todos los registros en su forma original.

Qué protocolos de recopilación son compatibles

El servicio Log Collector es compatible con los siguientes protocolos de recopilación:

                                                     
Protocolo de recopilaciónDescripción
AWS

Recopila eventos desde Amazon Web Services (AWS) CloudTrail.  Específicamente, CloudTrail registra llamadas API de AWS para una cuenta.
Para obtener más información, consulte Conceptos básicos en la Guía de configuración de la recopilación de AWS (CloudTrail).

Para obtener información sobre la configuración y la implementación de un Remote Log Collector en un ambiente AWS, consulte Paso 1: Iniciar sesión en AWS y crear una instancia en la guía Configurar e implementar un Remote Log Collector en AWS.

Para obtener información sobre la implementación de un Remote Log Collector en un ambiente Azure, consulte Paso 1: Iniciar sesión en Azure y crear una máquina virtual en la guía Implementar Remote Log Collector en Azure.

Punto de comprobación

Recopila eventos desde orígenes de eventos de punto de control mediante OPSEC LEA.  OPSEC LEA es la API de exportación de registros de seguridad de operaciones de punto de comprobación que facilita la extracción de registros.
Para obtener más información, consulte Conceptos básicos en la Guía de configuración de la recopilación de punto de control.

Archivo

Recopila eventos desde archivos de registro. Los orígenes de eventos generan archivos de registro que se transfieren al servicio Log Collector a través de un método de transferencia segura de archivos.
Para obtener más información, consulte Conceptos básicos en la Guía de configuración del protocolo de recopilación de archivos.

Flujo de red

Acepta eventos de Netflow v5 y Netflow v9. 
Para obtener más información, consulte Conceptos básicos en la Guía de configuración de la recopilación de Netflow.

ODBCRecopila eventos de orígenes de eventos que almacenan datos de auditoría en una base de datos con el uso de la interfaz de software Open Database Connectivity (ODBC).
Para obtener más información, consulte Conceptos básicos en la Guía de configuración de la recopilación de ODBC.
SDEE

Recopila mensajes de un sistema de detección de intrusiones (IDS) y de un servicio de prevención de intrusiones (IPS).
Para obtener más información, consulte Conceptos básicos en la Guía de configuración de la recopilación de SDEE.

SNMP TrapAcepta SNMP traps.
Para obtener más información, consulte Conceptos básicos en la Guía de configuración de la recopilación de SNMP.
Syslog

Acepta mensajes de orígenes de eventos que emiten mensajes de syslog.

VMwareRecopila eventos de una infraestructura virtual de VMware.
Para obtener más información, consulte Conceptos básicos en la Guía de configuración de la recopilación de VMware.
Windows

Recopila eventos de máquinas Windows compatibles con el modelo de Microsoft Windows. Windows 6.0 es una plataforma de rastreo y registro de eventos que se incluye en el sistema operativo a partir de Microsoft Windows Vista y Windows Server 2008.

Para obtener más información, consulte Conceptos básicos en la Guía de configuración de la recopilación de Windows.

Windows existente

Recopila eventos de:

  • Versiones de Windows más antiguas, como Windows 2000 y Windows 2003, y recopila de orígenes de eventos de Windows ya configurados para la recopilación enVision sin necesidad de reconfigurarlos.
  • Origen de eventos del dispositivo ONTAP de NetApp, de modo que ahora puede recopilar y analizar archivos evt de NetApp.
  • Para obtener más información, consulte Conceptos básicos en la Guía de configuración de la recopilación de Windows heredado y NetApp.

Nota: El recopilador de Windows heredado de Security Analytics se instala en un servidor Windows 2008 R2 SP1 de 64 bits físico o virtual mediante el archivo SALegacyWindowsCollector-version-number.exe. Consulte la Guía de configuración de la recopilación de Windows para obtener instrucciones detalladas sobre cómo implementar el recopilador de Windows heredado.

Este tema describe las tareas básicas que debe realizar para comenzar a recopilar eventos mediante el servicio Security Analytics Log Collector. Consulte la Guía de implementación de la recopilación de registros para obtener instrucciones sobre cómo configurar implementaciones más complejas.

Implementación básica

Para implementar la recopilación de registros, debe:

  1. Configurar un Log Collector localmente en un Log Decoder (es decir un Local Collector). También puede configurar recopiladores de registros en tantas ubicaciones remotas (es decir Remote Collectors) como requiera una empresa.
  2. Configurar:

    • La recopilación de registros de Security Analytics para recopilar eventos desde orígenes de eventos
    • Orígenes de eventos para enviar eventos al servicio de recopilación de registros de Security Analytics.

Funciones de los Local y Remote Collectors

Un Local Collector (LC) es un servicio Log Collector que se ejecuta en un host de Log Decoder.  En un escenario de implementación local, el servicio Log Collector se implementa en un host de Log Decoder con el servicio Log Decoder. La recopilación de registros de varios protocolos, como Windows, ODBC, etc., se ejecuta a través del servicio Log Collector y los eventos se reenvían al servicio Log Decoder. El Local Collector envía todos los datos de eventos recopilados al servicio Log Decoder.

Debe tener al menos un Local Collector para recopilar eventos no relacionados con syslog.

Un Remote Collector (RC), al cual también se denomina Virtual Log Collector (VLC), es un servicio Log Collector que se ejecuta en una máquina virtual independiente. Los Remote Collectors son opcionales y deben enviar los eventos que recopilan a un Local Collector. La implementación de Remote Collector es ideal cuando se deben recopilar registros desde ubicaciones remotas. Los Remote Collectors comprimen y cifran los registros antes de enviarlos a un Local Collector.

Implementación y configuración de la recopilación de registros

En la siguiente figura se ilustran las tareas básicas que debe realizar para implementar y configurar la recopilación de registros. Para implementar la recopilación de registros, debe configurar un Local Collector. También puede implementar uno o más Remote Collectors. Después de implementar la recopilación de registros, debe configurar los orígenes de eventos en Security Analytics y en los propios orígenes de eventos. El siguiente diagrama muestra el Local Collector que recibe eventos migrados desde un Remote Collector.

Configure Local Collectors y Remote Collectors.

El Local Collector es el servicio Log Collector que se ejecuta en el host de Log Decoder.

Un Remote Collector es el servicio Log Collector que se ejecuta en una máquina virtual o en un servidor Windows en una ubicación remota.

Basic_LC_Deployment_Config2.png

Configure orígenes de eventos:

  • Configure protocolos de recopilación en Security Analytics.
  • Configure cada origen de eventos para que se comunique con Security Analytics Log Collector.  

Adición de Local Collector y Remote Collector a Security Analytics

En la siguiente figura se muestra cómo agregar un Local Collector y un Remote Collector a Security Analytics.

AddRCLA1(simple).png

Acceda a la vista Servicios.

AddRCLA2(simple).png

Abra el cuadro de diálogo Agregar servicio.

 

AddRCLA3(simple)Basics.png

Defina los detalles del servicio de recopilación de registros.

Seleccione Probar conexión para verificar la adición del Local Collector o del Remote Collector.

Configuración de la recopilación de registros

Debe elegir el Log Collector, es decir un Local Collector (LC) o un Remote Collector (RC), para el cual desea definir parámetros en la vista Servicios. En la siguiente figura se muestra cómo navegar a la vista Servicios, seleccionar un servicio Log Collector y mostrar la interfaz de parámetros de configuración de ese servicio.

AddRCLA1(simple).png

1 Acceda a la vista Servicios.

LCParamConfigNav.png

2 Seleccione un servicio de recopilación de registros.

3 Haga clic en AdvcdExpandBtn.PNG bajo Acciones y seleccione Ver > Configuración para mostrar las pestañas de parámetros de configuración de la recopilación de registros.

LCConfigTabs.png

4 Defina los parámetros globales de recopilación de registros en la 
pestaña General.

5 Para un:

  • Local Collector, Security Analytics muestra la pestaña Remote Collectors. En esta pestaña, seleccione los Remote Collectors desde los cuales el Local Collector extrae eventos.
  • Remote Collector, Security Analytics muestra Local Collectors. En esta pestaña, seleccione los Local Collectors a los cuales el Remote Collector migra eventos.

6 Edite los archivos de configuración como archivos de texto en la pestaña Archivos.

7 Defina parámetros del protocolo de recopilación en la pestaña Orígenes de evento.

8 Defina el Lockbox, claves de cifrado y certificados en la pestaña Configuración.

9 Defina parámetros del servicio Appliance en la pestaña Configuración del servicio Appliance.

Diagrama del flujo de datos

Puede usar los datos de log recopilados por el servicio de Log Collector para supervisar el estado de su empresa y realizar investigaciones. En la siguiente figura se muestra cómo es el flujo de datos desde la recopilación de registros de Security Analytics hasta Investigation.

LC_Data_Flow.png

Next Topic:Procedimientos
You are here
Table of Contents > Introducción de la recopilación de registros > Conceptos básicos

Attachments

    Outcomes