Implémentation de base

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique indique comment effectuer la configuration initiale des Local Collectors et des Remote Collectors.

Conditions préalables

Vérifier que le Log Decoder est configuré :

  • capture des données.
  • le contenu actif est chargé dans le {{nld}}.
  • est doté d'une licence adéquate.

Rôles de Collectors locaux et distants

Le collecteur local Local Collector (LC) est un service Log Collector sur un hôte Log Decoder. Dans un scénario de déploiement local, le service Log Collector est déployé sur un hôte Log Decoder, avec le service Log Decoder. La collecte de logs depuis plusieurs protocoles tels que Windows, ODBC etc, est réalisée via le service Log Collector, et des événements sont transférés au service Log Decoder. Le collecteur local envoie toutes les données d'événements collectées au service Log Decoder.

Vous devez avoir au moins un Local Collector pour collecter des événements non Syslog.

Le collecteur distant Remote Collector (RC), également appelé Virtual Log Collector (VLC), est un service Log Collector s'exécutant sur une machine virtuelle autonome. Les collecteurs distants sont optionnels et doivent envoyer les événements qu'ils collectent à un collecteur local. Le déploiement de collecteur distant est idéal lorsque vous devez collecter des logs depuis des sites distants. Les collecteurs distants compressent et chiffrent les logs avant de les envoyer à un collecteur local.

Déploiement et configuration de Log Collection

La figure suivante illustre les tâches de base que vous devez réaliser pour déployer et configurer Log Collection. Pour déployer Log Collection, vous devez configurer un Collector local. Vous pouvez également déployer un ou plusieurs collecteurs distants. Une fois que vous déployez la collecte de logs, vous devez configurer les sources d'événements dans NetWitness Suite et sur les sources d'événements elles-mêmes. Le schéma suivant illustre le collecteur local avec un collecteur distant qui pousse les événements vers le collecteur local.

Diagram shows the Local Collector with one Remote Collector that pushes events to the Local Collector.

Configurez des collecteurs locaux et distants.

Le collecteur local est le service Log Collector s'exécutant sur l'hôte Log Decoder.

Le collecteur distant est le service Log Collector s'exécutant sur une machine virtuelle ou un serveur Windows dans un site distant.

Diagram shows a Remote Collector service running on a virtual machine or a Windows server in a remote location.

Configurez des sources d'événements :

  • Configurez les protocoles de collecte dans C:\Temp\Malware Analysis Configuration Guide for Version 11.0.
  • Configurez chaque source d'événement pour communiquer avec NetWitness Suite Log Collector.  

Ajout d'un collecteur local et d'un collecteur distant àNetWitness Suite

Pour ajouter un collecteur local ou distant à NetWitness Suite :

  1. Accédez à ADMIN > Services.
  2. Cliquez sur et sélectionnez Log Collector dans le menu.

    La boîte de dialogue Ajouter un service s'affiche.

  3. Définissez les détails du service Collecte de logs.
  4. Sélectionnez Tester la connexion pour vérifier que votre collecteur local ou distant est ajouté.

Configuration de Log Collection

Vous choisissez le Log Collector, à savoir un collecteur local (Local Collector) ou le collecteur distant (Remote Collector), pour lequel vous voulez définir des paramètres dans la vue Services. La figure suivante indique comment accéder à la vue Services, sélectionner un service Log Collector, puis afficher l'interface de paramètre de configuration pour ce service.

  1. Accédez à ADMIN > Services.
  2. Sélectionnez un service de collecte de logs.

  3. Cliquez sur sous Actions, puis sélectionnez Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Définissez les paramètres globaux de Log Collection dans l'onglet Général.
  5. Pour un :

    • collecteur local, NetWitness Suite affiche l'onglet Collecteurs distants. Sélectionnez les collecteurs distants à partir desquels le collecteur local extrait les événements dans cet onglet.
    • collecteur distant, NetWitness Suite affiche l'onglet Collecteurs locaux. Sélectionnez les collecteurs locaux à partir desquels le collecteur distant extrait les événements dans cet onglet.
  6. Remplacez les fichiers de configuration par des fichiers texte dans l'onglet Fichiers.
  7. Définissez les paramètres du protocole de collecte dans l'onglet Sources d'événements.
  8. Définissez le lockbox, les clés de chiffrement et les certificats dans l'onglet Paramètres.
  9. Définissez les paramètres du service Appliance dans l'onglet Configuration du service Appliance.

Schéma du flux de données

Vous utilisez les données de log collectées par le service Log Collector pour surveiller la santé de votre entreprise et mener des investigations. La figure suivante illustre la manière dont les données circulent dans la collecte de logs NetWitness Suite pour l'investigation.

Figure shows data flowing through the NetWitness Log Collection to Investigation.

You are here
Table of Contents > Configuration > Ajouter des collecteurs locaux et distants

Attachments

    Outcomes