Live : Créer et gérer un feed d'identité

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Vous pouvez facilement créer un feed d'identité et le renseigner dans les Decoders et Log Decoders. À la fin de cette procédure, vous aurez créé un feed d'identité.

Pour créer un feed d'identité :

  1. Ajouter une destination pour le feed.
    1. Accédez à ADMIN > Services, dans la liste des Services, sélectionnez un service Log Collector, puis cliquez sur Vue > Config.
    2. Sélectionnez l'onglet Destinations d'événements.
    3. Dans le champs Sélectionnez les destinations d’événements, sélectionnez Identity Feed.

      Il s’agit d’un exemple de la liste déroulante Sélectionnez les destinations d’événements.

    4. Cliquez sur L’icône Ajouter et saisissez un nom unique pour le feed.

      Le nom de la file d’attente identifie le feed dans le Log Collector. Utilisez le nom du feed pour la file d’attente.

      Il s’agit de la boîte de dialogue Ajouter un service Identity Feed.

    5. Cliquez sur OK.
  2. Testez la génération de messages.

    1. Invitez des utilisateurs sur le domaine à se connecter à la boite de dialogue Windows et à générer des messages de log appropriés sur les contrôleurs de domaine à des fins de test.
    2. Vérifiez que les données sont écrites sur les fichiers de feed. Ouvrez une session SSH sur le Log Decoder/Collector ou sur le Virtual Log Collector en cours de configuration. Accédez à /var/netwitness/logcollector/runtime/identity-feed et vérifiez que les fichiers Identity_deploy se remplissent de données.

      Vous devriez voir quelque chose de semblable à cet exemple.

    3. Ouvrez un navigateur web (les navigateurs autres que Internet Explorer sont à privilégier) et connectez-vous à l’interface REST du Log Collector. Utilisez les informations d’identification d’administration lors de la connexion. Par exemple, si l’adresse IP de votre collecteur de log est 192.168.99.66, l’adresse URL serait :

      L’écran du navigateur doit s’afficher comme suit :

      Il s’agit d’un exemple de l’écran du navigateur.

      Notez que l’écran affiche le nom de l’identité du feed que vous avez créé précédemment (infonetd_domain, dans cet exemple).

      Pour que l’identité du feed fonctionne correctement, le port 50101 doit être actif sur le Log Collector, et vous devez déterminer si le chiffrement SSL est actif.

    4. Accédez à ADMIN > Services > < Log Collector en cours de configuration> > Vue > Explorer.
    5. Dans le volet de gauche, développez rest > config.

      Voici un exemple de la vue Explorer.

      Pour que REST soit actif, activé doit être défini sur 1.

    6. Notez la valeur ssl. Si SSL doit être activée pour votre environnement, cette option doit être définie sur activé.

      Remarque : Si vous avez modifié le paramètre pour les options activé ou ssl, vous devez redémarrer le service Log Collector avant d’aller plus loin.

  3. Accédez à CONFIGURER > Live Content > Feeds personnalisés.

    La grille Feeds s'affiche.

    Voici un exemple de la grille Feeds.

  4. Dans la barre d’outils, cliquez sur L’icône Ajouter.

    La boîte de dialogue Configurer le feed s'affiche.

    Voici un exemple de la boîte de dialogue Configurer le feed.

  5. Assurez-vous que Identity Feed est sélectionné, puis cliquez sur suivant.

    Le panneau Configurer Identity Feed s'ouvre avec l'onglet Définir le feed affiché.

  6. (Conditionnel) Vous pouvez créer un feed à la demande ou récurrent.

    • Pour définir une tâche de feed d'identité à la demande qui s'exécute une fois, sélectionnez Adhoc dans le champ Type de tâche par défaut, saisissez le nom du feed, accédez-y, puis ouvrez-le.
    • Pour définir une tâche Identity Feed récurrente qui s'exécute de manière répétée, sélectionnez Récurrent dans le champ Type de tâche par défaut.

      Le formulaire Définir le feed comprend les champs pour un feed récurrent.

      Il s’agit d’un exemple de la boîte de dialogue Configurer Identity Feed dans la section Définir le feed.

      Remarque : RSA NetWitness Suite vérifie l'emplacement de stockage du fichier afin que Security Analytics puisse rechercher automatiquement le dernier fichier avant chaque récurrence.

  7. Renseignez et vérifiez le champ URL.

    1. Dans le champ URL, saisissez l'URL de l'emplacement du fichier de données de feed. Il s’agit de l’interface API REST qui a été configurée précédemment. Vous devez avoir connaissance des informations suivantes pour construire l’URL :

      • L’adresse IP du Log Collector utilisée pour créer le fichier Identity Feed.
      • Le nom d’identité de la file d’attente, tel que défini dans l’étape 2c.
      • Si SSL est activé ou non sur le port REST du Log Collector, tel que défini dans l’étape 2f.

      Vous créez cette valeur comme suit :

      • SSL activé : https://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600
      • SSL désactivé : http://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600

      Par conséquent, à l’aide de notre exemple précédent, la valeur complète que vous devez saisir dans ce champ est la suivante :

      http://192.168.99.66:50101/event-processors/infonetd_domain?msg=getFile&force-content-type=application/octet-stream&expiry=600?msg=getFile&force-content-type=application/octet-stream&expiry=600

    2. Pour que la vérification de l’URL fonctionne correctement, il est important que l’interface utilisateur du serveur Security Analytics puisse accéder au port d’API REST du Log Collector (50101). Cela peut être testé en accédant à l’interface utilisateur du serveur Security Analytics via le protocole SSH. Exécutez la commande suivante sur l’hôte :

      • SSL activé : curl -vk https://<ip of log collector>:50101
      • SSL désactivé : curl -v http://<ip of log collector>:50101

      Si la commande curl ne se connecte pas, il existe peut-être un problème de routage ou de pare-feu réseau entre l’interface utilisateur du serveur Security Analytics et le Log Collector.

      Exemple de mauvaise connexion :

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... No route to host

      * couldn't connect to host

      * Closing connection #0

      curl: (7) couldn't connect to host

      Example of Good connection:

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... connected

      * Connected to 192.168.99.66 (192.168.99.66) port 50105 (#0)

      > GET / HTTP/1.1

      > User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2

      > Host: 192.168.99.66:50105

      > Accept: */*

      >

      < HTTP/1.1 401 Unauthorized

      < Content-Length: 71

      < Connection: Keep-Alive

      < Pragma: no-cache

      < Expires: -1

      < Cache-Control: no-cache, no-store, must-revalidate

      < WWW-Authenticate: Basic realm="NetWitness"

      < Content-Type: text/xml; charset=utf-8

      <

      <?xml version="1.0" encoding="utf-8"?>

      <error>401 Unauthorized</error>

      * Connection #0 to host 192.168.99.66 left intact

      * Closing connection #0

  8. Un nom d’utilisateur et un mot de passe sont nécessaires à l’API REST pour extraire le fichier identity_deploy.csv du Log Collector. Cela peut être n’importe quel nom d’utilisateur et mot de passe disponible sur le service lui-même. Pour plus d’informations, consultez la rubrique « Vue sécurité des services » dans le Guide des hôtes et des services.

    Pour afficher les comptes disponibles, accédez à ADMIN > Services > <Log Collector en cours de configuration> > Actions > Vue > Sécurité.

    Sous le tableau des utilisateurs, tous les utilisateurs qui peuvent être utilisés dans cette étape s’affichent. Pour une sécurité renforcée, il est recommandé de créer un compte utilisateur spécifiquement pour cette configuration et a n’utiliser nulle part ailleurs dans l’environnement. Pour plus de détails, consultez la section « Ajouter un utilisateur et attribuer un rôle » dans le Guide de la sécurité du système et de la gestion des utilisateurs. (Accédez à la Table des matières principale pour la version 11.0 trouver des documents NetWitness Suite 11.0.)

  9. Pour définir l'intervalle de récurrence, effectuez l'une des opérations suivantes :

    • Spécifiez le nombre de minutes, d'heures ou de jours entre les récurrences du champ.
    • Pour définir la période pour l'exécution récurrente du feed, spécifiez la Date de début et l'heure, ainsi que la Date de fin et l'heure.
  10. Si vous utilisez le chiffrement SSL, vous devez installer le certificat SSL de l’API REST pour le Log Collector dans l’interface utilisateur du serveur Security Analytics. Pour plus d’informations, reportez-vous à la rubrique Importer le certificat SSL.

    Si, après l’importation du certificat SSL, la vérification de l’URL échoue à nouveau, consultez la section Impossible de vérifier l’URL du feed d’identité.

  11. Cliquez sur Vérifier pour vérifier votre configuration du feed identité avant de procéder au formulaire Sélectionner des services.
  12. Cliquez sur Suivant.

    Le formulaire Sélectionner des services s'affiche.

    Il s’agit de la section Sélectionner des services de la boîte de dialogue Configurer Identity Feed.

  13. Pour identifier les services sur lesquels déployer le feed, sélectionnez un ou plusieurs Decoders et Log Decoders, puis cliquez sur Suivant.
  14. Cliquez sur l'onglet Groupes, sélectionnez un groupe, puis cliquez sur Suivant.

    Le formulaire Révision s'affiche.

    Il s’agit de la section Révision de la boîte de dialogue Configurer Identity Feed.

    Remarque : Si un groupe de périphériques avec des Decoders et Log Decoders est utilisé pour créer des feeds récurrents ou personnalisés, vous pouvez modifier le feed et ajouter un nouveau groupe au feed.

  15. À tout moment avant de cliquer sur Terminer, vous pouvez :

    • Cliquez sur Annuler pour fermer l'assistant sans enregistrer votre définition de feed.
    • Cliquez sur Réinitialiser pour effacer les données de l'assistant.
    • Cliquez sur Suivant pour afficher le formulaire suivant (si ce n'est pas le dernier formulaire).
    • Cliquez sur Précédent pour afficher le formulaire précédent (si ce n'est pas le premier formulaire).
  16. Passez en revue les informations du feed et, si elles sont correctes, cliquez sur Terminer.

Lorsque le fichier de définition de feed a été créé avec succès, l'assistant Créer un feed se ferme. Le feed et le fichier de token correspondant sont répertoriés dans la grille de feed et la barre de progression indique l'avancement. Vous pouvez développer ou réduire l'entrée pour voir combien de services sont inclus, et quels services ont abouti.

Importer le certificat SSL

Si SSL est configuré sur le feed d’identité du Log Collector, procédez comme suit pour importer le certificat SSL du Log Collector dans le magasin de clés de l’interface utilisateur du serveur Security Analytics. Si ce certificat n’est pas importé, l’interface utilisateur du serveur Security Analytics ne pourra pas extraire le fichier d’Identity feed du Log Collector.

  1. Pour extraire le certificat SSL du Log Collector, ouvrez une session SSH sur l’interface utilisateur du serveur Security Analytics et exécutez la commande suivante :

    echo -n | openssl s_client -connect <HOST>:<PORT> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/<SERVERNAME>.cert

    Cette commande enregistre le certificat SSL sur /tmp/<SERVERNAME>.cert.

    Par exemple :

    echo -n | openssl s_client -connect 192.168.99.66:50101 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/logcollector.cert

  2. Pour importer le certificat SSL du Log Collector, ouvrez une session SSH sur l’interface utilisateur du serveur Security Analytics et exécutez la commande suivante :

    keytool -importcert -alias <name an alias for the cert> -file <the cert file pathname> -keystore /etc/pki/java/cacerts

    Par exemple :

    keytool -importcert -alias logcollector01 -file /tmp/logcollector.cert -keystore /etc/pki/java/cacerts

  3. Le système demande un mot de passe. Saisissez le mot de passe du magasin de clés sur l’interface utilisateur du serveur Security Analytics, et non celui du magasin de clés jetty. Le mot de passe par défaut est changeit.
  4. Redémarrez jettysrv pour autoriser jetty à lire le nouveau certificat dans la zone de stockage.

Impossible de vérifier l’URL du feed d’identité

Si l’URL du feed d’identité ne peut pas être vérifiée, et que vous utilisez SSL, assurez-vous d’avoir suivi les étapes décrites dans Importer le certificat SSL.

Si des problèmes persistent, il est possible que le nom interne du certificat ne corresponde pas au nom d’hôte du Log Collector. La procédure suivante vérifie cette hypothèse.

  1. Ouvrez une session SSH sur l’interface utilisateur du serveur Security Analytics.
  2. Exécutez la commande suivante pour sortir le nom CN du certificat SSL :

    echo -n | openssl s_client -connect <log decoder>:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

    Exemple :

    echo -n | openssl s_client -connect salogdecoder01:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

  3. Récupérer le nom CN du certificat SSL.

    Voici un exemple de nom CN.

  4. Modifier le fichier /etc/hosts et ajoutez l’adresse IP et le nom CN dans le fichier.

    Voici un exemple de l’ajout de l’adresse IP et du nom CN.

  5. Redémarrez les services de réseau sur l’appliance.
  6. Confirmez que le nom placé dans le fichier /etc/hosts est utilisé au lieu du nom de domaine complet ou l’adresse IP de l’URL du feed d’identité.
  7. Vérifiez à nouveau l’URL du feed d’identité.

Examiner un feed d'identité

Un feed d'identité effectue le suivi des événements de connexion interactive à partir d'un système d'exploitation Windows. Les feeds d'identité n'effectuent pas le suivi des événements de déconnexion interactifs. 

Pour qu'un feed d'identité traite des événements et y appose des balises, les événements doivent être collectés à l'aide d'un module Windows Log Collection où un Contrôleur de domaine actif/Contrôleur de nondomaine est configuré. Remarquez que les feeds d'identité ne peuvent être traités que via un Processeur d'événements Identity Feed. 

Remarque : Un feed d'identité n'effectue le suivi que d'un fichier log à la fois. Si deux utilisateurs se connectent à un système en même temps, les données du second utilisateur remplacent celles du premier dans le feed d'identité.  

Lorsque vous avez créé un feed d'identité, vous pouvez afficher les résultats en examinant le feed.

Pour examiner un feed d'identité configuré :

  1. Accédez à Enquêter > Naviguer.

    Si aucun service par défaut n’est sélectionné, la boîte de dialogue Enquêter s’affiche.

    Exemple de l’écran Investigation

  2. Sélectionnez un service, généralement un Concentrator, puis cliquez sur Naviguer.
  3. Sélectionnez Charger les valeurs pour récupérer les métadonnées.

Dans le panneau Valeurs, faites défiler pour trouver les clés méta indiquées dans l'illustration suivante.

Exemple de la vue Naviguer

Le feed d'identité donne des informations sur les Decoders et Log Decoders sélectionnés. Il associe les données IP de l'hôte entre le système d'exploitation Windows et l'utilisateur qui se connecte à cet hôte afin de baliser tous les logs associés à cette adresse IP et de procéder à l'enquête.

Next Topic:Modifier un feed
You are here
Table of Contents > Procédures supplémentaires > Gérer les feeds personnalisés > Créer un feed d'identité

Attachments

    Outcomes