Referencias: Parámetros de configuración de la recopilación de punto de comprobación

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Este tema describe los parámetros de configuración del origen de eventos de punto de comprobación

Para acceder a los parámetros de configuración de la recopilación de punto de comprobación:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Log Collector.
  3. Haga clic en AdvcdExpandBtn.PNG bajo Acciones y seleccione Ver > Configuración.
  4. En la pestaña Orígenes de evento de Log Collector, seleccione Punto de comprobación/Configurar en el menú desplegable.

CPSourceTab.png

La vista Punto de comprobación/Configurar de la pestaña Orígenes de evento tiene dos paneles: Categorías de evento y Orígenes.

Panel Categorías de evento

En el panel Categorías de evento, puede agregar o eliminar los tipos de orígenes de eventos correspondientes.

                         
CaracterísticaDescripción
Icon-Add.png Muestra el cuadro de diálogo Tipos de origen de evento disponibles en el cual se selecciona el tipo de origen para el cual desea definir parámetros.
Icon_Delete_sm.png Elimina los tipos de orígenes de eventos seleccionados en el panel Categorías de evento.
Checkbox.png Selecciona los tipos de orígenes de eventos.
NombreMuestra el nombre de los tipos de orígenes de eventos que ha agregado.

Cuadro de diálogo Tipos de orígenes de eventos disponibles

El cuadro de diálogo Tipos de origen de evento disponibles muestra la lista de tipos de orígenes de eventos compatibles.

                         
CaracterísticaDescripción
Checkbox.png Selecciona el tipo de origen de eventos que desea agregar.
TipoMuestra los tipos de orígenes de eventos disponibles para agregar.
CancelarCierra el cuadro de diálogo sin agregar el tipo de origen de eventos.
OKAgrega el tipo de origen de eventos seleccionado al panel Categorías de evento.

Panel Orígenes

El panel Orígenes de punto de comprobación muestra una lista de los orígenes de eventos de firewall de punto de comprobación existentes. Utilice esta sección para agregar o eliminar orígenes de eventos y parámetros de comunicación asociados.

Barra de herramientas

En la siguiente tabla se proporcionan descripciones de las opciones de la barra de herramientas.

                                   
CaracterísticaDescripción
Icon-Add.png Muestra el cuadro de diálogo Agregar origen, en el cual puede definir los parámetros para un host de firewall de punto de comprobación.
Icon_Delete_sm.png Elimina el host que seleccionó.
icon-edit.png

Abre el cuadro de diálogo Editar origen, en el cual puede editar los parámetros del origen de eventos de punto de comprobación seleccionado.

Seleccione varios orígenes de eventos y haga clic en icon-edit.png para abrir el cuadro de diálogo Edición en masa de origen, en el cual puede editar los valores de los parámetros de los orígenes de eventos seleccionados.

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

ImportSourceIcon.PNG

Abre el cuadro de diálogo Opción Adición en masa, en el cual puede importar hosts de punto de comprobación de forma masiva desde un archivo de valores separados por comas (CSV).

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

ExportSourceIcon.PNG

Crea un archivo .csv que contiene los parámetros de los hosts de punto de comprobación seleccionados.

Consulte la Guía de configuración de la recopilación de registros para obtener información detallada sobre cómo importar, exportar y editar orígenes de eventos en masa.

PullCertificateIcon.PNG Abre el cuadro de diálogo Extraer certificado. Use este cuadro de diálogo para extraer un certificado desde el servidor del punto de comprobación para este host.

Cuadro de diálogo Agregar/Editar origen

Los cuadros de diálogo Agregar origen y Editar origen contienen la misma información.

                                                                                                     
ParámetroDescripción
Básico
Nombre*Nombre del origen de eventos.
Dirección de servidor*Dirección IP del servidor del punto de comprobación.
Nombre del servidor*Nombre del servidor del punto de comprobación.
Nombre del certificadoEl nombre del certificado que las conexiones seguras deben utilizar cuando el modo de transporte sea https. Si está definido, el certificado debe existir en el área de almacenamiento de confianza de certificados que creó usando la pestaña Configuración.

Seleccione un certificado en la lista desplegable. La convención de nombres de archivos para los certificados de origen de eventos de punto de comprobación es checkpoint_name-of-event-source.
Cliente distinguidoIngrese el nombre del cliente distinguido del servidor del punto de comprobación.
Nombre de entidad de clienteIngrese el nombre de entidad de cliente del servidor del punto de comprobación.
Servidor distinguidoIngrese el nombre del servidor distinguido del servidor del punto de comprobación.
Extraer certificadoSeleccione la casilla de verificaciónpara extraer un certificado por primera vez.  La extracción de un certificado hace que esté disponible desde el área de almacenamiento de confianza.
Dirección del servidor de certificadosDirección IP del servidor en el cual reside el certificado.
ContraseñaSolo está activa cuando selecciona la casilla de verificación Extraer certificado por primera vez. Contraseña necesaria para extraer el certificado. La contraseña es la clave de activación que se crea cuando se agrega una aplicación OPSEC al punto de comprobación en el servidor del punto de comprobación.
ActivadoSeleccione la casilla de verificación para activar la configuración del origen de eventos con el fin de iniciar la recopilación. La casilla de verificación está seleccionada de manera predeterminada.

Avanzado

Nota: se usan menos recursos del sistema cuando se configura una conexión de origen de eventos de punto de comprobación de modo que permanezca abierta durante un momento específico y para un volumen de eventos específico (conexión transitoria).  Security Analytics se configura de forma predeterminada en los siguientes parámetros de conexión que establecen una conexión transitoria:

Intervalo de sondeo = 180 (3 minutos)
Duración máxima de encuesta = 120 (2 minutos)
Máximo de eventos de encuesta = 5,000 (5,000 eventos por intervalo de sondeo)
Tiempo máximo de inactividad de encuesta = 0

Para orígenes de eventos de punto de comprobación muy activos, una buena práctica consiste en configurar una conexión que permanezca abierta hasta que se detenga la recopilación (conexión persistente). Esto garantiza que la recopilación de punto de comprobación mantiene el ritmo de los eventos que generan estos orígenes de eventos activos. La conexión persistente evita reinicios y demoras en la conexión e impide que la recopilación de punto de comprobación retrase la generación de eventos. Para establecer una conexión persistente para un origen de eventos de punto de comprobación, configure los siguientes parámetros en los siguientes valores:

Intervalo de sondeo = -1
Duración máxima de encuesta = 0
Máximo de eventos de encuesta = 0
Tiempo máximo de inactividad de encuesta = 0

PuertoPuerto del servidor del punto de control al cual se conecta Log Collector. El valor predeterminado es 18184.
Recopilar tipo de registro

Tipo de registros que desea recopilar:  Los valores válidos son:

  • Auditoría: recopila eventos de auditoría.
  • Seguridad: recopila eventos de seguridad.

Si desea recopilar tanto eventos de auditoría como de seguridad, debe crear un origen de eventos duplicado. Por ejemplo, primero debe crear un origen de eventos con la opción Auditoría seleccionada para extraer un certificado hacia el área de almacenamiento de confianza de este origen de eventos. A continuación, debe crear otro origen de eventos con los mismos valores, pero en la opción Recopilar tipo de registro debe seleccionar Seguridad, en Nombre del certificado debe seleccionar el mismo certificado que extrajo cuando configuró el primer conjunto de parámetros de este origen de eventos y debe asegurarse de que la opción Extraer certificado no esté seleccionada.

Recopilar registros desde

Cuando configura un origen de eventos de punto de control, Security Analytics recopila eventos desde el archivo de registro actual. Los valores válidos son:

  • Ahora: comenzar a recopilar registros ahora (en este momento en el archivo de registro actual). 
  • Comienzo del tiempo: recopilar registros desde el comienzo del archivo de registro actual.

Si selecciona “Comienzo del tiempo” para este valor de parámetro, puede recopilar una cantidad muy grande de datos de acuerdo con el tiempo que el archivo de registro actual ha estado recopilando eventos.

Intervalo de sondeo

El intervalo (cantidad de tiempo en segundos) entre cada encuesta. El valor predeterminado es 180.

Por ejemplo, si especifica 180, el recopilador programa un sondeo del origen de eventos cada 180 segundos. Si aún se está realizando el ciclo de sondeo anterior, esperará hasta que ese ciclo termine. Si está sondeando una gran cantidad de orígenes de eventos, es posible que el sondeo tarde más de 180 segundos en comenzar porque los subprocesos están ocupados.

Duración máxima de encuestaLa duración máxima del ciclo de sondeo (cuánto tiempo dura el ciclo) en segundos.
Máximo de eventos de encuestaLa cantidad máxima de eventos por ciclo de sondeo (cuántos eventos se recopilan por ciclo de sondeo).
Tiempo máximo de inactividad de encuestaTiempo de inactividad máximo, en segundos, de un ciclo de sondeo. 0 indica que no hay límite.> 300 es el valor predeterminado.
Depurar

Precaución: Active la depuración (defina este parámetro en "Activado" o "Detallado") solamente si tiene un problema con un origen de eventos y necesita investigarlo. La activación de la depuración afectará negativamente el rendimiento del Log Collector.

Activa y desactiva el registro de depuración del origen de eventos.

Los valores válidos son:

  • Apagado = (predeterminado) desactivado
  • Encendido = activado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.

Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos. El registro de depuración es detallado, por lo que se debe limitar la cantidad de orígenes de eventos para minimizar el impacto en el rendimiento.

Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar).

CancelarCierra el cuadro de diálogo sin agregar el host de firewall de punto de comprobación.
OKAgrega los valores de parámetros actuales como un nuevo host de punto de comprobación.

Cuadro de diálogo Extraer certificado

En la siguiente tabla se proporcionan descripciones de los parámetros del cuadro de diálogo Extraer certificado.

                                         
ParámetroDescripción
NombreMuestra el nombre del origen de eventos
Dirección de servidorMuestra la dirección IP del servidor del punto de comprobación.
Nombre de entidad de clienteMuestra el nombre de la entidad de cliente que adquiere cuando configura el origen de eventos de punto de control para Security Analytics.
ContraseñaClave de activación que se crea cuando se agrega una aplicación OPSEC al punto de comprobación. Debe volver a ingresar esta contraseña para extraer el certificado del servidor del punto de comprobación.
Actualizar(Solo aparece en el modo de edición; haga clic en el campo Contraseña) Aplica las ediciones que hace en los parámetros del host.
Cancelar(Solo aparece en modo de edición; haga clic en el campo Contraseña) Cierra el modo de edición sin aplicar los cambios.
CancelarCierra el cuadro de diálogo sin extraer ningún certificado.
OKExtrae el certificado.

Tareas

Paso 2. Configurar orígenes de eventos de punto de control en Security Analytics

You are here
Table of Contents > Guía de configuración de la recopilación de punto de comprobación > Referencias: Parámetros de configuración de la recopilación de punto de comprobación

Attachments

    Outcomes