Configuración de SA: Configurar el registro de auditoría global

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Descripción general

El registro de auditoría global proporciona a los auditores de Security Analytics visibilidad consolidada en tiempo real de las actividades de los usuarios dentro de Security Analytics desde una ubicación centralizada. Esta visibilidad incluye registros de auditoría recopilados desde el sistema Security Analytics y desde los distintos servicios de toda la infraestructura de Security Analytics. 

Los registros de auditoría de Security Analytics se recopilan en un sistema centralizado que los convierte al formato requerido y los reenvía a un sistema de syslog externo. El sistema de syslog externo puede ser un servidor de syslog de otros fabricantes o un Log Decoder.   

El registro de auditoría global se configura en el panel Configuraciones de registro de auditoría global. Una plantilla del registro de auditoría define el formato y los campos de mensajes de las entradas del registro de auditoría. Una configuración de servidor de notificación de syslog define el destino para enviar los registros de auditoría. Si desea reenviar registros de auditoría a un Log Decoder, configure un tipo de servidor de notificación de syslog para el Log Decoder.

Las siguientes son algunas de las acciones de los usuarios que se registran desde Security Analytics:

  • Sesión iniciada correctamente del usuario 
  • Error de inicio de sesión del usuario 
  • Cierres de sesión del usuario
  • Máximo de errores al iniciar sesión superado
  • Todas las páginas de la interfaz del usuario a las cuales se accedió
  • Cambios en la configuración confirmados (incluido cuando un usuario cambia su propia contraseña)
  • Consultas que realizó el usuario
  • Acceso del usuario denegado
  • Operaciones de exportación de datos

Después de que crea una configuración del registro de auditoría global, los registros de auditoría que contienen estas acciones de usuario se dirigen automáticamente al sistema de syslog externo en el formato especificado en la plantilla del registro de auditoría seleccionada. Puede crear múltiples configuraciones del registro de auditoría global para distintos destinos que usan distintas plantillas. Por ejemplo, puede crear una configuración del registro de auditoría global para un servidor de syslog externo con una plantilla que contiene todas las claves de metadatos disponibles, y otra para un Log Decoder con una plantilla que contiene claves de metadatos seleccionadas. 

Para Log Decoders, debe usar 10.5 Default Audit CEF Template. Puede agregar o eliminar campos de la plantilla del formato de evento común (CEF) si tiene requisitos específicos. Definir una plantilla para el registro de auditoría global proporciona instrucciones y Claves de metadatos de CEF compatibles describe las claves de metadatos de CEF disponibles para usar en las plantillas del registro de auditoría.

Para servidores de syslog de otros fabricantes, puede usar una plantilla del registro de auditoría predeterminada o definir un formato propio (CEF o no CEF). Definir una plantilla para el registro de auditoría global proporciona instrucciones y Variables de claves de metadatos del registro de auditoría global compatibles describe las variables disponibles.

Los auditores pueden ver los registros de auditoría en el Log Decoder seleccionado o en un servidor de syslog de otros fabricantes. Si usan un Log Decoder, los auditores pueden ver los registros de auditoría mediante Security Analytics Investigation o Reports. 

En la siguiente figura se muestran registros de auditoría global en Investigation (Investigation > Eventos).

Para obtener ejemplos de algunas de las acciones de los usuarios que se registran, consulte Cuadro de diálogo Agregar nueva configuración. Para obtener una lista de los tipos de mensaje que registran los diversos componentes de Security Analytics, consulte Referencia de operaciones del registro de auditoría global

Configurar el registro de auditoría global: procedimiento general

El registro de auditoría global se configura en el panel Configuraciones de registro de auditoría global, al cual se accede desde la vista Sistema > Auditoría global de Administration. Antes de que pueda configurar el registro de auditoría global, debe configurar un servidor de notificación de syslog y una plantilla del registro de auditoría. Un servidor de notificación de syslog define el destino al cual se envían los registros de auditoría. Una plantilla del registro de auditoría define el formato y los campos de mensajes de la entrada del registro de auditoría. 

En el panel Configuraciones de registro de auditoría global se proporciona un vínculo ver configuración que lo lleva al panel Notificaciones globales (vista Sistema > Notificaciones globales de Administration), donde puede configurar el servidor de notificación de syslog y la plantilla del registro de auditoría. 

Realice los siguientes procedimientos en el orden que se muestra para configurar el registro de auditoría global.

                             
ProcedimientosReferencia/instrucciones
  1. Configurar un servidor de notificación de syslog.
Configure un servidor de notificación de syslog que se usará para el registro de auditoría global. Puede definir un servidor de syslog de otros fabricantes o un Log Decoder como destino para recibir los registros de auditoría.
Configurar un destino para recibir registros de auditoría global. Las configuraciones del registro de auditoría global usan el tipo de servidor de notificación de syslog. Si desea reenviar registros de auditoría a un Log Decoder, cree un servidor de notificación de tipo syslog. 
  1. Seleccione o configure una plantilla del registro de auditoría que se usará.
Seleccione una plantilla del registro de auditoría para el servidor de notificación de syslog. Puede usar una plantilla del registro de auditoría predeterminada o definir una plantilla propia. Las configuraciones del registro de auditoría global usan el tipo de plantilla del registro de auditoría y un servidor de notificación de syslog.
Configurar plantillas para notificaciones En la sección, se ofrece más información.
Para Log Decoders, use 10.5 Default Audit CEF Template. Puede agregar o quitar campos de la plantilla del formato de evento común (CEF) si tiene requisitos específicos. En Definir una plantilla para el registro de auditoría global se proporcionan instrucciones. 
Para servidores de syslog de otros fabricantes, puede usar una plantilla del registro de auditoría predeterminada o definir un formato propio (CEF o no CEF). Definir una plantilla para el registro de auditoría global proporciona instrucciones y Variables de claves de metadatos del registro de auditoría global compatibles describe las variables disponibles.
  1. (Opcional: solo si consume con un Log Decoder) Implementar el analizador del formato de evento común en el Log Decoder desde Live.
Asegúrese de haber implementado y habilitado el analizador del formato de evento común más reciente desde Live. En Buscar e implementar recursos de Live y Habilitar e inhabilitar analizadores de registros se proporcionan instrucciones. 
  1. Definir una configuración del registro de auditoría global, la cual establece cómo se reenvían los registros de auditoría global a sistemas de syslog externos. 
Definir una configuración del registro de auditoría global proporciona instrucciones. Después de agregar una configuración del registro de auditoría global, los registros de auditoría se reenvían al servidor de notificación seleccionado en la configuración.
  1. Verificar que los registros de auditoría global muestren los eventos de auditoría.
Pruebe los registros de auditoría para asegurarse de que muestren los eventos de auditoría definidos en la plantilla del registro de auditoría. Verificar registros de auditoría global proporciona instrucciones.
You are here
Table of Contents > Procedimientos estándar > Configurar el registro de auditoría global

Attachments

    Outcomes