Configuración de SA: Definir una plantilla para el registro de auditoría global

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para definir una plantilla del registro de auditoría destinada al uso con el registro de auditoría global. Antes de configurar el registro de auditoría global, configure un servidor de notificación de syslog y seleccione una plantilla del registro de auditoría. Puede optar por usar una plantilla del registro de auditoría predeterminada o puede definir una plantilla propia. 

Security Analytics versión 10.5 incluye dos plantillas de registro de auditoría predeterminadas:

  • 10.5 Default Audit CEF Template: puede usar esta plantilla para Log Decoders y servidores de syslog de otros fabricantes.
  • 10.5 Default Audit Human-Readable Format: puede usar esta plantilla exclusivamente para servidores de syslog de otros fabricantes. No reenvíe mensajes desde esta plantilla a un Log Decoder.

En el primer procedimiento se proporcionan instrucciones para definir una plantilla del registro de auditoría para un Log Decoder. La plantilla del registro de auditoría define el formato y los campos de mensajes de los registros de auditoría que se envían al Log Decoder o al servidor de syslog de otros fabricantes.

Las plantillas del registro de auditoría global que define para un Log Decoder usan el formato de evento común (CEF) y deben cumplir con los siguientes requisitos estándar específicos:

  • Incluya los encabezados de CEF en la plantilla.
  • Use solo las extensiones (Clave=Valor) que se indican en la tabla Claves de metadatos de CEF compatibles .
  • Asegúrese de que las extensiones estén en el formato key=${string}<space>key=${string}

En el segundo procedimiento se proporcionan instrucciones para definir una plantilla personalizada del registro de auditoría global en lenguaje natural para un servidor de syslog de otros fabricantes. Para servidores de syslog de otros fabricantes, puede definir un formato propio (CEF o no CEF).

Definir una plantilla del registro de auditoría global para un Log Decoder

Puede usar 10.5 Default Audit CEF Template para enviar registros de auditoría global a un Log Decoder. Si desea definir una plantilla propia, siga este procedimiento.

  1. En el menú de Security Analytics, seleccione Administration > Sistema.
  2. En el panel de opciones, seleccione Notificaciones globales.
  3. Haga clic en la pestaña Plantillas.
  4. Haga clic en  para configurar una plantilla.
  5. En el cuadro de diálogo Definir plantilla, proporcione la siguiente información:
    1. En el campo Nombre, escriba el nombre para la plantilla.
    2. En el campo Tipo de plantilla, seleccione el tipo de plantilla Registro de auditoría.
    3. En el campo Descripción, escriba una descripción breve para la plantilla.
    4. En el campo Plantilla, ingrese el formato de la plantilla del registro de auditoría.
      El siguiente formato es una plantilla personalizada que se proporciona como ejemplo. Difiere de la plantilla de CEF predeterminada.
       CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  
      El encabezado de syslog de CEF resaltado se requiere para ajustarse al estándar CEF y es un requisito para el analizador de CEF en el Log Decoder. Las otras claves son opcionales y puede configurarlas. Consulte todas las claves de metadatos compatibles con el analizador de CEF en el Log Decoder en la tabla Claves de metadatos de CEF compatibles .

Nota: use todas las extensiones en el siguiente formato: 
deviceProcessName=${deviceProcessName} outcome=${outcome}
Incluya un <space> entre cada par key=${string} en la sección de claves de extensión. 

  1. Haga clic en Guardar.

Una vez que defina la plantilla del registro de auditoría de CEF, asegúrese de haber implementado y habilitado el analizador del formato de evento común (CEF) más reciente desde Live. En “Buscar e implementar recursos de Live” y “Habilitar y deshabilitar analizadores de registros” se proporcionan instrucciones. 

Nota: Si necesita usar claves de metadatos específicas para Investigation y Reporting, asegúrese de que las claves de metadatos que selecciona estén indexadas en el archivo table-map.xml en el Log Decoder. Si no lo están, siga el procedimiento Mantener los archivos de mapa de tablas de la Guía de introducción de hosts y servicios para actualizar los mapeos de tablas. Asegúrese de que las claves de metadatos también estén indexadas en index-concentrator.xml en el Concentrator. En el tema Editar un archivo de índice de servicios de la Guía de introducción de hosts y servicios se proporciona información adicional.

Definir una plantilla personalizada del registro de auditoría global

Para los servidores de syslog de otros fabricantes, puede definir un formato de plantilla propio (CEF o no CEF). Puede usar la plantilla 10.5 Default Audit Human-Readable Format para enviar los registros de auditoría global a un servidor de syslog de otros fabricantes en un formato que es más fácil de leer que el formato CEF. Si desea definir una plantilla propia en lenguaje natural, siga este procedimiento.

Para Log Decoders, debe usar una plantilla de CEF con algunos requisitos específicos. En el procedimiento anterior Definir una plantilla del registro de auditoría para un Log Decoder se proporcionan instrucciones para crear una plantilla en el formato CEF.

Para definir una plantilla personalizada del registro de auditoría global en el formato en lenguaje natural:

  1. En el menú de Security Analytics, seleccione Administration > Sistema.
  2. En el panel de navegación izquierdo, seleccione Notificaciones.
  3. Haga clic en la pestaña Plantillas.
  4. Haga clic en  para configurar una plantilla.
  5. En el cuadro de diálogo Definir plantilla, proporcione la siguiente información:
    1. En el campo Nombre, escriba el nombre para la plantilla.
    2. En el campo Tipo de plantilla, seleccione el tipo de plantilla Registro de auditoría.
    3. En el campo Descripción, escriba una descripción breve para la plantilla.
    4. En el campo Plantilla, ingrese el formato de la plantilla del registro de auditoría. En el siguiente ejemplo se muestra el formato en lenguaje natural con variables de claves de metadatos seleccionadas.
       ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  
      Puede usar cualquiera de las variables de claves de metadatos compatibles con el registro de auditoría global que se muestran en la tabla Variables de claves de metadatos del registro de auditoría global compatibles .
  6. Haga clic en Guardar.

En el siguiente ejemplo se muestran registros de auditoría global en el formato en lenguaje natural para esta plantilla:

06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 SA_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Paso siguiente

Definir una configuración del registro de auditoría global proporciona instrucciones para definir una configuración del registro de auditoría global para Security Analytics.

You are here
Table of Contents > Procedimientos estándar > Configurar el registro de auditoría global > Definir una plantilla para el registro de auditoría global

Attachments

    Outcomes