Configuración de NW: Configurar el registro de auditoría global

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on May 2, 2018
Version 3Show Document
  • View in full screen mode
 

El registro de auditoría global proporciona a los auditores de NetWitness Suite la visibilidad consolidada en tiempo real de las actividades de los usuarios dentro de NetWitness Suite desde una ubicación centralizada. Esta visibilidad incluye registros de auditoría recopilados desde el sistema NetWitness Suite y los diversos servicios en toda la infraestructura de NetWitness Suite. 

Los registros de auditoría de NetWitness Suite se recopilan en un sistema centralizado que los convierte al formato requerido y los reenvía a un sistema de syslog externo. El sistema de syslog externo puede ser un servidor de syslog de otros fabricantes o un Log Decoder.   

El registro de auditoría global se configura en el panel Configuraciones de registro de auditoría global. Una plantilla del registro de auditoría define el formato y los campos de mensajes de las entradas del registro de auditoría. Una configuración de servidor de notificación de syslog define el destino para enviar los registros de auditoría. Si desea reenviar registros de auditoría a un Log Decoder, configure un tipo de servidor de notificación de syslog para el Log Decoder.

Las siguientes son algunas de las acciones de los usuarios que se registran desde NetWitness Suite:

  • Sesión iniciada correctamente del usuario 
  • Error de inicio de sesión del usuario 
  • Cierres de sesión del usuario
  • Máximo de errores al iniciar sesión superado
  • Todas las páginas de la interfaz del usuario a las cuales se accedió
  • Cambios en la configuración confirmados (incluido cuando un usuario cambia su propia contraseña)
  • Consultas que realizó el usuario
  • Acceso del usuario denegado
  • Operaciones de exportación de datos

Después de que crea una configuración del registro de auditoría global, los registros de auditoría que contienen estas acciones de usuario se dirigen automáticamente al sistema de syslog externo en el formato especificado en la plantilla del registro de auditoría seleccionada. Puede crear múltiples configuraciones del registro de auditoría global para distintos destinos que usan distintas plantillas. Por ejemplo, puede crear una configuración del registro de auditoría global para un servidor de syslog externo con una plantilla que contiene todas las claves de metadatos disponibles, y otra para un Log Decoder con una plantilla que contiene claves de metadatos seleccionadas. 

Para Log Decoders, use Default Audit CEF Template. Puede agregar o eliminar campos de la plantilla del formato de evento común (CEF) si tiene requisitos específicos. En Definir una plantilla para el registro de auditoría global se proporcionan instrucciones y en Claves de metadatos de CEF compatibles se describen las claves de metadatos de CEF disponibles para usar en las plantillas del registro de auditoría.

Para servidores de syslog de otros fabricantes, puede usar una plantilla del registro de auditoría predeterminada o definir un formato propio (CEF o no CEF). En Definir una plantilla para el registro de auditoría global se proporcionan instrucciones y en Variables de claves de metadatos del registro de auditoría global compatibles se describen las variables disponibles.

Los auditores pueden ver los registros de auditoría en el Log Decoder seleccionado o en un servidor de syslog de otros fabricantes. Si usan un Log Decoder, los auditores pueden ver los registros de auditoría mediante NetWitness Suite Investigation o Reports. 

En la siguiente figura se muestran registros auditoría global en Investigation (Investigation > Eventos).

Para obtener ejemplos de algunas de las acciones de los usuarios que se registran, consulte Cuadro de diálogo Agregar nueva configuración. Para obtener una lista de los tipos de mensajes que registran los diversos componentes de NetWitness Suite, consulte Referencia de operaciones del registro de auditoría global

Registro de auditoría global: procedimiento general

El registro de auditoría global se configura en el panel Configuraciones de registro de auditoría global, al cual se accede desde la vista Sistema > Auditoría global de Administration. Antes de que pueda configurar el registro de auditoría global, debe configurar un servidor de notificación de syslog y una plantilla del registro de auditoría. Un servidor de notificación de syslog define el destino al cual se envían los registros de auditoría. Una plantilla del registro de auditoría define el formato y los campos de mensajes de la entrada del registro de auditoría. 

El panel Configuraciones de registro de auditoría global proporciona un vínculo ver configuración que lo lleva al panel Notificaciones globales (vista Sistema > Notificaciones globales de Administration), donde puede configurar el servidor de notificación de syslog y la plantilla del registro de auditoría. 

Realice los siguientes procedimientos en el orden que se muestra para configurar el registro de auditoría global.

                             
ProcedimientosReferencia/instrucciones
  1. Configurar un servidor de notificación de syslog.
Configure un servidor de notificación de syslog que se usará para el registro de auditoría global. Puede definir un servidor de syslog de otros fabricantes o un Log Decoder como destino para recibir los registros de auditoría.
Configurar un destino para recibir registros de auditoría global. Las configuraciones del registro de auditoría global usan el tipo de servidor de notificación de syslog. Si desea reenviar registros de auditoría a un Log Decoder, cree un servidor de notificación de tipo syslog. 
  1. Seleccione o configure una plantilla del registro de auditoría que se usará.
Seleccione una plantilla del registro de auditoría para el servidor de notificación de syslog. Puede usar una plantilla del registro de auditoría predeterminada o definir una plantilla propia. Las configuraciones del registro de auditoría global usan el tipo de plantilla del registro de auditoría y un servidor de notificación de syslog.
En Configurar plantillas para notificaciones se proporciona información adicional.
Para Log Decoders, use Default Audit CEF Template. Puede agregar o quitar campos de la plantilla del formato de evento común (CEF) si tiene requisitos específicos. En Definir una plantilla para el registro de auditoría global se proporcionan instrucciones.
Para servidores de syslog de otros fabricantes, puede usar una plantilla del registro de auditoría predeterminada o definir un formato propio (CEF o no CEF). En Definir una plantilla para el registro de auditoría global se proporcionan instrucciones y en Variables de clave de metadatos de registro de auditoría global compatibles se describen las variables disponibles.
  1. (Opcional: solo si consume con un Log Decoder) Implementar el analizador del formato de evento común en el Log Decoder desde Live.
Asegúrese de haber implementado y habilitado el analizador del formato de evento común más reciente desde Live. En Buscar e implementar recursos de Live y Habilitar e inhabilitar analizadores de registros se proporcionan instrucciones. 
  1. Definir una configuración del registro de auditoría global, la cual establece cómo se reenvían los registros de auditoría global a sistemas de syslog externos. 
En Definir una configuración del registro de auditoría global se proporcionan instrucciones. Después de agregar una configuración del registro de auditoría global, los registros de auditoría se reenvían al servidor de notificación seleccionado en la configuración.
  1. Verificar que los registros de auditoría global muestren los eventos de auditoría.
Pruebe los registros de auditoría para asegurarse de que muestren los eventos de auditoría definidos en la plantilla del registro de auditoría. En Verificar registros de auditoría global se proporcionan instrucciones.
You are here
Table of Contents > Procedimientos estándar > Configurar el registro de auditoría global

Attachments

    Outcomes