Informes: Configurar el motor de creación de informes para enviar mensajes de Sylog mediante TCP/TLS para las alertas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para configurar Reporting Engine de modo que envíe mensajes de syslog mediante TCP con Transport Layer Security (TLS) cuando se activa una alerta.

Requisitos previos

Asegúrese de haber instalado y configurado un servidor de syslog que sea compatible con TCP/TLS en el ambiente. Por ejemplo, WinSyslog.

Procedimiento

Realice los siguientes pasos para configurar Reporting Engine de modo que envíe una alerta de syslog mediante TCP con Transport Layer Security (TLS):

  1. Obtenga los certificados necesarios.
  2. (Opcional) Convierta el formato del certificado de PEM a JKS.
  3. Copie los pares de claves generados para el servidor de Reporting Engine y el servidor de Syslog.
  4. Configure la distribución de los mensajes de alerta en Security Analytics.

Tarea 1: Obtenga los certificados necesarios

Realice lo siguiente a fin de generar certificados para configurar Reporting Engine para que envíe mensajes de syslog mediante TCP con TLS:

  1. Genere un certificado de autoridad de certificación (CA). Para obtener más información, consulte http://www.rsyslog.com/doc/tls_cert_ca.html.

Nota: Puede omitir este paso si ya tienen un CA ejecutándose en su ambiente.

  1. Genere el par de claves (clave pública y clave privada) para el servidor de Reporting Engine. Para obtener más información, consulte http://www.rsyslog.com/doc/tls_cert_machine.html.
  2. Genere el par de claves para el servidor de Syslog. Para obtener más información, consulte http://www.rsyslog.com/doc/tls_cert_machine.html.

Nota: Puede omitir este paso, si ya configuró la seguridad del servidor de syslog con la clave y los certificados generados por la misma CA.

Tarea 2: (Opcional) Convierta el formato del certificado de PEM a JKS

Si ha generado los certificados en formato PEM (Privacy Enhanced Mail), debe convertir el formato del certificado a formato Java KeyStore (JKS). Realice lo siguiente en la máquina donde instaló el servidor de Reporting Engine.
Para convertir los certificados con formato PEM a JKS:

  1. Convierta los certificados en formato PEM existentes a archivos PKCS. En la línea de comandos, escriba el siguiente comando y presione INTRO:
    openssl pkcs12 -export -in <certificate.pem> -inkey <private_key.pem> -out <sample>.p12 -name re
    -CAfile ca.pem -caname root

    Donde:
    • certificate.pem: es el certificado en formato PEM.
    • private_key.pem: es la clave privada en formato PEM.
    • sample: es el archivo PKCS12 creado durante la conversión.
    • ca.pem: es el certificado de CA.
  2. Convierta el archivo PKCS12 existente en un certificado con formato JKS para crear el almacenamiento de claves. En el símbolo del sistema, escriba el siguiente comando y presione INTRO:
    keytool -importkeystore -destkeystore<re-keystore.jks> -srckeystore <sample>.p12 -srcstoretype PKCS12 -alias re
    Donde:
    • re-keystore.jks: es el certificado en formato JKS.
    • sample: es el archivo PKCS12 creado durante la conversión.
    • ca.pem: es el certificado de CA.
  3. Agregar el certificado de CA (ca.pem) a Truststore. En la línea de comandos, escriba el siguiente comando y presione INTRO:
    keytool -importcert -alias myca -file <ca.pem> -keystore <re-truststore.jks>
    Donde:
    • ca.pem: es el certificado de CA.
    • re-truststore.jks: es el certificado de CA en formato JKS.

Nota: Asegúrese de anotar las contraseñas que proporciona para Keystore y Truststore durante la conversión. Debe proporcionar estas contraseñas cuando habilite SECURE_TCP en Security Analytics.

Tarea 3: Copie los pares de claves generados

Copie manualmente los pares de claves (Keystore y Truststore) desde la ubicación donde los generó a /home/rsasoc/rsa/soc>/reporting-engine/keystores/, ubicación del servidor de Reporting Engine.

Tarea 4: Configure la distribución de los mensajes de alerta en Security Analytics

Configure Reporting Engine para que envíe mensajes de syslog a través de TCP con Transport Layer Security (TLS) cuando se active una alerta, mediante la habilitación de SECURE_TCP en la pestaña Acciones de salida para el servicio Reporting Engine en la vista Configuración de servicios de Reporting Engine. Para obtener más información, consulte el tema Acciones de salida de Reporting Engine de la Guía de configuración de hosts y servicios.

Previous Topic:Investigar una alerta
You are here
Table of Contents > Trabajar con alertas en el módulo Reporting > Configurar el motor de creación de informes para enviar mensajes de Sylog mediante TCP/TLS para las alertas

Attachments

    Outcomes