Configuración de SA: Verificar registros de auditoría global

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para verificar registros de auditoría global. Después de configurar el registro de auditoría global, debe probar los registros de auditoría global para asegurarse de que muestren los eventos de auditoría definidos en la plantilla del registro de auditoría global. 

Requisitos previos

Antes de iniciar esta tarea, complete los pasos que se detallan en Configurar el registro de auditoría global.

Procedimiento

Para ver y verificar los registros de auditoría global si está usando un Log Decoder:

  1. En el menú de Security Analytics, seleccione Investigation > Eventos.
  2. En la vista Navegar, seleccione el Log Decoder y haga clic en Navegar. Aparecen los registros de auditoría global y muestran Security Analytics Audit en los registros.
  3. Compare los campos de los registros de auditoría global con los campos definidos en la plantilla del registro de auditoría global que usó en la configuración del registro de auditoría global.
  4. Haga doble clic en un registro y, en el cuadro de diálogo Reconstrucción de evento, seleccione Ver metadatos.
    EvntRecViewMeta.png
  5. Verifique que los metadatos que desea auditar estén correctos. 

Ejemplo de salida de CEF

En el siguiente ejemplo se muestran registros de auditoría global para una plantilla del formato de evento común (CEF) del registro de auditoría.

Plantilla:

 CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  

Ejemplo de registros:

2015-04-09T18:45:46.313096+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|10.5.0.0|AUTHENTICATION|login|6|rt=Apr 09 2015 18:45:46 src=10.20.252.197 spt=51366 suser=admin sourceServiceName=LOG_DECODER deviceExternalId=96b08193-a9d0-4a79-b362-87b56851f411 outcome=success

2015-04-09T18:45:46.322132+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|10.5.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2015 18:45:46 src=10.20.204.33 spt=47690 suser=admin sourceServiceName=BROKER deviceExternalId= 314fb8c8-afe4-4249-9468-a36035008a52 outcome=success

2015-04-09T18:45:46.325792+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|10.5.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2015 18:45:46 src=10.20.252.197 spt=59495 suser=admin sourceServiceName=CONCENTRATOR deviceExternalId= 96b08193-a9d0-4a79-b362-87b56851f411 outcome=success

Donde <hostname> es el nombre de host del encabezado de syslog (alias.host).

Para las plantillas de CEF, si un evento de auditoría no tiene un valor para un campo en la plantilla, el campo se eliminará del evento correspondiente que llega al servidor de syslog de otros fabricantes o al Log Decoder.

Ejemplo de salida en formato en lenguaje natural

En el siguiente ejemplo se muestran registros de auditoría global para una plantilla en el formato en lenguaje natural del registro de auditoría en un servidor de syslog de otros fabricantes.

Plantilla:

 ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  

Ejemplo de registros:

06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 SA_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

You are here
Table of Contents > Procedimientos estándar > Configurar el registro de auditoría global > Verificar registros de auditoría global

Attachments

    Outcomes