Integración de Archer: Configurar Security Analytics para trabajar con Archer

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

RSA Security Analytics se puede configurar para el envío de alertas e incidentes a RSA Archer con fines de administración y corrección de incidentes. Con la integración de Security Analytics y RSA Archer SecOps se puede realizar lo siguiente:

  • Incident Management: Todos los incidentes creados en Security Analytics se pueden manejar en Archer, lo cual ofrece una completa administración de incidentes.
  • Corrección de incidentes: los incidentes se manejan en Security Analytics, pero las tareas de corrección se exportan opcionalmente a Archer. 

La solución RSA Archer Security Operations Management permite reunir todas las alertas de seguridad útiles, lo cual brinda mayor eficacia, proactividad y orientación hacia la administración de respuesta ante incidentes y SOC. Para obtener más información sobre las funcionalidades de RSA Archer Sec Ops, consulte la documentación de RSA Archer en la Comunidad RSA Archer o en la Comunidad RSA Archer Exchange

Consulte la Guía de instalación de SecOps para conocer las plataformas compatibles con Archer. 

La versión de RSA Archer determina cómo se integrará RSA Security Analytics.

  • RSA Archer Security Operations Management 1.2 se integra con RSA Security Analytics mediante RSA UCF (Unified Collector Framework), que comprende el servicio de integración de SAIM y RCF (RSA Connector Framework).
  • RSA Archer Security Operations Management 1.3 se integra con RSA Security Analytics mediante RCA UCF (Unified Collector Framework), que comprende el servicio de integración de SAIM y el servicio de vigilancia de SecOps.

Métodos de integración

Debe configurar los ajustes de integración del sistema para administrar el flujo de trabajo de incidentes en RSA Archer Security Operations Management. Cuando se habilita esta configuración, los incidentes y las tareas de corrección dejan de estar visibles en RSA Security Analytics. 

Para obtener información sobre cómo configurar los ajustes de integración del sistema para administrar el flujo de trabajo de incidentes en RSA Archer Security Operations, consulte el tema Configurar ajustes de integración para administrar incidentes en RSA Archer Security Operations de la Guía de Incident Management (Incident Management > Integración de sistemas > Configurar ajustes de integración para administrar incidentes en RSA Archer Security Operations).

Servicio de integración de Security Analytics Incident Management (SAIM)

El servicio de integración de Security Analytics Incident Management (SAIM) integra la solución RSA Archer Security Operations Management 1.2 y 1.3 con el módulo RSA Security Analytics Incident Management. Puede elegir una de las siguientes opciones de integración:

  • Administrar todo el flujo de trabajo de incidentes en RSA Archer Security Operations Management Si selecciona esta opción, el servicio de integración de Security Analytics Incident Management transporta los incidentes desde el módulo Security Analytics Incident Management a la solución. 
  • Administrar el flujo de trabajo de incidentes en el módulo Security Analytics Incident Management y permitir a los analistas la opción de escalar las tareas de corrección y las vulneraciones de datos abiertas para su administración y corrección en la solución RSA Archer Security Operations Management. Si selecciona esta opción, el servicio de integración de Security Analytics Incident Management transporta las tareas de corrección (creadas como conclusiones), las vulneraciones de datos o ambos. 

Nota: Debe configurar la misma opción en RSA Security Analytics y en el servicio de integración de Security Analytics Incident Management.

RSA Unified Collector Framework (UCF)

RSA Security Analytics se integra con RSA Archer SecOps 1.3 mediante RSA Unified Collector Framework (UCF). 

RSA Unified Collector Framework (UCF) se integra con todas las herramientas compatibles de SIEM y con la solución RSA Archer Security Operations Management. Al integrar el módulo RSA Security Analytics Incident Management, puede elegir una de las siguientes opciones de integración:

  • Administrar todo el flujo de trabajo de incidentes en RSA Archer Security Operations Management. Si selecciona esta opción, Unified Collector Framework transporta incidentes desde el módulo Security Analytics Incident Management a la solución.
  • Administrar el flujo de trabajo de incidentes en el módulo Security Analytics Incident Management y permitir a los analistas la opción de escalar las tareas de corrección y las vulneraciones de datos abiertas para su administración y corrección en la solución RSA Archer Security Operations Management. Si selecciona esta opción, Unified Collector Framework transporta tareas de corrección (creadas como conclusiones), vulneraciones de los datos o ambos.

Nota:
• Debe configurar la misma opción en RSA Security Analytics y en Unified Collector Framework. 
• La integración del módulo RSA Security Analytics Incident Management con Reporting Engine o ESA puede generar eventos duplicados y la creación de incidentes en RSA Archer SecOps.

UCF es compatible con múltiples conexiones de herramientas SIEM al mismo tiempo; por ejemplo, es compatible con Security Analytics Reporting Engine, HP ArcSight y Security Analytics Incident Management. Sin embargo, distintas instancias de la misma herramienta SIEM no son compatibles; por ejemplo, dos servidores de Security Analytics conectados al mismo UCF.

Requisitos previos

  • Instalar RSA Archer Security Operations Management. Consulte la documentación de RSA Archer en la Comunidad RSA Archer o en la pestaña Contenido en https://community.emc.com/community/connect/grc_ecosystem/rsa_archer_exchange
  • Security Analytics 10.5 o superior es compatible con SecOps 1.2 y SecOps 1.3. Security Analytics 10.5 también es compatible con SecOps 1.1, sin embargo, esto no se recomienda.

  • Se recomienda que actualice a SecOps 1.3 si usa Security Analytics 10.6.

  • Asegúrese de que el módulo Incident Management esté configurado en RSA Security Analytics. 

  • Para Archer SecOps 1.3, debe crear una cuenta de usuario para el cliente del servicio web que se utiliza para transferir datos a RSA Archer GRC Platform.

Integraciones de RSA Unified Collector Framework

RSA Unified Collector Framework (UCF) permite integrar el sistema RSA Archer Security Operations Management con lo siguiente:

  • Security Analytics Incident Management (SA IM)
  • Security Analytics Reporting Engine (SA RE)
  •  Security Analytics Event Stream Analysis (SA ESA)

Crear cuentas de usuario de RSA Archer para migración y extracción

Se requieren dos cuentas de usuario de RSA Archer para evitar conflictos al enviar y recibir datos de RSA Security Analytics.

  1. Haga clic en Administration > Control de acceso > Administrar usuarios > Agregar nuevo.
  2. En los campos Nombre y Apellido, escriba un nombre que indique que el UCF usa esta cuenta para migrar datos a RSA Archer GRC. Por ejemplo, usuario de UCF, migrar.

    Nota: Al configurar la cuenta de extracción, escriba un nombre que indique que el UCF usa esta cuenta para extraer datos de RSA Archer GRC. Por ejemplo, usuario de UCF, extraer.

  3. (Opcional) Ingrese un nombre de usuario para la nueva cuenta de usuario.

    Nota: Si no especifica un nombre de usuario, RSA Archer GRC Platform crea el nombre de usuario a partir del nombre y el apellido que ingresó cuando guardó la nueva cuenta de usuario.

  4. En la sección Información de contacto, en el campo Correo electrónico, ingrese una dirección de correo electrónico para asociar a esta nueva cuenta de usuario 
  5. En la sección Localización, cambie la zona horaria a la hora universal coordinada (UTC).

    Nota: El UCF utiliza la hora UTC para establecer todos los cálculos relacionados con hora.

  6. En la sección Mantenimiento de la cuenta, ingrese y confirme una nueva contraseña para la nueva cuenta de usuario.

    Nota: Anote el nombre de usuario y la contraseña para la nueva cuenta de usuario que acaba de crear. Debe ingresar estas credenciales cuando configura el UCF para comunicarse con la plataforma RSA Archer GRC a través del cliente de servicio web.

  7. Deseleccionar la opción Forzar cambio de contraseña en el próximo inicio de sesión.
  8. En el campo Parámetro de seguridad, seleccione el parámetro de seguridad que desea usar para este usuario.

    Nota: Si asigna un parámetro de seguridad predeterminado con un intervalo de cambio de contraseña de 90 días, también debe actualizar la contraseña de la cuenta de usuario almacenada en el servicio de integración de SA IM cada 90 días. Para evitar esto, de manera opcional puede crear un nuevo parámetro de seguridad para la cuenta de usuario del servicio de integración de SA IM y establecer el intervalo de cambio de contraseña en el valor máximo permitido por sus estándares corporativos.

  9. Haga clic en la pestaña Grupos y realice lo siguiente:

    1. En la sección Grupos, haga clic en Búsqueda.
    2. En la ventana Grupos disponibles, expanda los grupos.
    3. Desplácese hacia abajo y seleccione SOC: Administrador de soluciones y EM: Solo lectura.
    4. Haga clic en Aceptar.
  10. Haga clic en Aplicar y, a continuación, en Guardar.
  11. Si el idioma de la máquina y la configuración regional de su sistema RSA Archer GRC se configuran en cualquier valor que no sea inglés de Estados Unidos, realice lo siguiente:

    1. Abra la cuenta de usuario que acaba de crear y, en el campo Configuración regional de la sección Localización, seleccione Inglés (Estados Unidos) y haga clic en Guardar.
    2. En el sistema de Windows que aloja RSA Archer GRC Platform, abra el Administrador de servicios de información de Internet (IIS).
    3. Expanda su sitio de RSA Archer GRC, haga clic en .Net Globalization, en los campos Cultura y Cultura de la interfaz del usuario seleccione Inglés (Estados Unidos) y haga clic en Aplicar.
    4. Reinicie el sitio de RSA Archer GRC.
  12. Repita los pasos del 1 al 11 para crear una segunda cuenta de usuario de modo que el UCF extraiga datos de RSA Archer GRC.

Configurar extremos en RSA Unified Collector Framework

Los extremos proporcionan los detalles de conexión necesarios para que el UCF llegue a los sistemas de RSA Security Analytics y RSA Archer GRC.

Nota: Algunos extremos son necesarios para usar diferentes integraciones. En la siguiente lista se muestran los terminales obligatorios.

Integración de terminal obligatorio

  • Extremo de Archer Push Syslog
  • Security Analytics Incident Management (SA IM)
  • Extremo de plug-in de Archer Pull Enterprise Management
  • Selección del modo: Modo SecOps o No SecOps.
  • Servidor de syslog
  • Administración empresarial

Nota:
• Si se selecciona el modo No SecOps, los incidentes se administran en SA IM en lugar de RSA Archer Security Operations Management.
• Debe configurar los puertos TCP, TCP seguro y UDP.
• Asegúrese de que el nombre de sujeto del certificado para el servidor de RSA Archer GRC coincida con el nombre de host.

Procedimiento

  1. En el sistema UCF, abra el administrador de conexión de la siguiente manera:
    1. Abra una línea de comandos.
    2. Cambie de directorio a <install_dir>\SA IM integration service\data-collector.
    3. Escriba:

      runConnectionManager.bat

  2. En el administrador de conexión, ingrese 1 para agregar el terminal.
  3. Agregue un terminal para migrar datos a RSA Archer Security Operations Management, como se muestra a continuación:

    1. Ingrese el número de Archer.

      Nota: SSL debe estar habilitado para agregar los extremos de RSA Archer.

    2. Para el nombre del terminal, escriba push.
    3. Ingrese la dirección URL de su sistema RSA Archer GRC.
    4. Ingrese el nombre de la instancia de su sistema RSA Archer GRC.
    5. Ingrese el nombre de usuario de la cuenta de usuario que creó para migrar datos a su sistema RSA Archer GRC.
    6. Ingrese la contraseña para la cuenta de usuario que creó para migrar datos al sistema RSA Archer GRC y confírmela.
    7. Cuando se le pregunte si esta cuenta se usa para extraer datos, ingrese False.
  4. Agregue un extremo para extraer datos de RSA Archer Security Operations Management, como se muestra a continuación:

    1. Ingrese el número de Archer.

      Nota: SSL debe estar habilitado para agregar los extremos de RSA Archer.

    2. Para el nombre del terminal, ingrese pull.
    3. Ingrese la dirección URL de su sistema RSA Archer GRC.
    4. Ingrese el nombre de la instancia de su sistema RSA Archer GRC.
    5. Ingrese el nombre de usuario de la cuenta de usuario que creó para extraer datos desde el sistema RSA Archer GRC.
    6. Ingrese la contraseña para la cuenta de usuario que creó para extraer datos desde el sistema RSA Archer y confírmela.
    7. Cuando se le pregunte si esta cuenta se usa para extraer datos, ingrese True.
  5. Agregue un extremo para RSA Security Analytics Incident Management, como se indica a continuación:

    1. Ingrese el número de Security Analytics IM.
    2. Ingrese un nombre para el extremo.
    3. Ingrese la dirección IP del host de SA.
    4. Para Puerto de SA, ingrese 5671.
    5. Ingrese la línea de espera objetivo para las tareas de corrección. Si selecciona Todo, se procesa la integración de RSA Archer (GRC) y help desk de TI (operaciones).
    6. Para agregar automáticamente certificados al área de almacenamiento de confianza de Security Analytics, realice lo siguiente:

      1. Ingrese .
      2. Ingrese el nombre de usuario y la contraseña del host de SA.

      Nota: Si recibe un error que indica que el almacén de confianza de CA no se pudo configurar, consulte Solucionar problemas de integración de RSA Archer.

  6. En el administrador de conexión de UCF, seleccione el modo, como se indica a continuación:

    1. Ingrese el número para la selección de modo.
    2. Seleccione una de las siguientes opciones:

      • Administrar el flujo de trabajo de incidentes en RSA Security Analytics.
      • Administrar el flujo de trabajo de incidentes exclusivamente en RSA Archer Security Operations Management.
  7. Para utilizar las integraciones de otros fabricantes, agregue el extremo del servidor de syslog, como se indica a continuación:

    1. Ingrese el número del extremo del servidor de syslog.
    2. Ingrese la siguiente información:
      • Descripción del campo
      • SSL configurado
      • Puerto TCP
      • Puerto TCP seguro si el cliente de syslog envía el mensaje de syslog en modo TCP seguro.

    Nota: El valor predeterminado es 1515. Si no desea alojar el servidor de syslog en este modo, ingrese 0.

    Puerto TCP: Ingrese el puerto TCP si el cliente de syslog envía el mensaje de syslog en el modo TCP.

    Nota: El valor predeterminado es 1514. Si no desea alojar el servidor de syslog en este modo, ingrese 0.

    Puerto UDP: Ingrese el puerto UDP si el cliente de syslog envía el mensaje de syslog en el modo UDP.

    Nota: El valor predeterminado es 514. Si no desea alojar el servidor de syslog en este modo, ingrese 0.

    De forma predeterminada, el servidor de syslog se ejecutará en los tres modos anteriores, a menos que se deshabilite mediante el ingreso de 0.

  8. Para probar el cliente de syslog, ingrese el número del cliente de syslog de prueba. Utilice el cliente de syslog de prueba con los archivos de <install_dir>\SA IM integration service\config\mapping\test-files\.
  9. En el administrador de conexión, ingrese 5 para probar cada terminal.

Configurar la acción de salida de syslog para Reporting Engine para Security Analytics 10.5

Nota: Este procedimiento es para SecOps 1.3 con Security Analytics 10.5.

  1. En Security Analytics, vaya a Administration > Servicios.
  2. Seleccione el servicio Reporting Engine y haga clic en Sistema > Configuración
  3. Haga clic en la pestaña Acciones de salida
  4. En la sección Configuración de SA, en el campo Nombre de host, ingrese el nombre de host o la dirección IP de su servidor de Reporting Engine.

    Nota: Si no ingresa un valor en este campo, el vínculo en la aplicación RSA Archer Security Alerts a Security Analytics no funcionará. 

  5. Agregue la configuración de syslog de la siguiente manera:

    1. En el campo Nombre del servidor, ingrese el nombre de host del UCF
    2. En el campo Puerto del servidor, ingrese el puerto que seleccionó en la configuración de syslog del UCF.
    3. En el campo Protocolo, seleccione el protocolo de transporte.

    Nota: Si selecciona TCP seguro, se debe configurar SSL.

  6. Haga clic en Guardar.

Configurar ajustes de notificación de syslog de ESA en Security Analytics 10.5 o una versión posterior

Este procedimiento es para SecOps 1.3 con Security Analytics 10.5 o una versión superior.

  1. Haga clic en Administration > Sistema> Notificaciones globales.
  2. Haga clic en la pestaña Salida
  3. Defina y habilite una notificación de syslog de ESA.
  4. Haga clic en la pestaña Servidores
  5. Defina y habilite un servidor de notificación de syslog.
  6. En la sección Configuración del servidor de syslog, ingrese lo siguiente:
  7.                          

    CampoDescripción
    Nombre del servidorEspecifique el nombre de host o la dirección IP del sistema en el que se instala el UCF.
    Puerto del servidorEspecifique el número de puerto en el que desea que el UCF escuche los mensajes de alerta de syslog.
    FuncionalidadEspecifique la funcionalidad de syslog.
    ProtocoloSeleccione el protocolo.

  8. Haga clic en Guardar

Configurar Incident Management para integración con Archer SecOps 1.3

Para configurar Incident Management para Archer SecOps 1.3, realice las siguientes acciones en Security Analytics:

                        

Paso 1: Configurar la base de datos de Incident Management

Para que el servicio se pueda utilizar, debe configurar la base de datos para el servicio Incident Management.

Para configurar una base de datos para el servicio Incident Management:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.

    Se muestra la vista Servicios.

  2. En el panel Servicios, seleccione el servicio Incident Management y elija  > Ver > Explorar.

    Se muestra la vista Explorar de los servicios.

  3. En el panel de opciones, seleccione Servicio > Configuración > base de datos.

    La vista de la base de datos se muestra en el panel derecho.

  4. Proporcione la siguiente información:

    • Host: El nombre de host o la dirección IP del host de ESA seleccionado como una base de datos
    • Nombre de base de datos: im (este es el valor predeterminado)
    • Puerto: 27017 (este es el valor predeterminado)
    • Nombre de usuario: nombre de usuario de la cuenta de usuario para la base de datos de IM (ESA crea un usuario im con los privilegios correctos)
    • Contraseña: La contraseña que seleccionó para el usuario im.
  5. Reinicie el servicio Incident Management mediante el siguiente comando:

    service rsa-im restart

Nota: Es importante reiniciar el servicio Incident Management para que se complete la configuración de la base de datos.

Paso 2: Seleccione el modo de Security Analytics Incident Management 

Para seleccionar el método de administración de flujo de trabajo en Security Analytics:

  1. En el menú de Security Analytics, seleccione Incidentes > Configurar.
  2. Haga clic en la pestaña Integración.
  3. Seleccione una de las siguientes opciones:

    • Administrar el flujo de trabajo de incidentes en RSA Security Analytics.

      • Permita que los analistas eleven tareas de corrección para la línea de espera de destino de Operaciones como vales.
      • Permita que los analistas eleven tareas de corrección para la línea de espera de destino de GRC como observaciones.
      • Permita a los analistas informar vulneraciones de datos y activar el proceso de respuesta ante vulneración en la solución RSA Archer Security Operations Management.

        Para obtener más información, consulte Configurar ajustes de integración para administrar incidentes en Security Analytics en la guía de Incident Management.

    • Administrar el flujo de trabajo de incidentes exclusivamente en RSA Archer Security Operations Management.
  4. Haga clic en Aplicar.

Nota: Este paso también se aplica a la integración con Archer SecOps 1.2.

Paso 3: Configurar el reenvío al servicio Security Analytics Incident Management

  • Para reenviar las alertas de Security Analytics Event Stream Analysis a Security Analytics Incident Management, realice lo siguiente:

    1. En el menú de Security Analytics, seleccione Administration > Servicios > servicio ESA.
    2. Seleccione un servicio ESA y elija  > Ver > Configuración.
    3. Haga clic en la pestaña Opciones avanzadas.
    4. Asegúrese de que de manera predeterminada esté seleccionada la casilla de verificación Reenviar alertas en bus de mensajes. Si es necesario, seleccione la casilla de verificación Reenviar alertas en bus de mensajes y haga clic en Aplicar
  • Para reenviar alertas de Security Analytics Reporting Engine a Security Analytics Incident Management, realice lo siguiente:

    1. En Security Analytics, haga clic en Administration > Servicios > servicio Reporting Engine.
    2. Haga clic en  > Ver > Configuración para el servicio Reporting Engine.
    3. Haga clic en la pestaña General.
    4. En la sección Configuración del sistema, seleccione la casilla de verificación Reenviar alertas a IM y haga clic en Aplicar.
  • Para reenviar alertas de Security Analytics Malware Analysis a Security Analytics Incident Management, realice lo siguiente:

    1. En Security Analytics, haga clic en Administration > Servicios > servicio Malware Analysis.
    2. Haga clic en  > Ver > Configuración para el servicio MA.
    3. Haga clic en la pestaña Auditoría.
    4. En la sección Alerta de Incident Management, verifique que la casilla de verificación Valor de configuración activado esté seleccionada. Si no lo está, selecciónela y haga clic en Aplicar.

Paso 4: Reenviar alertas de ECAT al servicio Security Analytics Incident Management

Las alertas de RSA ECAT pueden enviarse a RSA Archer GRC a través de Security Analytics Incident Management.

  1. Configure alertas por bus de mensajes: Configurar alertas de ECAT a través del bus de mensajes.
  2. En RSA ECAT, haga clic en Configurar > Monitoreo y componentes externos.
  3. En la ventana Configuración de componentes externos, seleccione el intermediador de mensajes de incidentes.
  4. Haga clic en Add (+).
  5. Complete los siguientes campos: 

    • Nombre de instancia
    • Dirección IP o nombre de host del servidor. Ingrese la dirección IP o el DNS de host del servidor de RSA Security Analytics.
    • Número de puerto. El puerto predeterminado es 5671.
  6. Haga clic en Guardar.

Paso 5: Agregar alertas en incidentes

Las alertas que llegan a Security Analytics Incident Management se pueden agregar automáticamente en incidentes y se reenvían a RSA Archer Security Operations Management. Las reglas de agregación se ejecutan automáticamente cada minuto y agregan las alertas en incidentes en función de las condiciones de coincidencia y las opciones de agrupación seleccionadas. Para obtener más información sobre la agregación de alertas, consulte el tema Configurar orígenes de alertas para mostrar alertas en Incident Management de la Guía de configuración de Incident Management

Para configurar la agregación de alertas:

  1. En Security Analytics, vaya a Incidentes > Configurar > Reglas de agregación.
  2. Para habilitar las reglas que se proporcionan de manera inmediata, realice lo siguiente:

    1. Haga doble clic en la regla.
    2. Seleccione Activado.
    3. Haga clic en Guardar.
    4. Repita los pasos a-c para cada regla.
  3. Para agregar una nueva regla, realice lo siguiente:

    1. Haga clic en Add (+).
    2. Seleccione Activado.
    3. Complete los siguientes campos:

      • Nombre de la regla
      • Acción
      • Condiciones de coincidencia
      • Opciones de agrupación
      • Opciones de incidente
      • Prioridad
      • Notificaciones
  4. Haga clic en Guardar.

Configurar la acción de salida de syslog para Reporting Engine para Security Analytics

  1. En Security Analytics, vaya a Administration > Servicios.
  2. Seleccione el servicio Reporting Engine y haga clic en Sistema > Configuración.
  3. Haga clic en la pestaña Acciones de salida.
  4. En la sección Configuración de SA, en el campo Nombre de host, ingrese el nombre de host o la dirección IP de su servidor de Reporting Engine.
  5. Agregue la configuración de syslog de la siguiente manera:
    1. En el campo Nombre del servidor, ingrese el nombre de host del UCF.
    2. En el campo Puerto del servidor, ingrese el puerto que seleccionó en la configuración de syslog del UCF.
    3. En el campo Protocolo, seleccione el protocolo de transporte.

      Nota: Si selecciona TCP seguro, se debe configurar SSL.

  6. Haga clic en Guardar.

Configurar SA RE SSL para el servidor de syslog seguro 

Si el servidor de syslog está configurado con TCP seguro, configure el SSL.

  1. Copie el certificado keystore.crt.der desde la máquina UCF en <install_dir>\RSA\SA IM integration service\cert-tool\certs al servidor de Security Analytics en /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.65-0.b17.el6_7.x86_64/jre/lib/security
  2. Ejecute el siguiente comando:

    keytool -import -file keystore.crt.der -alias ucf-syslog -keystore cacerts -storepass changeit

    Nota: No copie ni pegue el código anterior. Escríbalo para evitar errores.

  3. Habilite ServerCertificateValidationEnabled en true:

    • Navegue a la página de administración de la interfaz del usuario de SA.
    • Haga clic en Ver > Explorar en el servicio Reporting Engine (RE)
    • Expanda com.rsa.soc.re
    • Expanda sslContextConfiguration y configure ServerCertificateValidationEnabled como verdadero.
  4. Reinicie el servicio de RE.

Configurar reglas en Security Analytics 

  1. Haga clic en Informes > Administrar.
  2. En Grupos, haga clic en Reglas.
  3. Haga clic en Add (+).
  4. Introduzca un nombre para el nuevo grupo.
  5. Seleccione el grupo que creó y, en la barra de herramientas Regla, haga clic en Agregar (+).
  6. En el campo Nombre de syslog, escriba un nombre para la configuración de syslog de SecOps que se usará para configurar alertas.
  7. En el campo Tipo de regla, seleccione Base de datos de NetWitness.
  8. Ingrese un nombre para la regla.
  9. Ingrese valores en los campos Select y Where en función de la regla que desea crear.

    Nota: Agregue la configuración de syslog con el nombre de syslog definido anteriormente.

  10. Haga clic en Guardar.

Nota: Para ver la misma cantidad de alertas en SA RE y RSA Archer GRC, asegúrese de haber seleccionado Una vez para ejecución en las pestañas Syslog y Registro.

Agregar plantillas de alertas para Reporting Engine en Security Analytics

La configuración de syslog UCF viene con plantillas de alerta listas para usar que puede utilizar cuando crea una alerta con una acción de salida de syslog. Estas plantillas definen los criterios que se usan para agregar alertas a incidentes en su RSA Archer GRC Platform.

Las plantillas de ejemplo se encuentran en la siguiente ubicación del sistema UCF:

<install_dir>\SA IM integration service\config\mapping\templates\SecOps_SA_Templates

  1. Haga clic en Informes > Administrar > Alertas.
  2. Haga clic en la pestaña Plantilla.
  3. Haga clic en Add (+).
  4. En el campo Nombre, ingrese un nombre para la plantilla de alerta.
  5. En el campo Mensaje, ingrese el mensaje de alerta.
  6. Haga clic en Crear.
  7. Repita los pasos 3 a 6 para cada plantilla de alerta que desea agregar.

Configurar alertas en Security Analytics

En RSA Security Analytics Reporting Engine, una alerta es una regla que puede programar para ejecutarse de forma continua y registrar las conclusiones en varias salidas de alerta diferentes.

  1. Haga clic en Informes > Administrar > Alertas.
  2. Haga clic en Add (+).
  3. Seleccione Habilitar.
  4. Seleccione la regla que creó.
  5. Seleccione Migrar a decodificadores.

    Nota: Si no ingresa un valor en este campo, el vínculo en la aplicación RSA Archer Security Alerts a RSA Security Analytics no funcionará.

  6. En la lista Orígenes de datos, seleccione su origen de datos.
  7. En la sección Notificación, seleccione Syslog.
  8. Haga clic en Add (+).
  9. Complete los campos de configuración de syslog.
  10. En el campo Plantilla de cuerpo, seleccione la plantilla que desea usar para esta alerta de syslog.
  11. Haga clic en Guardar.

Configurar ajustes de notificación de syslog de ESA en Security Analytics

  1. Haga clic en Administration > Sistema> Notificaciones globales.
  2. Haga clic en la pestaña Salida.
  3. Defina y habilite una notificación de syslog de ESA.
  4. Haga clic en la pestaña Servidores.
  5. Defina y habilite un servidor de notificación de syslog.
  6. En la sección Configuración del servidor de syslog, ingrese lo siguiente:

    Descripción del campo:

    • Servidor
    • Nombre
    • Especifique el nombre de host o la dirección IP del sistema en el que se instala el UCF.
    • Servidor
    • Puerto
    • Especifique el número de puerto en el que desea que UCF escuche
    • Mensajes de alerta de syslog

    Facility:

    • Especifique la funcionalidad de syslog

    Protocolo:

    • Seleccione el protocolo.
  7. Haga clic en Guardar.

Configurar SA ESA SSL para el servidor de syslog seguro en Security Analytics

Si el servidor de syslog está configurado con TCP seguro, configure el SSL.

  1. Navegue a Administration > Servicios.
  2. Seleccione el servicio de ESA. Vaya a Explorar > Configuración > SSL .
  3. Configure ServerCertificateValidationEnabled en true.
  4. Copie el certificado keystore.crt.der desde la máquina UCF en <install_dir>\SAIM integration service\cert-tool\certs en la computadora de ESA en /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.65.0.b17.el6_7.x86_64/jre/lib/security.
  5. Ejecute el siguiente comando:

    keytool -import -file keystore.crt.der -alias ucf-syslog -keystore cacerts -storepass changeit

    Nota: No copie ni pegue el código anterior. Escríbalo para evitar errores.

  6. Reinicie los servicios de ESA.

Agregar las plantillas de alerta de ESA en Security Analytics 

La configuración de syslog UCF viene con plantillas de alerta listas para usar que puede utilizar cuando crea una alerta con una acción de salida de syslog. Estas plantillas definen los criterios que se usan para agregar alertas a incidentes en su RSA Archer GRC Platform.

Las plantillas de ejemplo se encuentran en la siguiente ubicación del sistema UCF:

<install_dir>\SA IM integration service\config\mapping\templates\SecOps_SA_

Templates\SecOps_SA_ESA_templates.txt

Procedimiento:

1. Seleccione Administration > Sistema > Notificaciones globales.

2. Haga clic en la pestaña Plantillas.

3. Haga clic en Add (+).

4. En el campo Tipo de plantilla, seleccione Event Stream Analysis.

5. En el campo Nombre, ingrese el nombre de la plantilla.

6. (Opcional) En el campo Descripción, ingrese una descripción breve de la plantilla.

7. En el campo Plantilla, ingrese el mensaje de alerta.

8. Haga clic en Guardar.

9. Repita los pasos del 3 al 8 para cada plantilla de alerta que desea agregar.

Crear reglas de ESA en Security Analytics

  1. Haga clic en Alertas > Configurar.
  2. Seleccione el dispositivo de ESA.
  3. Haga clic en Seleccionar.
  4. En la barra de herramientas Reglas de ESA, haga clic en+.
  5. Seleccione Generador de reglas.
  6. En el campo Nombre, escriba un nombre para la regla.
  7. En el campo Descripción, escriba una descripción para la regla.
  8. Seleccione una gravedad.
  9. En la sección Condición, realice lo siguiente:

    1. Haga clic en +para crear una declaración.
    2. Ingrese un nombre, seleccione un tipo de condición y agregue pares de metadatos/valores para la declaración.
    3. Haga clic en Guardar.
    4. Repita los pasos del a al c hasta que haya creado todas las declaraciones para la regla.
  10. En la sección Notificaciones, seleccione Syslog.
  11. Seleccione la notificación, el servidor de syslog y la plantilla que se crearon anteriormente.
  12. Haga clic en Save y Close.
  13. Haga clic en Alertas > Configurar > Implementaciones.
  14. Haga clic en+para la sección Servicios de ESA.
  15. Seleccione el servicio de ESA.
  16. Haga clic en Implementar ahora.
  17. En la sección Reglas de ESA, haga clic en + para elegir la regla de ESA que creó y haga clic en Implementar ahora.

Feed de datos de Archer

De forma predeterminada, solo los campos Dirección IP y Clasificación de criticidad de la aplicación RSA Archer Devices se alimentan en RSA Security Analytics mediante el servicio de integración de Security Analytics Incident Management. Puede personalizar el plug-in de Enterprise Management para incluir los campos Unidad de negocios y Funcionalidad que tienen referencia cruzada en la aplicación Dispositivos en el feed. Para obtener más detalles, consulte la documentación de Archer en https://community.emc.com/community/connect/grc_ecosystem/rsa archer o https://community.emc.com/community/connect/grc_ecosystem/rsa_archer_exchange.

Nota: Si planea incluir información de Unidad de Negocio y Funcionalidad desde RSA Archer GRC Platform en Live, también debe agregar claves para estos campos en el archivo index-concentrator-custom.xml.

El administrador puede realizar varias tareas en Security Analytics, incluidas las siguientes: 

                    

Actualizar los servicios de Concentrator y Decoder

El servicio de integración de Security Analytics Incident Management administra los archivos para un feed personalizado y los deposita en una carpeta local que se especifica cuando se configura el servicio de integración de Security Analytics Incident Management. El módulo Live de RSA Security Analytics recupera los archivos de feed de esta carpeta. A continuación, Live inserta el feed en los Decoders, los cuales comienzan a crear metadatos según el tráfico de red capturado y la definición del feed. Para que cada Concentrator sea consciente de los nuevos metadatos creados por los Decoders, debe editar los archivos index-concentrator-custom.xml, index-logdecoder-custom.xml e index-decoder-custom.xml.

  1. En el menú de Security Analytics, haga clic en Administration > Servicios.
  2. Seleccione el Concentrator y elija Ver > Configuración.
  3. Haga clic en la pestaña Archivos.
  4. En la lista desplegable, seleccione index-concentrator-custom.xml. Realice una de las siguientes acciones
    • Si el contenido ya existe en el archivo, agregue una clave para el nuevo elemento de metadatos de la siguiente manera:

      <key description="Criticality" format="Text" level="IndexValues"

      name="criticality" defaultAction="Open"/>

      Nota: No copie ni pegue el código. Escríbalo para evitar errores.

    • Si el archivo está en blanco, agregue el siguiente contenido:

      <?xml version="1.0" encoding="utf-8"?>
      <language level="IndexNone" defaultAction="Auto">
      <key description="Criticality" format="Text" level="IndexValues"
      name="criticality" defaultAction="Open"/>
      </language>

  5. Haga clic en Aplicar.
  6. Si no aparece ningún servicio, haga clic en Aplicar.
  7. Para agregar varios dispositivos, realice lo siguiente:

    1. Haga clic en Migrar.
    2. Seleccione los dispositivos a los que desea migrar este archivo.
    3. Haga clic en Aceptar.
  8. Repita los pasos 1 al 7 para los Log Decoders e Index Decoders mediante index-logdecoder-custom.xml e index-decoder-custom.xml.
  9. Detenga e inicie los servicios de Concentrator y Decoder.

Agregar el extremo de RSA Archer Enterprise Management en el UCF

  1. En el administrador de conexión de UCF, seleccione el modo, como se indica a continuación:

    1. Ingrese el número para la selección de modo.

    2. Seleccione una de las siguientes opciones:

      • Administrar el flujo de trabajo de incidentes en RSA Security Analytics.
      • Administrar el flujo de trabajo de incidentes exclusivamente en RSA Archer Security Operations Management.
  2. Agregar el extremo de RSA Archer Enterprise Management, de la siguiente manera:

    1. Ingrese el número para Enterprise Management.
    2. Complete los campos en la siguiente tabla.

                                           
      CampoDescripción
      Nombre del terminalNombre del extremo opcional.
      Puerto del servidor webEl valor predeterminado es 9090. Puede configurarse para alojar la url del servidor web. Se debe proporcionar la dirección URL con el número de puerto como la URL en el feed de SA Live: http(s)://hostname:port/archer/sa/feed
      Importancia

      Importancia de los recursos que se extraen de RSA Archer GRC.

      Si es falso, extraiga los recursos que tengan cualquier criticidad.

      Si es verdadero, extraiga los recursos que solo tengan criticidad alta.

      Para configurarlo manualmente, edite la propiedad em.criticality en el archivo de propiedades de collector-config para proporcionar una lista de criticidades separada por comas: BAJA, MEDIA, ALTA. 

      Directorio de feed

      Directorio donde se guarda el archivo CSV de recursos de RSA Archer GRC.

      Nota: Debe existir la ruta del directorio proporcionada.

      Nombre de usuario del servidor web

      Nombre de usuario para autenticación en el servidor web de EM.

      Nota: Esta información se proporciona mientras se configura el feed de SA Live.

      Contraseña del servidor web

      Contraseña para autenticación del servidor web de EM.

      Nota: Esta información se proporciona mientras se configura el feed de SA Live.

      Modo SSL

      Se configura de manera predeterminada en No.

      Si es No, la dirección URL utiliza el modo http: http://hostname:port/archer/sa/feed

      Si es , la dirección URL utiliza el modo https: https://hostname:port/archer/sa/feed

      Si no ha actualizado el archivo host, consulte Actualizar el archivo host de RSA Security Analytics para el modo SSL.

  3. Si seleccionó Sí para el modo SSL, complete los siguientes campos:

    • Copie los certificados en la casilla SA. Ingrese para que los certificados se copien automáticamente desde RSA Archer Security Operations Management a RSA Security Analytics.
    • Host de SA. Ingrese el nombre de host o la dirección IP del servidor de SA.
    • Nombre de usuario de host de SA. Ingrese el nombre de usuario para iniciar sesión en el servidor de SA para copiar los certificados.
    • Contraseña de host de SA. Ingrese la contraseña para iniciar sesión en el servidor de SA para copiar los certificados.

Nota: Si no se puede copiar los certificados ni agregar el extremo, cópielos manualmente. Consulte Copiar manualmente los certificados de Enterprise Management en Solucionar problemas de integración de RSA Archer. Después de copiar los certificados, debe agregar el plug-in de Enterprise Management sin copiar automáticamente los certificados.

Actualizar el archivo host de RSA Security Analytics para el modo SSL

  1. Edite el archivo host en el servidor de SA en la siguiente ubicación: vi /etc/hosts
  2. Ingrese lo siguiente para la dirección IP del host de UCF:

    <ucf-host-ip> <ucf-host-name>

  3. Reinicie el servidor de SA mediante la ejecución del siguiente comando:

    restart jettysrv

  4. Mientras se configura el feed de SA Live, ingrese el nombre de host para la dirección URL en lugar de la dirección IP y el número de puerto configurados para el terminal de Enterprise Management en el UCF:

    https: //<ucf-host-name> : <EM_Port>/archer/sa/feed.

  5. Verifique que la conexión funcione.

Crear una tarea de feed recurrente

Para que RSA Security Analytics descargue los archivos de feed del servicio de integración de Security Analytics Incident Management y migre los feeds a los Decoders, debe crear una tarea de feed recurrente y definir la configuración del feed.

Nota: Para RSA Archer SecOps 1.2: Para que RSA Security Analytics descargue los archivos de feed desde la máquina de RCF y migre los feeds a los Decoders, debe crear una tarea de feed recurrente y definir la configuración del feed. El procedimiento es similar a RSA Archer SecOps 1.3, con algunas excepciones. Consulte la documentación en la Comunidad RSA Archer Exchange para obtener detalles. 

  1. En el menú de Security Analytics, haga clic en Feeds de>Live.
  2. Haga clic en .
  3. Seleccione Feed personalizado y haga clic en Siguiente.
  4. Seleccione Recurrente.
  5. Ingrese un nombre para el feed.
  6. En el campo URL, ingrese una de las siguientes opciones:

    donde http(s):ucf_hostname_or_ip:port es la dirección del sistema del servicio de integración de Security Analytics Incident Management. Utilice https si habilitó la comunicación de SSL con RSA Security Analytics. Por ejemplo: http://10.10.10.10:9090 or https://10.10.10.10:8443.

    Nota: Si Incident Management se está ejecutando en modo SSL, se debe utilizar el nombre de host en la dirección URL.

  7. Seleccione Autenticado.
  8. En los campos Nombre de usuario y Contraseña, ingrese las credenciales de la cuenta de usuario que creó para que RSA Security Analytics las utilice para acceder a los archivos del sistema del servicio de integración de Security Analytics Incident Management.
  9. Defina el intervalo de periodicidad para el feed.
  10. En la sección Rango de fechas, defina una fecha de inicio y una fecha de finalización para el feed y haga clic en Siguiente.
  11. Seleccione cada Decoder al cual desea enviar este feed y haga clic en Siguiente.
  12. En el campo Tipo, asegúrese de que esté seleccionada la IP.
  13. En el campo Columna de índice, seleccione 1.
  14. En la segunda columna, establezca el valor clave para la criticidad y haga clic en Siguiente.
  15. Revise los detalles de configuración del feed y haga clic en Finalizar.

Administrar el RSA Unified Collector Framework

En este tema se proporcionan tareas adicionales para configurar y administrar RSA Unified Collector Framework (UCF) para la integración de Archer SecOps 1.3. 

Iniciar el RSA Unified Collector Framework

  1. Haga clic en Panel de control > Herramientas administrativas > Servicios.
  2. Seleccione RSA Unified Collector Framework.
  3. Haga clic en Iniciar.

Detener el RSA Unified Collector Framework

  1. Haga clic en Panel de control > Herramientas administrativas > Servicios.
  2. Detenga el servicio de vigilancia de RSA SecOps.

    Nota: Si no detiene el servicio de vigilancia, este inicia el servicio Security Analytics Incident Management antes de lo previsto.

  1. Seleccione RSA Unified Collector Framework.
  2. Haga clic en Detener.

Nota: Si el servicio tarda demasiado en apagarse, utilice el Administrador de tareas para finalizar RSASAIMDCService. 

Desinstalar el RSA Unified Collector Framework

  1. Haga clic en Panel de control> Programas y funciones
  2. Seleccione RSA Unified Collector Framework.
  3. Haga clic en Desinstalar.
You are here
Table of Contents > Configurar Security Analytics para trabajar con Archer

Attachments

    Outcomes