Configuración de NW: Claves de metadatos de CEF compatibles

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on May 2, 2018
Version 3Show Document
  • View in full screen mode
 

En este tema se describen las claves de metadatos del formato de evento común (CEF) compatibles con el registro de auditoría global de NetWitness Suite. 

Las plantillas del registro de auditoría global que define para un Log Decoder usan el formato de evento común (CEF) y deben cumplir con los siguientes requisitos estándar específicos:

  • Incluya los encabezados de CEF en la plantilla.
  • Use solo las extensiones y las extensiones personalizadas en el formato (Clave=Valor) que se presenta más abajo en la tabla de claves de metadatos.
  • Asegúrese de que las extensiones y las extensiones personalizadas estén en el formato key=${string}<space>key=${string}

Para servidores de syslog de otros fabricantes, puede definir un formato propio (CEF o no CEF).

Los procedimientos relacionados con esta tabla se describen en Definir una plantilla para el registro de auditoría global y Configurar el registro de auditoría global.

Claves de metadatos del formato de evento común (CEF) compatibles

En la siguiente tabla se describen las claves de metadatos de syslog de CEF compatibles con el registro de auditoría global de NetWitness Suite. Los campos Fecha y hora y Nombre del host en Prefijo de syslog no son configurables y no se incluyen en la plantilla, pero se anteponen de manera predeterminada a cada mensaje del registro. El encabezado de CEF es requisito para cumplir con el estándar CEF y para cualquier analizador de CEF. Las extensiones y las extensiones personalizadas son opcionales. Default Audit CEF Template contiene muchos de los campos de esta tabla. Puede agregar cualquiera de las extensiones y las extensiones personalizadas que se enumeran en la plantilla del registro de auditoría global que usted define.

                                                                                                                                                                                                                                                                             
Campo de CEFCadenaDescripciónClaves de metadatos de NW

Índice en
Log Decoder

Prefijo de syslog     
Fecha y horaNo configurableFecha y hora del encabezado de syslogevent.time.strTransitorio
HostnameNo configurableNombre de host del encabezado de syslogalias.hostNinguno
Encabezado de CEF  El campo Encabezado de CEF es requisito para cumplir con el estándar CEF y para cualquier analizador de CEF.   
CEF:VersionCEF:0Encabezado de CEF--STATIC--N/D
DeviceVendor${deviceVendor}El proveedor del producto, RSA-N/D
DeviceProduct${deviceProduct}La familia de productos. Es siempre Auditoría de NetWitness Suite.productTransitorio
DeviceVersion${deviceVersion}Versión del host/servicioversionTransitorio
ID de la firma${category}Identificador del evento de auditoría. Especifica la categoría del evento de auditoría.event.typeNinguno
Nombre${operation}Descripción del eventoevent.descNinguno
Gravedad${severity}Severidad del evento de auditoríaseverityTransitorio
Extensiones     
deviceExternalId${deviceExternalId}ID único del host o servicio que genera el evento de auditoríahardware.idTransitorio
deviceFacility${deviceFacility}Funcionalidad de syslog que se usa cuando el evento se escribe en el demonio de syslog. Por ejemplo, authpriv.cs.devfacilityPersonalizado
deviceProcessName${deviceProcessName}Nombre del archivo ejecutable que corresponde a dvcpidprocessNinguno
dpt${destinationPort}Puerto de destinoip.dstportNinguno
dst${destinationAddress}Dirección IP de destinoip.dstNinguno
dvcpid${deviceProcessId}ID del proceso que genera el evento, que es el ID de proceso del servicio de NetWitness Suiteprocess.idTransitorio
msg${text}Texto libre, información adicional o descripción real del eventomsgTransitorio
outcome${outcome}Resultado de la operación realizada correspondiente al evento de auditoríaresultTransitorio
proto${transportProtocol}Protocolo de red utilizadoprotocolTransitorio
requestClientApplication${userAgent}Detalle del navegador del usuario que accede a la páginauser.agentTransitorio
rt${timestamp}Hora en que se informa el eventoevent.timeNinguno
sourceServiceName${sourceService}Servicio que es responsable de generar este eventoservice.nameTransitorio
spt${sourcePort}Puerto de origenip.srcportTransitorio
spriv${userRole}Asignación de permisos de función del usuario. Por ejemplo:
admin.owner, appliance.manage,
connections.manage, everyone, logs.manage, services.manage,
storedproc.execute,
storedproc.manage,
sys.manage y users.manage
privilegeTransitorio
src${sourceAddress}Dirección IP de origenip.srcNinguno
suser${identity}Identidad del usuario que inició sesión y que es responsable de generar el evento de auditoría-user|-uNinguno
Extensiones personalizadas     
deviceService${deviceService}Servicio responsable de generar el eventocs.devservicePersonalizado
parameters${parameters}Parámetros de la API y de operación que capturan parámetros específicos sobre una consultaindex
 
Transitorio
 
paramKey${key}Clave de elemento de configuración. Es el parámetro de configuración para el cual se captura el evento de auditoría.

Por ejemplo: /sys/config/stat.interval

cs.keyPersonalizado
paramValue${value}Valor de configuración. Es el valor capturado durante la actualización.cs.valuePersonalizado
userGroup${userGroup}Asignación de funciones. Por ejemplo:
Administradores, Analistas, MalwareAnalysts,
Malware_Analysts, Operators,
PRIVILEGED_CONNECTION_
AUTHORITY
y SOC_Managers
grupoNinguno
referrerURL${referrerUrl}URL principal que hace referencia a la URL actualurlTransitorio
sessionId${sessionId}Identificador de la sesión o la conexiónlog.session.idTransitorio

Nota: Use todas las extensiones en el siguiente formato: 
deviceProcessName=${deviceProcessName} outcome=${outcome}
Incluya un <space> entre un valor y un nombre de etiqueta.

De manera predeterminada, ninguna clave de metadatos se indexa. En la tabla anterior, la columna Índice en Log Decoder muestra el estado de la palabra clave flags (Transitorio, Ninguno y Personalizado). Si una clave se configura en Transient, se analiza pero no se almacena en la base de datos. Si se configura en None, se indexa y se almacena en la base de datos. Una clave enumerada como “Personalizada” no existe en el archivo table-map.xml y, por lo tanto, no se almacena ni se analiza.

En “Mantener los archivos de mapa de tablas” se proporcionan instrucciones para verificar y actualizar los mapeos de tablas. En “Editar un archivo de índice de servicios” se proporciona información sobre la actualización del archivo de índice personalizado en el Concentrator.

You are here
Table of Contents > Procedimientos adicionales > Claves de metadatos de CEF compatibles

Attachments

    Outcomes