MA: Vista Configuración de servicios: Pestaña Auditoría

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

En este tema se presentan las características y las funciones de la pestaña Auditoría en la vista Configuración de servicios para Security Analytics Malware Analysis. La pestaña Auditoría en la vista Configuración de servicios de Security Analytics Malware Analysis proporciona una manera de configurar la función de auditoría. Malware Analysis cuenta con un sistema de auditoría automatizada capaz de enviar alertas (entradas de archivo de registro de auditoría, syslog y SNMP) a medida que supera los umbrales de valores de puntaje configurados para cada módulo de puntaje (Red, Estático, Comunidad y Sandbox). Security Analytics Malware Analysis puede enviar feeds automáticamente a cualquier sistema externo que pueda recopilar los formatos de auditoría compatibles. Se genera una alerta para cada archivo de una sesión analizada que alcanza o supera el umbral configurado.
El registro de auditoría es un archivo de registro que se mantiene en el dispositivo Malware Analysis para cada evento o acción importante. Los registros de auditoría se implementan y archivan con el tiempo, dado que llegan a ser muy grandes y se conserva un historial de auditoría. Es posible configurar estos registros de auditoría y su cantidad.
Algunos ejemplos de los eventos que se registran son:

  • Casos correctos y fallidos de nombre de inicio de sesión de usuario
  • Cambios en los ajustes de configuración del sistema
  • Reinicio del servidor
  • Actualización e instalación de la versión del servidor
  • Eventos sospechosos que superan los umbrales de auditoría

Security Analytics Malware Analysis puede enviar los eventos de auditoría como un SNMP trap a un host de SNMP trap configurado y consolidar los registros en formato syslog. Consulte los procedimientos detallados en el siguiente tema de tarea: Configurar la auditoría en un dispositivo Malware Analysis.

Características

La pestaña Auditoría incluye cuatro secciones y un botón Aplicar que se usa para guardar los cambios realizados en esta pestaña y aplicarlos.

Umbrales de auditoría

Esta tabla describe las funcionalidades de la sección Umbrales de auditoría.

                                
NombreValor de configuración
Umbrales de Comunidad, Estático, Red y SandboxUmbrales del módulo de puntaje de Malware Analysis para registrar información de eventos en un archivo de registro. Security Analytics Malware Analysis registra la información de evento en un archivo de registro si el evento tuvo un puntaje suficientemente alto para satisfacer todos los umbrales de auditoría. Cada categoría de puntaje que se analiza (por ejemplo, no todas las sesiones invocan análisis de Sandbox) se compara con el umbral de auditoría configurado para esa categoría. Todas las categorías analizadas deben superar el umbral para que se active un evento de auditoría.
Un valor válido es un entero entre 0 y 100. Definir estos umbrales en un valor demasiado bajo puede ocasionar un volumen muy grande de eventos de auditoría y notificaciones.
Notificar errores de antivirus instalado y detecciones de antivirus primarioRegistra un mensaje en un archivo de registro cuando el software antivirus instalado no detecta un virus y el software antivirus primario lo detecta. El mensaje registrado se envía a través de todos los métodos de auditoría activados: SNMP, archivo y syslog.
El valor predeterminado es ninguna selección.
Notificar errores de antivirus instalado y detecciones de antivirus secundarioRegistra un mensaje en un archivo de registro cuando el software antivirus instalado no detecta un virus y el software antivirus secundario lo detecta. El mensaje registrado se envía a través de todos los métodos de auditoría activados: SNMP, archivo y syslog.
El valor predeterminado es ninguna selección.
Notificar errores de antivirus instalado y otras detecciones de antivirusRegistra un mensaje en un archivo de registro cuando el software antivirus instalado no detecta un virus y otro software antivirus lo detecta. El mensaje registrado se envía a través de todos los métodos de auditoría activados: SNMP, archivo y syslog.
El valor predeterminado es ninguna selección.
Notificar cuando se activen IOC de alta confianzaRegistra un mensaje en un archivo de registro cuando se activan IOC (indicadores de riesgo) de alta confianza. El mensaje registrado se envía a través de todos los métodos de auditoría activados: SNMP, archivo y syslog.
El valor predeterminado es ninguna selección.

Auditoría de SNMP

El protocolo simple de administración de red (SNMP) es un protocolo estándar de Internet para administrar servicios en redes IP. Cuando una auditoría de SNMP está habilitada, Security Analytics Malware Analysis puede enviar un evento de auditoría como un SNMP trap a un host de SNMP trap configurado. 

Esta tabla describe las funcionalidades de la sección Auditoría de SNMP.

                                           
NombreValor de configuración
ActivadoHaga clic para activar o desactivar las auditorías de SNMP.
Nombre del servidorEl host donde se está ejecutando el servidor SNMP.
Puerto del servidorEl puerto donde el receptor de SNMP trap está escuchando.
Versión SNMPLa versión del protocolo SNMP a usar cuando se envían traps.
OID de trapsEl ID de objeto que se usa para identificar el tipo de trap que se envía.
ComunidadEl grupo de SNMP al cual pertenece Security Analytics Malware Analysis.
Número de reintentosEl número de reintentos para enviar un trap.
TimeoutEl periodo de tiempo de espera agotado para recibir confirmación.

Auditoría de Incident Management

La sección Auditoría de Incident Management proporciona una casilla de verificación para habilitar la función de Security Analytics Incident Management con el fin de recibir alertas desde Malware Analysis. Cuando se hace clic en Activado, la auditoría de syslog se habilita o se deshabilita

Auditoría de archivo

Esta tabla describe las funcionalidades de la sección Auditoría de archivo. Evite configurar el tamaño máximo de archivo y el conteo de archivos en un valor muy alto, ya que esto puede tener un efecto desfavorable en el espacio en disco disponible en el dispositivo de Security Analytics Malware Analysis.

                       
NombreValor de configuración
Activar auditoría de archivo

Haga clic para activar o desactivar la auditoría de archivo.

Conteo de archivos

Security Analytics Malware Analysis mantiene solo la cantidad de archivos de registro que se define en esta configuración. Cuando se alcanza la cantidad máxima, los archivos de registro más antiguos se eliminan y no se pueden recuperar.
El valor predeterminado es 20. Valor válido: número entero entre 1 y 50, inclusive.

Max File Size

El tamaño máximo de archivo que puede alcanzar un registro de auditoría antes de que se archive. El valor predeterminado es 10,485,760 de bytes.

Auditoría de syslog


Esta tabla describe las funcionalidades de la sección Umbrales de auditoría.

                                                   
CaracterísticaDescripción
ActivadoHaga clic para activar o desactivar la auditoría de syslog.
Nombre del servidorEs el host donde se ejecuta el proceso de syslog de destino.
Puerto del servidorEs el puerto en el cual escucha el proceso de syslog de destino.
FuncionalidadEs la herramienta de syslog designada para usarse con todos los mensajes salientes. Los valores posibles son KERN, USER, MAIL, DAEMON, AUTH, SYSLOG, LPR, NEWS, UUCP, CRON, AUTHPRIV, y LOCAL1 a LOCAL7.
CodificaciónEs la codificación que debe usarse para el texto en los mensajes de syslog, por ejemplo, UTF-8.
FormatoEs el formato de mensaje deseado. Los valores posibles son: Predeterminado, PCI DSS o SEC.
Longitud máximaEs la longitud máxima en bytes que puede tener cualquier mensaje de syslog. El valor predeterminado es 1024. Los mensajes que superan la longitud máxima se truncan.
Incluir registro de fecha y hora localSeleccione esta casilla para incluir el registro de fecha y hora local en los mensajes.
Incluir nombre de host localSeleccione esta casilla para incluir el nombre de host local.
Cadena de identidadEsta es una cadena de identidad que se adjuntará al inicio de cada alerta de syslog. Si la cadena está en blanco, no hay cadena de identidad adjuntada al principio de las alertas de salida de syslog. Puede usar esto para identificar el origen de la alerta. Los usuarios la establecen de manera convencional en el nombre del programa que enviará los mensajes a una auditoría de syslog.
You are here
Table of Contents > Referencias de Malware Analysis > Vista Configuración de servicios: Pestaña Auditoría

Attachments

    Outcomes