Decoder: Crear un feed de identidad

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Puede crear un feed de identidad y completarlo para los Decoders y los Log Decoders seleccionados. Para crear un feed de identidad, debe tener:

  • Un servicio Log Collector con un procesador de eventos de feed de identidad
  • Un servicio Log Collector con la recopilación de Windows configurada y habilitada

Para crear un feed de identidad:

  1. Agregue un destino para el feed.
    1. Vaya a ADMINISTRAR > Servicios y en la lista Servicios
    2. Seleccione un servicio Log Collector y elija actions menuVer > Configuración.
    3. Seleccione la pestaña Destinos de evento.
    4. En el campo Seleccionar destinos de evento, seleccione Feed de identidad.

      This is an example of the Select Event Destinations drop-down.

    5. Haga clic en add icon e ingrese un nombre único para el feed.

      El nombre de la Línea de espera identifica el feed en el Log Collector. Use el nombre del feed para la Línea de espera.

      This is the Add Identity Feed dialog.

    6. Haga clic en Aceptar.
  2. Pruebe la generación de mensajes.

    1. Compruebe que los usuarios hayan iniciado sesión en los cuadros de Windows en el dominio para generar los mensajes de registro correspondientes en los controladores de dominio para las pruebas.
    2. Verifique que los datos estén escritos en los archivos de feed. Acceda mediante el protocolo SSH a Log Decoder/Collector o a Virtual Log Collector que se están configurando. Navegue a /var/netwitness/logcollector/runtime/identity-feed y verifique que los archivos Identity_deploy se completen con los datos.

      Example of identity-deploy files being populated with data

    3. Abra un navegador web (se recomienda usar un navegador distinto de Internet Explorer) e inicie sesión en la interfaz de REST de Log Collector. Use las credenciales administrativas cuando inicie sesión. Por ejemplo, si la dirección IP de su Log Collector es 192.168.99.66, entonces la dirección URL sería:

      La pantalla del navegador debe verse así:

      This is an example of the browser screen.

      Observe que la pantalla contiene el nombre del feed de identidad del feed que creó anteriormente (infonetd_domain, en este ejemplo).

      Para que el feed de identidad funcione correctamente, el puerto 50101 debe estar activo en el Log Collector y debe determinar si el cifrado SSL está activo.

    4. Vaya a ADMINISTRAR > Servicios > <Log Collector que se debe configurar> actions menu > Ver > Explorar.
    5. En el panel izquierdo, expanda rest > configuración.

      This is an example of the Explore view.

      Para que REST esté activo, habilitado se debe configurar en 1.

    6. Observe el valor para ssl. Si SSL debe estar habilitado para su ambiente, se debe configurar en activado.

      Nota: Si cambió la configuración para la opción habilitado o la opción ssl, debe reiniciar el servicio Log Collector antes de continuar.

  3. Vaya a CONFIGURAR > Feeds personalizados.

    Se muestra el cuadro de diálogo Feeds.

    This is an example of the Feeds grid.

  4. En la barra de herramientas, haga clic en add icon.

    Se muestra el cuadro de diálogo Configurar feed.

    This is an example of the Setup Feed dialog.

  5. Asegúrese de que la opción Feed de identidad esté seleccionada y haga clic en Siguiente.

    El panel Configurar feed de identidad se abre con la pestaña Definir feed abierta.

  6. (Condicional) Puede crear un feed según demanda o recurrente.

    • Para definir una tarea de feed de identidad según demanda que se ejecute una vez, seleccione Ad hoc en el campo Tipo de tarea de feed, escriba el Nombre del feed y, a continuación, busque y abra el feed.
    • Para definir una tarea recurrente de feed de identidad que se ejecuta de manera recurrente, seleccione Recurrente en el campo Tipo de tarea de feed.

      En el cuadro de diálogo Definir feed se incluyen los campos de un feed recurrente.

      This is an example of the Configure Identity Feed dialog in the Define Feed section.

      Nota: RSA NetWitness Platform verifica la ubicación en la cual está almacenado el archivo con el fin de que NetWitness Platform pueda comprobar el archivo más reciente automáticamente antes de cada recurrencia.

  7. Rellene y verifique el campo URL.

    1. En el campo URL, escriba la dirección URL en la cual está ubicado el archivo de datos del feed. Esta es la interfaz de API REST que se configuró anteriormente. Asegúrese de contar con la siguiente información para construir la dirección URL:

      • La dirección IP del Log Collector que se usa para construir el archivo de feed de identidad.
      • El nombre de la línea de espera de identidad, como se configuró en el paso 2c.
      • Si SSL está habilitado o no en el puerto REST del Log Collector, como se configuró en el paso 2f.

      Puede construir este valor de la siguiente manera:

      • SSL habilitado: https://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600
      • SSL no habilitado: http://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600

      Por lo tanto, si se usa el ejemplo anterior, el valor completo que debe ingresar en este campo es el siguiente:

      http://192.168.99.66:50101/event-processors/infonetd_domain?msg=getFile&force-content-type=application/octet-stream&expiry=600?msg=getFile&force-content-type=application/octet-stream&expiry=600

    2. Para que la verificación de la dirección URL funcione correctamente, es importante que el servidor de interfaz del usuario de NetWitness Platform pueda acceder al puerto de API REST del Log Collector (50101). Esto se puede probar al acceder mediante el protocolo SSH al servidor de interfaz del usuario de NetWitness Platform. Una vez que esté ahí, ejecute el siguiente comando:

      • SSL habilitado: curl -vk https://<ip of log collector>:50101
      • SSL no habilitado: curl -v http://<ip of log collector>:50101

      Si el comando curl no se conecta, entonces puede haber un problema de firewall de la red o de enrutamiento entre el servidor de interfaz del usuario de NetWitness Platform y el Log Collector.

      Ejemplo de mala conexión:

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... No route to host

      * couldn't connect to host

      * Closing connection #0

      curl: (7) couldn't connect to host

      Example of Good connection:

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... connected

      * Connected to 192.168.99.66 (192.168.99.66) port 50105 (#0)

      > GET / HTTP/1.1

      > User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2

      > Host: 192.168.99.66:50105

      > Accept: */*

      >

      < HTTP/1.1 401 Unauthorized

      < Content-Length: 71

      < Connection: Keep-Alive

      < Pragma: no-cache

      < Expires: -1

      < Cache-Control: no-cache, no-store, must-revalidate

      < WWW-Authenticate: Basic realm="NetWitness"

      < Content-Type: text/xml; charset=utf-8

      <

      <?xml version="1.0" encoding="utf-8"?>

      <error>401 Unauthorized</error>

      * Connection #0 to host 192.168.99.66 left intact

      * Closing connection #0

  8. La API REST requiere un nombre de usuario y una contraseña al intentar extraer el archivo identity_deploy.csv del Log Collector. Puede ser cualquier nombre de usuario y contraseña que estén disponibles en el propio servicio. Para obtener más información, consulte el tema “Vista Seguridad de servicios” en la Guía de hosts y servicios.

    Para ver las cuentas que están disponibles, vaya a ADMIN > Servicios > <Log Collector que se debe configurar> > Acciones > Ver > Seguridad.

    En la tabla Usuarios, verá todos los usuarios que se pueden usar en este paso. Se sugiere crear una cuenta de usuario separada específicamente para esta configuración, que no se usa en ninguna otra parte en el ambiente para brindar mayor seguridad. Para obtener detalles, consulte “Agregar un usuario y asignar una función” en la Guía de administración de usuarios y seguridad del sistema. (Vaya a la Tabla maestra de contenido para buscar todos los documentos de NetWitness Platform Logs & Network 11.x.)

  9. Para definir el intervalo de recurrencia, puede realizar alguna de las siguientes acciones:

    • Especifique la cantidad de minutos, horas o días entre cada recurrencia del feed.
    • Para definir el rango de días para la ejecución recurrente del feed, especifique la hora y la Fecha inicial y la hora y la Fecha de finalización.
  10. Si usa el cifrado SSL, debe instalar el certificado SSL de API REST para el Log Collector en el servidor de interfaz del usuario de NetWitness Platform. Para obtener más información, consulte Importar el certificado SSL.

    Si, después de importar el certificado SSL, aún falla la verificación de la dirección URL, consulte No se puede verificar la dirección URL del feed de identidad.

  11. Haga clic en Verificar para verificar su configuración de feed de identidad antes de continuar con el cuadro de diálogo Seleccionar servicios.
  12. Haga clic en Siguiente.

    Se muestra el cuadro de diálogo Seleccionar servicios.

    This is the Select Services section of the Configure Identity Feed dialog.

  13. Para identificar los servicios en los cuales se implementará el feed, seleccione uno o más Decoders y Log Decoders, y haga clic en Siguiente.
  14. Haga clic en la pestaña Grupos, seleccione un grupo y haga clic en Siguiente.

    Se muestra el cuadro de diálogo Revisar.

    This is the Review section of the Configure Identity Feed dialog.

    Nota: Si un grupo de dispositivos con Decoders y Log Decoders se usa para crear feeds personalizados o recurrentes y se puede eliminar este grupo, puede editar el feed y agregarle un grupo nuevo.

  15. Antes de hacer clic en Finalizar, puede hacer lo siguiente:

    • Hacer clic en Cancelar para cerrar el asistente sin guardar la definición del feed.
    • Hacer clic en Restablecer para borrar los datos del asistente.
    • Hacer clic en Siguiente para ver el formulario siguiente (si no se encuentra en el último formulario).
    • Hacer clic en Anterior para ver el formulario anterior (si no se encuentra en el primer formulario).
  16. Revise la información del feed y haga clic en Finalizar si los datos son correctos.

Después de crear correctamente el archivo de definición del feed, el asistente Crear feed se cierra, el feed y el archivo de token correspondiente aparecen en la cuadrícula Feed y la barra de progreso muestra que se completó la tarea. Puede expandir o contraer la entrada para ver cuántos servicios se incluyeron y cuáles tuvieron éxito.

Importar el certificado SSL

Si SSL está configurado en el Log Collector del feed de identidad, siga estos pasos para importar el certificado SSL del Log Collector al almacenamiento de claves del servidor de interfaz del usuario de NetWitness Platform. Si este certificado no se importa, el servidor de interfaz del usuario de NetWitness Platform no podrá extraer el archivo de feed de identidad del Log Collector.

  1. Para extraer el certificado SSL del Log Collector, acceda mediante el protocolo SSH al servidor de interfaz del usuario de NetWitness Platform y ejecute el siguiente comando:

    echo -n | openssl s_client -connect <HOST>:<PORT> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/<SERVERNAME>.cert

    Este comando guarda el certificado SSL en /tmp/<SERVERNAME>.cert.

    Por ejemplo:

    echo -n | openssl s_client -connect 192.168.99.66:50101 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/logcollector.cert

  2. Para importar el certificado SSL al servidor de interfaz del usuario de NetWitness Platform, acceda mediante el protocolo SSH al servidor de interfaz del usuario y ejecute el siguiente comando:

    keytool -importcert -alias <name an alias for the cert> -file <the cert file pathname> -keystore /etc/pki/java/cacerts

    Por ejemplo:

    keytool -importcert -alias logcollector01 -file /tmp/logcollector.cert -keystore /etc/pki/java/cacerts

  3. El sistema solicita una contraseña. Ingrese la contraseña para el almacenamiento de claves del servidor de interfaz del usuario de NetWitness Platform, no para el almacenamiento de claves de jetty. La contraseña predeterminada es changeit.
  4. Reinicie jettysrv para permitir que jetty lea el nuevo certificado en el almacenamiento.

No se puede verificar la dirección URL del feed de identidad

Si no puede verificar la dirección URL del feed de identidad y está usando SSL, asegúrese de haber seguido los pasos descritos en Importar el certificado SSL.

Si aún hay problemas, es posible que el nombre interno del certificado no coincida con el nombre de host del Log Collector. El siguiente procedimiento comprueba esto.

  1. Acceda mediante el protocolo SSH al servidor de interfaz del usuario de NetWitness Platform.
  2. Ejecute el siguiente comando para generar el nombre de CN del certificado SSL:

    echo -n | openssl s_client -connect <log decoder>:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

    Ejemplo:

    echo -n | openssl s_client -connect salogdecoder01:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

  3. Recupere el nombre de CN del certificado SSL.

    This is an example of the CN name.

  4. Edite el archivo /etc/hosts y agregue la dirección IP y el nombre de CN al archivo.

    This is an example of the added IP Address and CN name.

  5. Reinicie el servicio de red en el dispositivo.
  6. Confirme que el nombre colocado en el archivo /etc/hosts se use en lugar del nombre de dominio calificado o de la dirección IP en la dirección URL del feed de identidad.
  7. Vuelva a verificar la dirección URL del feed de identidad.
You are here
Table of Contents > Configurar feeds y analizadores > Crear un feed de identidad

Attachments

    Outcomes