Configurar alertas de ECAT mediante el bus de mensajes

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Este procedimiento se requiere para integrar ECAT con Security Analytics de modo que el componente Incident Management de Security Analytics recopile las alertas de ECAT y las muestre en la vista Incidente > Alertas.

En el siguiente diagrama se representa el flujo de alertas de ECAT para la línea de espera de Incident Management de Security Analytics y la visualización de alertas en la vista Incidente > Alertas.

Requisitos previos

Asegúrese de disponer de lo siguiente:

  • El servicio Incident Management se instala y ejecuta en Security Analytics 10.4 o superior.
  • ECAT 4.0 o superior está instalado y en ejecución.

Configurar el Broker de Incident Management como un componente de ECAT externo

Para ECAT versión 4.0

Para configurar ECAT con el fin de enviar alertas a través del bus de mensajes a la interfaz del usuario de Security Analytics:

  1. Abra la interfaz del usuario de ECAT e inicie sesión con las credenciales apropiadas.
  2. En la barra de menú, seleccione Configurar > Monitoreo y componentes externos.
    Se muestra el cuadro de diálogo Monitoreo y componentes externos.
  3. Haga clic con el botón secundario en cualquier lugar del cuadro de diálogo y seleccione Agregar componente.
    Se muestra el cuadro de diálogo Agregar componente.
  4. Proporcione la siguiente información:
  • Seleccione intermediador de IM como el Tipo de componente en las opciones del menú desplegable.
  • Escriba un nombre de usuario para identificar al intermediador de IM.
  • Escriba la Dirección IP o el DNS del host del intermediador de IM.
  • Escriba el Número de puerto.
  1. Haga clic en Guardar y en Cerrar para cerrar todos los cuadros de diálogo.

Para ECAT versión 4.1

Para configurar ECAT con el fin de enviar alertas a través del bus de mensajes a la interfaz del usuario de Security Analytics:

  1. Abra la interfaz del usuario de ECAT e inicie sesión con las credenciales apropiadas.
  2. En la barra de menú, seleccione Configurar > Monitoreo y componentes externos.
    Aparece el cuadro de diálogo Configuración de componentes externos.
  3. En Intermediador de mensajes de incidentes, haga clic en + para agregar un intermediador de mensajes de incidentes (IM).
    Se muestra el cuadro de diálogo Intermediador de mensajes de incidentes.
    ext-comp-im.png
  4. En Intermediador de mensajes de incidentes, en On, escriba un nombre para el intermediador de mensajes.
  5. En Conexión de Security Analytics, realice lo siguiente.
    1. En Nombre de host/IP de servidor, escriba la dirección IP del servidor de Security Analytics.
    2. En Puerto, el número de puerto predeterminado es 5671. Si es necesario, actualice el campo.
  6. Haga clic en Guardar.

Configurar el certificado de CA de ECAT en Security Analytics Broker

Para configurar SSL para alertas de Incident Management:

  1. En el servidor de la consola primaria de ECAT, exporte el certificado de CA de ECAT en formato .cer (X.509 codificado con base 64) desde el almacén de certificados personales de la computadora (sin seleccionar la clave privada).
  2. En el servidor de la consola primaria de ECAT (desde la computadora y la ubicación donde se encuentra el archivo ejecutable makecert de ECAT), genere un certificado de cliente para ECAT mediante el certificado de CA de ECAT. (Debe configurar el Nombre de CN como ecat).
    makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "EcatCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer
  3. En el servidor de la consola primaria de ECAT, tome nota de la huella digital del certificado de cliente generado en el paso 2. Ingrese el valor de la huella digital del certificado de cliente en la sección IMBrokerClientCertificateThumbprint del archivo ConsoleServer.Exe , como se muestra.
    <add key="IMBrokerClientCertificateThumbprint" value="?896df0efacf0c976d955d5300ba0073383c83abc"/>

Nota: Cuando ingresa el valor de la huella digital en el campo valor, asegúrese de quitar el signo de interrogación (?), ingrese el valor y guarde el archivo.

  1. En el servidor de Security Analytics, agregue el contenido del archivo de certificado de CA de ECAT en formato .cer (del paso 1) a
    /etc/puppet/modules/rabbitmq/files/truststore.pem
  2. En el servidor de Security Analytics, realice una de las siguientes acciones:
  • Ejecute el agente puppet con el siguiente comando: puppet agent -t
  • Espere 30 minutos hasta que el servidor de Security Analytics ejecute el agente.
  1. En el servidor de la consola primaria de ECAT, importe el archivo /var/lib/puppet/ssl/certs/ca.pem desde el servidor de Security Analytics al almacén de autoridades de certificación de raíz de confianza.
    Esto asegura que ECAT, como cliente, pueda confiar en el certificado del servidor de Incident Management.
  2. Reinicie el servidor de ECAT para permitir que ECAT envíe alertas a Security Analytics.
You are here
Table of Contents > Configurar alertas de ECAT mediante el bus de mensajes

Attachments

    Outcomes