Configuración de NW: Referencia de operaciones del registro de auditoría global

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on May 2, 2018
Version 3Show Document
  • View in full screen mode
 

En este tema se enumeran los tipos de mensajes que registran los diversos componentes de NetWitness Suite. La mayoría de los mensajes establecen claramente la operación que se registran; cuando sea necesario, se explica el significado del mensaje.

Después de que crea una configuración del registro de auditoría global, los registros de auditoría se dirigen automáticamente al sistema de syslog externo en el formato especificado en la plantilla del registro de auditoría seleccionada. Los tipos de mensajes que registran los diversos componentes de NetWitness Suite se muestran en las siguientes tablas.

CARLOS

En la siguiente tabla se indican las operaciones que registra CARLOS.

                                                     
Número de serieNombre de la operaciónSignificado
1SetProviderConfigurationSe agregó o se actualizó un nuevo servidor de notificación (por ejemplo, servidor de SMTP)
2SetInstanceConfigurationSe agregó o se actualizó un nuevo tipo de notificación
(por ejemplo, destino de correo electrónico)
3SetTemplateDefinitionSe agregó o se actualizó una nueva plantilla
4RemoveProviderConfigurationSe eliminó un servidor de notificación
5RemoveInstanceConfigurationSe eliminó un tipo de notificación
6RemoveTemplateDefinitionSe eliminó una definición de plantilla
7ConfirmarSe confirmó un cambio en un bean de configuración
8EstablecerSe estableció un valor de propiedad JMX a través de la vista Explorar de NetWitness Suite

ESA

En la siguiente tabla se indican las operaciones que registra Event Stream Analysis (ESA).

                                                                    
Número de serieNombre de la operaciónSignificado
9SetSourceRequestSe agregó o se actualizó un Concentrator a ESA como origen
10RemoveSourceRequestSe eliminó un Concentrator de ESA como origen
11SetEplModuleSe implementó o se actualizó un módulo de EPL en ESA
12RemoveEplModuleSe eliminó un módulo de EPL de ESA
13SetEnrichmentSourceRequestSe agregó/actualizó un origen de enriquecimiento de ESA
14RemoveEnrichmentSourceRequestSe eliminó un origen de enriquecimiento de ESA 
15SetDatabaseReferenceSe hizo una referencia a la base de datos de enriquecimiento a ESA
16UpdateEnrichmentDataSe agregaron filas de datos a un origen de enriquecimiento de ESA
17SetEnrichmentConnectionSe hizo una conexión entre un módulo de EPL y un origen de enriquecimiento
18RemoveEnrichmentConnectionSe eliminó una conexión entre un módulo de EPL y un origen de enriquecimiento
19DisableTrialModuleSe inhabilitaron reglas de prueba de ESA

Investigation

En la siguiente tabla se indican las operaciones que registra Investigations.

                                                                                                                                                                                                                      
Número de serieNombre de la operaciónSignificado
1VisualizePreferencesOperaciones relacionadas con una solicitud de visualización de Informer.
2ParallelCoordinatesOperaciones relacionadas con la carga de la navegación en la vista Coordinar.
3TimeLineOperaciones relacionadas con la carga de la navegación en la vista Cronograma.
4ExteralQueryOperación cuando se activa una consulta directa a través de la dirección URL.
5PrintViewOperaciones para abrir Investigation en la vista Imprimir.
6submitExtractFilesOperación para enviar una solicitud de extracción de archivos desde sesiones.
7submitExtractLogsOperación para enviar una solicitud de extracción de registros desde sesiones.
8submitExtractPcapOperación para enviar una solicitud de extracción de sesiones desde sesiones.
9DataScienceDrillOperación para investigar desde el informe de Data Science.
10breadCrumbsOperación para acceder a las rutas de navegación de consulta.
11CrearOperación cuando se guarda una nueva consulta de Investigation como un predicado que se usará para la integración de URL.
12userPredicatesOperación para acceder a las consultas recientes de un usuario.
13chartDefaultMetasOperación para acceder a los últimos metadatos usados para generar el gráfico de coordenadas.
14defaultDeviceOperación para acceder al dispositivo de Investigation predeterminado.
15deleteDefaultDeviceOperación para eliminar el dispositivo de Investigation predeterminado.
16chartPreferencesOperación para editar los parámetros del gráfico de navegación de Investigation, como la Altura.
17devicePreferencesOperación para guardar las preferencias del dispositivo de Investigation, como Rango de tiempo, Perfil, Grupos de metadatos, etc.
18topValuesOperación para obtener los valores principales para los metadatos. Normalmente se llama desde el dashlet Valores principales.
19MetaLanguagesOperación para leer los idiomas de metadatos desde un dispositivo.
20MetaGroupsOperaciones relacionadas con grupos de metadatos de Investigation.
21DefaultMetaKeysOperaciones relacionadas con claves de metadatos predeterminadas de Investigation.
22UpdateDefaultMetaKeysOperaciones para actualizar claves de metadatos predeterminadas de Investigation.
23UpdateMetaGroupOperaciones para actualizar grupos de metadatos de Investigation.
24ApplyMetaGroupOperaciones para usar grupos de metadatos de Investigation.
25DeactivateMetaGroupOperaciones para restablecer grupos de metadatos de Investigation en la interfaz del usuario.
26DeleteMetaGroupOperaciones para quitar el grupo de metadatos de Investigation.
27DeleteMetaGroupsOperaciones para quitar varios grupos de metadatos de Investigation.
28ImportMetaGroupsOperaciones para importar grupos de metadatos de Investigation.
29ExportMetaGroupOperaciones para exportar varios grupos de metadatos de Investigation.
30GeoMapOperación para acceder a la vista Geomap de Investigation.
31deleteEndpointCacheOperación para borrar la caché de reconstrucción de un dispositivo.
32eliminaciónOperación para eliminar plantillas de alerta.
33CustomColumnGroupOperación para aplicar o leer un grupo de columnas personalizado.
34ImportarOperaciones relacionadas con la importación de un grupo de columnas o perfiles.
35ExportarOperaciones relacionadas con la exportación de un grupo de columnas o perfiles.
36SaveProfileOperación para guardar un perfil de Investigation.
37ApplyProfileOperación para aplicar un perfil de Investigation.
38DeactivateProfileOperación para desactivar un perfil de Investigation.
39DeleteProfileOperación para eliminar un perfil de Investigation.
40DeleteProfilesOperación para eliminar varios perfiles de Investigation.

Reporting Engine

En la siguiente tabla se indican las operaciones que registra Reporting Engine.

                                                                                                                           
Número de serieNombre de la operaciónSignificado
1TEMPLATEPara todas las operaciones relacionadas con plantillas
2CHARTPara todas las operaciones relacionadas con gráficos
3REPORTPara todas las operaciones relacionadas con informes
4RULEPara todas las operaciones relacionadas con reglas
5IMAGENPara todas las operaciones relacionadas con imágenes de logotipo que se usan en los informes.
6LISTAPara todas las operaciones relacionadas con listas
7ALERTAPara todas las operaciones relacionadas con alertas
8CONFIGPara todas las operaciones relacionadas con cambios en la configuración
9SCHEDULEPara todas las operaciones relacionadas con calendarios
10FUNCIÓNPara todas las operaciones relacionadas con funciones/autorizaciones
11BATCH_JOBPara todas las operaciones relacionadas con trabajos por lotes
12SCHEDULERPara todas las operaciones relacionadas con el programador
13QUERYPROCESSORPara todas las operaciones relacionadas con procesadores de consultas
14FORMATTERPara todas las operaciones relacionadas con formateadores
15OUTPUTACTIONPara todas las operaciones relacionadas con acciones de salida
16STATUSMANAGERPara todas las operaciones relacionadas con administrador de estado
17BATCH_RUNDEFPara todas las operaciones relacionadas con valores predeterminados de ejecución de lote
18CHARTGROUPPara todas las operaciones relacionadas con grupos de gráficos
19REPORTGROUPPara todas las operaciones relacionadas con grupos de informes
20RULEGROUPPara todas las operaciones relacionadas con grupos de reglas
21LISTGROUPPara todas las operaciones relacionadas con grupos de listas
22DISKSPACEPara todas las operaciones relacionadas con espacio de disco

Warehouse Connector

En la siguiente tabla se indican las operaciones que registra Warehouse Connector.

                                                                                              
Número de serieNombre de la operaciónSignificado
1Creación de contraseña de LockboxOperación para crear la contraseña de Lockbox.
2Actualización de contraseña de LockboxOperación para actualizar la contraseña de Lockbox.
3Actualización de contraseña de LockboxOperación para actualizar la contraseña de Lockbox.
4Adición de flujoOperación para agregar un flujo.
5Adición de origenOperación para agregar un origen.
6Adición de destinoOperación para agregar un destino.
7EliminaciónOperación para quitar un origen, un flujo o un destino.
8Cambio de contraseñaOperación para cambiar la contraseña.
9Actualización de origenOperación para actualizar un origen.
10Adición de origen a flujoOperación para agregar un origen a un flujo.
11Eliminación de origen de flujoOperación para eliminar un origen de un flujo.
12Configuración de destino en flujoOperación para configurar un destino en un flujo.
13Finalización de flujoOperación para finalizar un flujo e iniciar la agregación.
14Detención de flujoOperación para detener un flujo.
15Inicio de flujoOperación para iniciar un flujo.
16Recarga de flujoOperación para volver a cargar un flujo.

Estado y condición

En la siguiente tabla se indican las operaciones que registra Estado y condición.

                       
Número de serieNombre de la operaciónSignificado
1SavePolicyRequestOperación mientras se agrega o se modifica una política.
2RemovePolicyRequestOperación mientras se quita una política.

NetWitness Suite Servicios principales

En la siguiente tabla se indican las operaciones que registran los servicios de NetWitness Suite Core.

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
Número de serieNombre de la operaciónSignificado
1FILE-CommandOperación para enumerar, recuperar y eliminar archivos de directorios aprobados en este dispositivo.
2SERVICE-StartServicio iniciado
3SERVICE-StopServicio detenido
4REDIRECT-SyslogOperación para reenvío de syslog.
5ADD-MonitorEmisión de una operación de monitoreo del sistema de archivos
6DELETE-MonitorEmisión de una operación de eliminación del sistema de archivos
7SHUTDOWN-Service/shutdown.serviceApagado del servicio del dispositivo
8REBOOT-ServiceReinicio del servicio del dispositivo
9CONFIGURE-NetworkEmisión de un cambio en la configuración de la red
10SET-NTPEmisión de una operación de configuración de NTP
11STOP-NTPEmisión de una operación de detención de NTP
12NTP-TimesyncEmisión de una operación de sincronización de hora de NTP
13SET-SNMPEmisión de una configuración de SNMP
14UPGRADE/upgradeEmisión de una operación de actualización
15create.collectionOperación para crear una recopilación vacía.
16restauraciónEmisión de una restauración
17session.aggregationEmisión de un inicio/detención de agregación
18add.deviceAdición de un dispositivo para agregación
19edit.deviceEdición de un dispositivo que se usa para agregación
20delete.deviceEliminación de un dispositivo que se usa para agregación
21capture.startInicio de la operación de captura
22capture.stopDetención de la operación de captura
23select.interfaceSelección de una interfaz de captura
24exportOperación para exportar paquetes o sesiones.
25reloadEmisión de una recarga de analizador
26schemaEmisión de una solicitud de esquema para los analizadores cargados
27upload/file.uploadEmisión de una carga de archivo
28notifyEmisión de una notificación de feed
29eliminaciónEmisión de una eliminación de archivo
30edit.configOperación de cambio en la configuración
31parsers.transformsRealización de una transformación de clave de idioma
32data.resetOperación de restablecimiento de datos
33timeoutTiempo de espera agotado de solicitud REST
34cancelarCancelación de una consulta en ejecución
35timerollOperación para eliminar los archivos de base de datos que superan un determinado límite.
36volcadoOperación para volcar información fuera de la base de datos en archivos con formato nwd.
37session.wipeEmisión de una operación de borrado de sesión
38REPLACE-RuleEmisión de una operación de reemplazo de regla
39MERGE-RuleEmisión de una operación de combinación de regla
40ERASE-RuleEmisión de la eliminación de un conjunto de todas las reglas
41ADD-RuleEmisión de una operación de adición de regla
42DELETE-RuleEmisión de la eliminación de un conjunto de reglas
43sdk.infoEmisión de información de resumen de SDK
44sdk.sessionEmisión de información de sesión de SDK
45sdk.languageEmisión del lenguaje de SDK
46sdk.aliasesEmisión de una solicitud de alias de SDK
47sdk.transformEmisión de una solicitud de transformación de SDK
48sdk.searchEmisión de una solicitud de búsqueda de contenido de sesión
49sdk.cacheOperación relacionada con la caché de contenido de sesión
50sdk.contentEmisión de una solicitud de contenido de sesión
51check.authorizationOperación para comprobar las funciones de usuario relacionadas con permisos de ejecución de una operación.
52close.connectionEmisión de una operación de cierre de conexión
53handshakeEmisión de handshake de SSL
54logon/loginOperación para iniciar sesión desde NW a los demás servicios, principalmente para los usuarios con privilegios.
55STOREDPROCOPEmisión de una cancelación/inicio de carga de archivo
56ADD-TaskAdición de una tarea calendarizada
57DELETE-TaskEliminación de una tarea calendarizada
58logoffEmisión de una operación de cierre de sesión
59list.cacertsEmisión de una operación de enumeración de certificados de CA de confianza 
60delete.cacertsEmisión de una operación de eliminación de certificados de CA de confianza
61add.cacertsEmisión de una operación de adición de certificados de CA de confianza
62restart.commandEmisión de la opción de reinicio de la línea de comandos
63delete.file/file.deleteOperación para eliminar los archivos de configuración del sistema.
64update.file/file.updateOperación para actualizar el archivo de configuración del sistema.
65create.fileEmisión de una operación de creación de archivo
66queryEmisión de una consulta de base de datos
67desbloquearEmisión de una operación de desbloqueo de cuenta de usuario
68user.addOperación para crear cuentas de usuario en dispositivos individuales.
69user.deleteOperación para eliminar un usuario en dispositivos individuales.
70group.createOperación para agregar un nuevo grupo al sistema.
71user.removeEliminar una cuenta de usuario de un grupo
72group.deleteEliminar un grupo del árbol de usuarios/grupos
73add.userEmisión de un comando de adición de usuario a recopilación
74delete.userEmisión de un comando de eliminación de usuario de recopilación
75remove.userEliminación de un usuario de una recopilación
76collection.openEmisión de un comando de apertura para una recopilación
77collection.closeEmisión de un comando de cierre para una recopilación 
78collection.deleteEmisión de un comando de eliminación de una recopilación
79reingest.startOperación para iniciar nuevamente la recopilación de datos de paquetes en la recopilación.
80feed.notifyEmisión de un comando de notificación de feed
81collectEmisión de un comando de recopilación
82collect.startEmisión de un inicio de recopilación de datos
83collection.globalEmisión de un comando de importación de analizador
84parser.reloadEmisión de un comando de recarga de analizador
85reingestOperación para volver a recopilar datos de paquetes en la recopilación.
86collection.createEmisión de un comando de creación de recopilación
87collection.restoreEmisión de un comando de restauración de recopilación
88collection.cloneEmisión de un comando de clonación de recopilación
89parser.reloadEmisión de un comando de recarga de analizador
90sdk.queryEjecuta una consulta contra la base de datos de metadatos
91sdk.msearchBusca coincidencias de patrones en muchas sesiones o paquetes
92sdk.valuesEjecuta una consulta de conteo de valores y devuelve los valores coincidentes para un informe
93sdk.timelineDevuelve el conteo de sesiones/tamaño/paquetes en intervalos de tiempo discretos

Malware Analysis

En la siguiente tabla se indican las operaciones que registra el componente Malware Analysis (MA).

                                                                                                                                                                                                                                                                                                                                                                 
Número de serieNombre de la operaciónSignificado
1 GetDashBoardSummaryRequest Obtener estadísticas de análisis de tableros
2GetFileScoreSummaryRequest Obtener puntajes de archivos agregados por tipo de puntaje y nivel de riesgo
3CountEventsAndFilesRequest Obtener el conteo de eventos y archivos en un intervalo de tiempo
4GetAvVendorDetectionRequestObtener resultados de análisis del proveedor de antivirus
5GetAVVendorsRequestObtener la lista de proveedores de antivirus compatibles
6SetInstalledAVVendorsSolicitar la actualización de la lista de proveedores de antivirus instalados en la configuración
7CountEventByCriteriaRequestContar eventos por criterios
8FindEventByIdRequestObtener evento por ID

9

FindEventByCriteriaRequest

Obtener evento por criterios

10DeleteEventRequestEliminar evento

11

CommentOnEventRequest

Agregar un comentario a un evento

12ReSubmitEventRequestReenviar un evento para análisis

13

FindEventScoreByIdRequest

Obtener el puntaje del evento por ID de evento

14FindEventScoreByCriteriaRequestObtener el puntaje del evento por criterios

15

FindMetaByIdRequest

Obtener metadatos por ID

16FindMetaByCriteriaRequestObtener metadatos por criterios

17

FindMetaValueByCriteriaRequest

Obtener el valor de metadatos por criterios

18CountByDistinctMetaValueRequestContar valores de metadatos distintos

19

CountByMetaNameAndValueWithDate RangeIntervalRequest

Contar metadatos y valores con intervalo para la creación de gráficos

20CountByValueAndAverageOverallScore RequestContar metadatos y mapear a puntajes generales para eventos

21

CountByValueAndAverageGroupScore Request

Contar metadatos y mapear a puntajes de grupo para eventos

22CountFileEntryByCriteriaRequestContar archivos por criterios

23

FindFileEntryByIdRequest

Obtener archivo por ID

24FindFileEntryByCriteriaRequestObtener archivo por criterios

25

ReSubmitFileEntryRequest

Reenviar un archivo para análisis

26FileDownloadRequestDescargar archivo del repositorio

27

FileUploadRequest

Cargar un archivo para análisis

28FindFileScoreByIdRequestObtener puntaje de archivo por ID

29

FindFileScoreByCriteriaRequest

Obtener puntaje de archivo por criterios

30FindHashValueByIdRequestObtener valor de hash de lista blanca/lista negra por ID

31

FindHashValueByCriteriaRequest

Obtener valor de hash de lista blanca/lista negra por criterios

32AddHashValueRequestAgregar valor de hash de lista blanca/lista negra

33

UpdateHashValueRequest

Actualizar valor de hash de lista blanca/lista negra

34DeleteHashValueRequestEliminar valor de hash de lista blanca/lista negra

35

FindHashValueByMd5Request

Buscar valor de hash de lista blanca/lista negra por md5

36AddHashValueInFileRequestAgregar el archivo al repositorio y también el valor de hash

37

GetDefaultRulesRequest

Obtener la configuración predeterminada de reglas de IOC

38ResetToDefaultRulesRequest Restablecer la configuración de reglas de IOC al valor predeterminado

39

GetAllOverrideRulesRequest

Obtener la configuración de reemplazo creada por el usuario de reglas de IOC

40FindOverrideRuleByIdRequestBuscar regla de reemplazo de IOC por ID

41

AddOverrideRuleRequest

Agregar regla de reemplazo de IOC

42UpdateOverrideRuleRequest Actualizar regla de reemplazo de IOC

43

DeleteOverrideRuleRequest

Eliminar regla de reemplazo de IOC

44SubmitOnDemandNextGenRequestEnviar nuevo escaneo de NextGen según demanda

45

FindOnDemandJobEntryByIdRequest

Obtener entidad de trabajo según demanda por ID

46FindOnDemandJobEntryByCriteria RequestObtener entidad de trabajo según demanda por criterios

47

GetOnDemandJobInfoRequest

Obtener entidad de referencia de trabajo según demanda por ID

48GetOnDemandDefaultConfigurationSolicitud para obtener configuración predeterminada según demanda

49

CancelOnDemandJobRequest

Cancelar trabajo según demanda en curso

50DeleteOnDemandJobRequestEliminar un trabajo según demanda

51

ReSubmitOnDemandJobRequest

Reenviar un trabajo según demanda

52SubscriptionRequest Suscribirse a la comunicación con la nube de MA

53

UnSubscribeRequest

Cancelar la suscripción a la comunicación con la nube de MA

54GetTopEventInfluencesRequestObtener las N influencias de evento principales

55

GetServerInfoRequest

Obtener información del servidor, como la hora del servidor

56DataResetRequestRestablecer la base de datos

57

OnDemandJobStatusNotification

Informar el progreso del trabajo según demanda a los suscriptores

58LicenseStatusNotificationInformar el estado de la licencia, cantidad de muestras analizadas

59

DataResetNotification

Informar que se restablecieron los datos

60GetIocSummaryRequest Obtener reglas de IOC agregadas por puntajes de evento/archivo

61

FindAlertTemplatesByCriteriaRequest

Obtener plantillas de alerta de rabbitmq por criterios

62SaveAlertTemplateRequest Actualizar una plantilla de alerta

63

DeleteAlertTemplateRequest

Eliminar una plantilla de alerta

64GetJobStatusRequest Obtener el estado del hilo de ejecución de análisis del trabajo en curso

65

GetEventTypeCountSummaryRequest

Obtener conteos de análisis de evento por gráfico de fecha

66Inicio de sesiónIniciar sesión en el servicio de MA

67

Modificada

Modificación de cambios en la configuración

68GetNextGenSummaryRequestObtener estadísticas de resumen del tablero de NextGen

Interfaz del usuario de NetWitness Suite

En la siguiente tabla se indican las operaciones que registra el componente Interfaz del usuario de NetWitness Suite.

                                                                                                                                                                                                                                                                                                                                                               
Número de serieNombre de la operaciónSignificado
1uploadTrialLicenseCargar licencia de prueba
2LicenseEntitleAutorizar licencia
3LicenseDeactivationInhabilitar licencia
4ExpiredLicense Venció la licencia
5LicenseOutOfComplianceAcknowledgementConfirmación de EULA
6resetLicenseRestablecer licencia
7usageDateExportUso de datos de licencia: csv/pdf
8refreshLicenseActualizar licencia de LLS
9LicenseOutOfCompliance Incumplimiento de normas
10OOTBEntitlementOutOfComplianceIncumplimiento de normas de licencia de prueba OOTB
11OOTBEntitlementFirstLoginTimeModifiedSe modificó la hora de OOTB
12OOTBEntitlementFileDeletedSe eliminó el archivo de OOTB
13OOTBEntitlementDataTamperingManipulación de datos de OOTB
14uploadOfflineResponse Cargar respuesta offline
15offlineDownloadCapRequestDescargar solicitud offline
16movePerpetualToMeteredCambiar licencia basada en servicios a medida
17moveMeteredToPerpetual Cambiar licencia medida a basada en servicios
18mapServiceLicenseMapear servicio a licencia real
19eliminaciónOperación para eliminar plantillas de alerta.
20HttpRequestOperación para el registro de auditoría de la dirección URL a la cual se accedió.
21Página a la cual se accedióOperación para el registro de auditoría de la página a la cual se accedió.
22NavegarOperación para navegar a la página a la cual se accedió.
23EventosOperación para ver la página de evento a la cual se accedió.
24ReconOperación para la reconstrucción de evento solicitada.
25ServiciosOperación al leer la lista de dispositivos disponibles para la investigación.
26ServicioOperación para una lista de dispositivos cuya investigación se solicitó.
27RecopilacionesOperación para ver la lista de recopilaciones que se solicitó.
28Perfiles.Operación para aplicar un perfil.
29ColumnGroupsOperación para aplicar o leer un grupo de columnas.
30ParallelCoordinatesOperaciones relacionadas con la carga de la navegación en la vista Coordinar.
31CronogramaOperaciones relacionadas con la carga de la navegación en la vista Cronograma.
32PrintViewOperaciones para abrir Investigation en la vista Imprimir.
33PreferenciasOperaciones relacionadas con una solicitud de Informer.
34importOperaciones relacionadas con la importación de un grupo de columnas o perfiles.
35exportOperaciones relacionadas con la exportación de un grupo de columnas o perfiles.
36PredicadoOperaciones relacionadas con consultas (predicados) que se usan para Investigation.
37IdiomasOperación para el idioma que se solicitó desde un dispositivo.
38CancelLanguageLoadOperación para la carga de idioma que se canceló desde la página Navegar.
39resumenOperación para un resumen que se solicitó desde un dispositivo.
40languagesOperación para un idioma que se solicitó desde un dispositivo.
41aliasesOperación para alias de metadatos que se solicitaron desde un dispositivo.
42