Configurar datos contextuales desde ECAT a través de un feed recurrente

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para configurar el uso de datos de RSA ECAT en Security Analytics con el fin de ofrecer datos contextuales de ECAT a sesiones de Decoder y Log Decoder. Esta configuración agrega valores de metadatos contextuales además de alertas de IOC instantáneos que se pueden usar para crear correlaciones con otros metadatos en el ecosistema de Security Analytics.

Los administradores pueden configurar Security Analytics para consumir datos contextuales de escaneos del sistema desde ECAT a través de un feed recurrente de Security Analytics Live. Esta integración puede enriquecer la sesión desde Decoder o Log Decoder con información contextual que se muestra en Security Analytics Investigation; algunos ejemplos incluyen el sistema operativo del host, la dirección MAC, el puntaje y otros datos que tal vez no estén presentes en los datos de registros o de paquetes que provienen de un Decoder o un Log Decoder.

Nota: Aunque esta función está destinada a clientes con un Packet Decoder, también es posible implementar un feed recurrente en Log Decoders.

Precaución: En ambientes con muchos hosts de ECAT, el uso de este feed recurrente puede dar lugar a un menor rendimiento en los dispositivos de recopilación de Security Analytics (Decoder y Log Decoder).

Requisitos previos

  • Servidor de ECAT Console versión 4.0 o superior y servidor de Security Analytics versión 10.4 y superior instalados.
  • RSA Decoder y Concentrator versión 10.4 o superior conectados al servidor de Security Analytics en la red.

Configuración

Para configurar esta integración:

  1. Habilite el feed de ECAT para Security Analytics en la interfaz del usuario de ECAT.
  2. Exporte el certificado de CA de ECAT desde el servidor de ECAT Console e impórtelo en el almacén de confianza de Security Analytics.
  3. Configure el servicio Security Analytics Concentrator para definir las claves de metadatos que se indexan.
  4. Cree un feed recurrente en Security Analytics Live.

Habilitar el feed de ECAT para Security Analytics

Para ECAT versión 4.0

  1. Abra la interfaz del usuario de ECAT e inicie sesión con las credenciales apropiadas.
  2. En la barra de menú, seleccione Configurar > Monitoreo de componentes externos.

    Se muestra el cuadro de diálogo Agregar componentes.

     

  3. Agregue un componente de Security Analytics. Ingrese el Nombre único y la Dirección IP o el DNS del host y haga clic en Configuración.

    Se muestra el cuadro de diálogo Configurar Security Analytics.

    EcatConfSADialog.png

  4. Ingrese la Zona horaria y haga clic en la pestaña Configuración de feed.

    EcatFeedConfTb.png

  5. Seleccione Activar feed de ECAT e ingrese el Nombre de usuario y la Contraseña. Configure el Intervalo de publicación del feed. Haga clic en Guardar.

    Se crea un feed.

  6. Tome nota de la dirección URL asignada al feed, así como del nombre de usuario y la contraseña. Esta información se utiliza en Security Analytics.
  7. Para verificar que el feed se haya creado correctamente, abra un navegador e ingrese la dirección URL. Cuando se le solicite, ingrese el nombre de usuario y la contraseña. Compruebe si se descargó un archivo con el nombre machines.csv.

Para ECAT versión 4.1

En la interfaz del usuario de ECAT:

  1. Crear un usuario de SQL en ECAT:
    1. Abra la interfaz del usuario de ECAT e inicie sesión con las credenciales apropiadas.
    2. En Seguridad, haga clic con el botón secundario en el panel y seleccione Crear usuario de sql.
      Se muestra el cuadro de diálogo Crear un nuevo usuario de SQL.
      create-sql-usr.png
    3. Proporcione el nombre de inicio de sesión y la contraseña.
  2. En la barra de menú, seleccione Configurar > Monitoreo de componentes externos.
    Aparece el cuadro de diálogo Configuración de componentes externos.
    ext-comp-config.png
  3. En Security Analytics, haga clic en +.
    Se muestra el cuadro de diálogo Security Analytics.
    sa_ecat.png
  4. En Security Analytics, en On, escriba un nombre para identificar el componente de Security Analytics.
  5. En Conexión de Security Analytics, realice lo siguiente.
    1. En Nombre de host/IP de servidor, escriba el nombre de host o la dirección IP del servidor de Security Analytics.
    2. En Puerto, el número de puerto predeterminado es 443. Si es necesario, actualice el campo.
  6. En Configurar Security Analytics, realice lo siguiente:
    1. En Zona horaria de servidores, ingrese una zona horaria para el componente.
    2. En Identificador del dispositivo, escriba el ID de dispositivo de Security Analytics Concentrator.
  7. Nota: Puede encontrar el identificador del dispositivo en Security Analytics cuando busca un Concentrator o un Broker en Investigación > Navegar ><Nombre de Broker o Concentrator>. El identificador del dispositivo es el número en la URL después de “investigation”. Por ejemplo, en la URL https://<IP address>investigation/319/navigate/values, el identificador del dispositivo es 319.

    El campo URI se completa cuando hace clic en Guardar.

  8. En Optimización de consultas, realice lo siguiente:
    1. En Min, ingrese la cantidad de minutos para el rango de tiempo de consulta mínimo. Este valor se usa para aumentar automáticamente el rango de tiempo que se envía a Security Analytics. Esto garantiza que una consulta devuelva una respuesta positiva si el tiempo informado del agente de ECAT es levemente diferente al tiempo de Security Analytics.
    2. En Máx., ingrese la cantidad de minutos para limitar el rango de tiempo. Este valor se utiliza para limitar automáticamente el rango de tiempo enviado a Security Analytics, de modo que una consulta no sobrecargue el servidor de Security Analytics.
    3. En No realizar una consulta anterior a, escriba un número de días para limitar el período de consulta. Ingrese 0 si desea descartar esta función.
  9. En Configurar feeds de ECAT para SA, realice lo siguiente:
    1. Seleccione Activar feed de ECAT.
    2. Ingrese el Nombre de usuario y la Contraseña de SQL (configurados en el paso 1) para acceder a la ubicación del feed.
      El campo URL se completa cuando hace clic en Guardar.
    3. Ingrese el intervalo de tiempo para la frecuencia con la que se publican los feeds.
  10. Haga clic en Guardar.
    Se crea un feed.

Exportar el certificado SSL de ECAT

Nota: Este procedimiento funciona solo con Security Analytics 10.5 y superior debido a que la compatibilidad con Java 8 se agregó para 10.5. Si está usando una versión anterior de Security Analytics, consulte la versión correspondiente de esta guía.

Para exportar el certificado de CA de ECAT desde el servidor de ECAT Console y copiarlo al host de Security Analytics:

  1. Inicie sesión en ECAT Console
  2. Abra MMC.
  3. Agregue un snap-in de certificado para la cuenta Computer.
  4. Exporte el certificado con el nombre EcatCA.
    1. Expórtelo sin la clave privada.
    2. Exporte en formato de codificación DER binario X.509 (.CER).
    3. Asígnele el nombre EcatCA.cer.
  5. Copie el certificado de CA de ECAT en el host de Security Analytics:
    scp EcatCA.cer root@<sa-machine>:.
  6. Para importar el certificado de CA de ECAT al almacén de confianza de Security Analytics, realice lo siguiente:
    1. Compruebe la versión de Java instalada en Security Analytics mediante el siguiente comando:
      java –version
      Se muestra la versión openjdk. Por ejemplo, openjdk version "1.8.0_71"

    Nota: La versión openjdk puede variar según la versión de Security Analytics.

    1. Para configurar el parámetro JDK, navegue al directorio de Java. Ingrese los siguientes comandos:
      JDK=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.65-0.b17.el6_7.x86_64/jre/
      $JDK/bin/keytool -import -v -trustcacerts -alias ecatca -file ~/EcatCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

      Cuando se le solicite confirmar la actualización del certificado, ingrese .
  7. En el host de Security Analytics, edite /etc/hosts para mapear la dirección IP del servidor de ECAT al nombre ecatserverexported mediante la adición de la siguiente línea al archivo:
    <ip-address-ecat-cs> ecatserverexported
  8. Para reiniciar Security Analytics, escriba los siguientes comandos:
    stop jettysrv
    start jettysrv

Configurar la tarea del feed personalizado recurrente en Security Analytics

Para configurar la tarea del feed recurrente en Security Analytics:

  1. Inicie sesión en Security Analytics y desplácese hasta Live > Feeds.
  2. Seleccione Feed personalizado > Siguiente.
  3. Haga lo siguiente:
    • Seleccione Recurrente.
    • Ingrese un Nombre, por ejemplo: EcatFeed.
    • Ingrese la dirección URL con el nombre de host del servidor de Windows donde está instalado ECAT:
      • Para RSA ECAT versión 4.0, utilice la URL https://<EcatServerHostname>:9443/ext/feed/machines.csv.
      • Para RSA ECAT versión 4.1, utilice la URL https://<EcatServerExported>:9443/api/v2/feed/machines.csv.
  4. Active la casilla de verificación Autenticado e ingrese el nombre de usuario y la contraseña que anotó anteriormente en Activar el feed de ECAT.
  5. Seleccione Verificar para comprobar que Security Analytics pueda acceder al recurso web.
  6. Defina el calendario. Haga clic en Siguiente.
    EcatDefineLiveFeed.png
  7. En la pestaña Seleccionar servicios, seleccione el Decoder o grupos para consumir el feed. Haga clic en Siguiente.
  8. En la pestaña Definir columnas, ingrese los nombres de columna como aparecen en la tabla siguiente y guarde el feed.
    EcatDefColLive.png

En la siguiente tabla muestran las columnas del archivo CSV para el feed de ECAT.

                                                                             
ColumnaNombreDescripciónNombre de la columna en Security Analytics (nombre de clave de metadatos)
1MachineNameNombre de host del agente de Windowsalias.host
2LocalIpDirección IPv4index
3RemoteIpDirección IP del extremo lejano como la ve el enrutadorstransaddr
4GatewayIpDirección IP del gatewaygateway
5MacAddressDirección MACeth.src
6OperatingSystemSistema operativo que usa el agente de WindowsSO
7AgentIDID del agente del host (ID único asignado al agente)cliente
8ConnectionUTCTimeÚltima vez que el agente se conectó al servidor de ECATecat.ctime
9Source DomainDominiodomain.src
10ScanUTC timeÚltima vez que se escaneó el agenteecat.stime
11Puntaje de la máquinaPuntaje del agente que indica el nivel sospechosorisk.num

Nota: En la tabla, la configuración recomendada del índice es LocalIp. Sin embargo, si un servidor DHCP asigna el LocalIp para la computadora de agente de ECAT y el arrendamiento de DHCP venció, y si la dirección IP se reasigna a otra computadora, los metadatos que creó el feed estarán incorrectos. Para evitar este riesgo, utilice el nombre de la máquina o la dirección Mac en lugar de la dirección localIP como índice del feed. Por ejemplo, para usar una dirección Mac, podría ingresar los valores que se muestran en la siguiente figura.

ecatfeed_mac.png

Configurar el servicio Security Analytics Concentrator

  1. Inicie sesión en Security Analytics y navegue a Administration > Servicios.
  2. Seleccione un Concentrator en la lista y, a continuación, seleccione Ver > Configurar.
  3. Seleccione la pestaña Archivos y, en el menú desplegable Archivos para editar, seleccione index-concentrator-custom.xml.
  4. Agregue las siguientes claves de metadatos de ECAT al archivo y haga clic en Aplicar. Asegúrese de que este archivo incluya las secciones XML; si las líneas no se incluyen, agréguelas. Las siguientes líneas son ejemplos; asegúrese de que los valores coincidan con su configuración y con los nombres de columna que incluyó en la definición del feed, donde:
    description es el nombre de la clave de metadatos que desea mostrar en Security Analytics Investigation.
    level es “IndexValues”
    name coincide con el nombre de columna del archivo CSV que usa Security Analytics durante la definición del feed recurrente.
    Por ejemplo, las claves de metadatos se pueden indexar de la siguiente manera:
    <key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
    <key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
    <key description="Strans Addr" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
    <key description="Ecat Scan Time" format="Text" level="IndexValues" name="ecat.stime" valueMax="250000" defaultAction="Open"/>
    <key description="Ecat Connection Time" format="Text" level="IndexValues" name="ecat.ctime" valueMax="250000" defaultAction="Open"/>

Nota: Las claves de metadatos relacionadas con el feed de ECAT que no se indexan en el archivo predeterminado (index-concentrator.xml) se pueden indexar de acuerdo con su requisito, como se muestra en el ejemplo anterior.

La siguiente es la lista de todas las claves de metadatos relacionadas con el feed de ECAT:

                                                                             
ColumnaNombreDescripciónNombre de la columna en Security Analytics (nombre de clave de metadatos)
1MachineNameNombre de host del agente de Windowsalias.host
2LocalIpDirección IPv4index
3RemoteIpDirección IP del extremo lejano como la ve el enrutadorstransaddr
4GatewayIpDirección IP del gatewaygateway
5MacAddressDirección MACeth.src
6OperatingSystemSistema operativo que usa el agente de WindowsSO
7AgentIDID del agente del host (ID único asignado al agente)cliente
8ConnectionUTCTimeÚltima vez que el agente se conectó al servidor de ECATecat.ctime
9Source DomainDominiodomain.src
10ScanUTC timeÚltima vez que se escaneó el agenteecat.stime
11Puntaje de la máquinaPuntaje del agente que indica el nivel sospechosorisk.num
  1. Reinicie el Concentrator para activar las actualizaciones de claves personalizadas.

Resultado

Cuando se ven los datos del feed en Security Analytics y tras una coincidencia del valor indexado (ip.src), se completan los metadatos en las interfaces de Investigation, Reporting y Alerting.

Solución de problemas

En este tema se sugiere cómo resolver los problemas que puede encontrar mientras trabaja con feeds recurrentes.

             
Problemas conocidosSoluciones
Con ECAT 4.1.0.2 y ECAT 4.1.1, la integración de feed de ECAT no funciona para Security Analytics.Debe usar ECAT 4.1.1.1 para que el feed funcione.
You are here
Table of Contents > Configurar datos contextuales desde ECAT a través de un feed recurrente

Attachments

    Outcomes