Recopilación de Windows heredado: Conceptos básicos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica cómo funciona el protocolo de recopilación de Windows existente y cómo se implementa. También se brinda una descripción de alto nivel de la forma de configurar este protocolo.

Cómo funciona la recopilación de Windows existente y NetApp

El protocolo de recopilación de Windows existente se utiliza para configurar Security Analytics con el fin de que recopile eventos desde:

  • Orígenes de eventos de Microsoft Windows existentes (orígenes de eventos de Windows 2003 y versiones anteriores)
  • Orígenes de eventos de NetApp

Orígenes de eventos de Windows 2003 y versiones anteriores

Los orígenes de eventos de Windows existentes son versiones anteriores de Windows (como Windows 2000 y Windows 2003).  El protocolo de recopilación de Windows existente recopila de orígenes de eventos de Windows que ya están configurados para la recopilación de enVision sin tener que volver a configurarlos. Puede configurar estos orígenes de eventos en el tipo de origen de eventos ventanas . 

Orígenes de eventos de NetApp

Los dispositivos de NetApp que ejecutan Data ONTAP son compatibles con un marco de trabajo de auditoría nativo similar a Windows Servers. Cuando se configura, este marco de trabajo de auditoría genera y guarda eventos de auditoría en el formato de archivo .evt de Windows. El protocolo de recopilación de Windows existente es compatible con la recopilación de eventos desde dichos archivos .evt de NetApp.  Puede configurar estos orígenes de eventos en el tipo de origen de eventos netapp_evt. 

El dispositivo de Data ONTAP de NetApp está configurado para generar eventos de auditoría de CIFS y guardarlos periódicamente como archivos .evt en un formato que incluye el registro de fecha y hora en el nombre de archivo. Consulte la documentación de configuración de Orígenes de eventos de NetApp en SecurCare Online (SCOL) para obtener detalles. El protocolo de recopilación guarda el registro de fecha y hora del último nombre de archivo .evt procesado para hacer un seguimiento del estado de recopilación

Parámetros específicos de Net App

La mayoría de los parámetros que mantiene en el cuadro de diálogo Agregar/Editar origen se aplican a orígenes de eventos tanto de Windows existente como de Net App.

Los siguientes dos parámetros son únicos para los orígenes de eventos de NetApp.

  • Ruta de directorio de eventos: El dispositivo NetApp genera datos de eventos y los guarda en archivos .evt en un directorio que se puede compartir en este dispositivo. Security Analytics requiere que especifique esta ruta de directorio en el parámetro Ruta de directorio de eventos.
  • Prefijo de archivo de evento: De manera similar a Ruta de directorio de eventos, Security Analytics requiere que se especifique el prefijo (por ejemplo, adtlog.) de los archivos .evt de datos de eventos de modo que pueda procesar estos datos.

En cada ciclo de sondeo, Security Analytics navega por la ruta compartida de NetApp configurada para los archivos .evt que identificó con los parámetros Ruta de directorio de eventos y Prefijo de archivo de evento. Security Analytics:

  • Clasifica los archivos que coinciden con el formato event-file-prefix.YYMMDDhhmmss.evt en orden ascendente.
  • Usa el registro de fecha y hora del último archivo procesado para determinar los archivos que aún requieren procesamiento. Si Security Analytics encuentra un archivo procesado parcialmente, omite los eventos ya procesados.

Escenario de implementación

El protocolo de recopilación de Windows existente recopila datos de eventos de Windows 2003 o versiones anteriores, y orígenes de datos del dispositivo ONTAP de NetApp. El Remote Collector de Windows heredado es el recopilador de Windows heredado de SA instalado en un servidor Windows 2008 de 64 bits físico o virtual en su dominio de origen de eventos.

Windows_Legacy_Mult-Domain_Data_Flow.png

Configurar el protocolo de recopilación de Windows heredado en Security Analytics

Puede configurar el Log Collector para usar la recopilación de Windows existente para un origen de eventos en la pestaña Origen de eventos de la vista del parámetro Log Collector.  En la siguiente figura se muestra el flujo de trabajo básico para configurar un origen de eventos para la recopilación de Windows heredado en Security Analytics.  Consulte:

 

Next Topic:Procedimientos
You are here
Table of Contents > Guía de configuración de la recopilación de Windows existente y NetApp > Conceptos básicos

Attachments

    Outcomes