Decoder: Crear un feed de identidad

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Puede crear un feed de identidad y completarlo para los Decoders y los Log Decoders seleccionados. Para crear un feed de identidad, debe tener:

  • Un servicio Log Collector con un procesador de eventos de feed de identidad
  • Un servicio Log Collector con la recopilación de Windows configurada y habilitada

Para crear un feed de identidad:

  1. Agregue un destino para el feed.
    1. Vaya a ADMIN > Servicios, en la lista Servicios seleccione un servicio Log Collector y luego Ver > Configuración.
    2. Seleccione la pestaña Destinos de evento.
    3. En el campo Seleccionar destinos de evento, seleccione Feed de identidad.

      Este es un ejemplo de la lista desplegable Seleccionar destinos de evento.

    4. Haga clic en El ícono Agregar e ingrese un nombre único para el feed.

      El nombre Línea de espera identifica el feed en el Log Collector. Use el nombre del feed para la Línea de espera.

      Este es el cuadro de diálogo Agregar feed de identidad.

    5. Haga clic en Aceptar.
  2. Pruebe la generación de mensajes.

    1. Compruebe que los usuarios hayan iniciado sesión en los cuadros de Windows en el dominio para generar los mensajes de registro correspondientes en los controladores de dominio para las pruebas.
    2. Verifique que los datos estén escritos en los archivos de feed. Acceda mediante el protocolo SSH a Log Decoder/Collector o a Virtual Log Collector que se están configurando. Navegue a /var/netwitness/logcollector/runtime/identity-feed y verifique que los archivos Identity_deploy se completen con los datos.

      Debe ver algo similar a este ejemplo.

    3. Abra un navegador web (se recomienda usar un navegador distinto de Internet Explorer) e inicie sesión en la interfaz de REST de Log Collector. Use las credenciales administrativas cuando inicie sesión. Por ejemplo, si la dirección IP de su Log Collector es 192.168.99.66, entonces la dirección URL sería:

      La pantalla del navegador debe verse así:

      Este es un ejemplo de la pantalla del navegador.

      Observe que la pantalla contiene el nombre del feed de identidad del feed que creó anteriormente (infonetd_domain, en este ejemplo).

      Para que el feed de identidad funcione correctamente, el puerto 50101 debe estar activo en el Log Collector y debe determinar si el cifrado SSL está activo.

    4. Vaya a ADMIN > Servicios > <Log Collector que se debe configurar> > Ver > Explorar.
    5. En el panel izquierdo, expanda rest > configuración.

      Este es un ejemplo de la vista Explorar.

      Para que REST esté activo, habilitado se debe configurar en 1.

    6. Observe el valor para ssl. Si SSL debe estar habilitado para su ambiente, se debe configurar en activado.

      Nota: Si cambió la configuración para la opción habilitado o la opción ssl, debe reiniciar el servicio Log Collector antes de continuar.

  3. Vaya a CONFIGURAR > Live Content > Feeds personalizados.

    Se muestra la cuadrícula Feeds.

    Este es un ejemplo de la cuadrícula Feeds.

  4. En la barra de herramientas, haga clic en El ícono Agregar.

    Se muestra el cuadro de diálogo Configurar feed.

    Este es un ejemplo del cuadro de diálogo Configurar feed.

  5. Asegúrese de que la opción Feed de identidad esté seleccionada y haga clic en Siguiente.

    El panel Configurar feed de identidad se abre con la pestaña Definir feed abierta.

  6. (Condicional) Puede crear un feed según demanda o recurrente.

    • Para definir una tarea de feed de identidad según demanda que se ejecute una vez, seleccione Ad hoc en el campo Tipo de tarea de feed, escriba el Nombre del feed y, a continuación, busque y abra el feed.
    • Para definir una tarea recurrente de feed de identidad que se ejecuta de manera recurrente, seleccione Recurrente en el campo Tipo de tarea de feed.

      En el formulario Definir feed se incluyen los campos de un feed recurrente.

      Este es un ejemplo del cuadro de diálogo Configurar feed de identidad en la sección Definir feed.

      Nota: RSA NetWitness Suite verifica la ubicación en la cual está almacenado el archivo para que Security Analytics pueda comprobar automáticamente el archivo más reciente antes de cada recurrencia.

  7. Rellene y verifique el campo URL.

    1. En el campo URL, escriba la dirección URL en la cual está ubicado el archivo de datos del feed. Esta es la interfaz de API REST que se configuró anteriormente. Debe contar con la siguiente información para construir la dirección URL:

      • La dirección IP del Log Collector que se usa para construir el archivo de feed de identidad.
      • El nombre de la línea de espera de identidad, como se configuró en el paso 2c.
      • Si SSL está habilitado o no en el puerto REST de Log Collector, como se configuró en el paso 2f.

      Construya este valor de la siguiente manera:

      • SSL habilitado: https://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600
      • SSL no habilitado: http://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600

      Por lo tanto, si se usa nuestro ejemplo anterior, el valor completo que debe ingresar en este campo es el siguiente:

      http://192.168.99.66:50101/event-processors/infonetd_domain?msg=getFile&force-content-type=application/octet-stream&expiry=600?msg=getFile&force-content-type=application/octet-stream&expiry=600

    2. Para que la verificación de la dirección URL funcione correctamente, es importante que el servidor de interfaz del usuario de Security Analytics pueda acceder al puerto de API REST del Log Collector (50101). Esto se puede probar al acceder mediante el protocolo SSH al servidor de interfaz del usuario de Security Analytics. Una vez que esté ahí, ejecute el siguiente comando:

      • SSL habilitado: curl -vk https://<ip of log collector>:50101
      • SSL no habilitado: curl -v http://<ip of log collector>:50101

      Si el comando curl no se conecta, entonces puede haber un problema de firewall de la red o de enrutamiento entre el servidor de interfaz del usuario de Security Analytics y el Log Collector.

      Ejemplo de mala conexión:

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... No route to host

      * couldn't connect to host

      * Closing connection #0

      curl: (7) couldn't connect to host

      Example of Good connection:

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... connected

      * Connected to 192.168.99.66 (192.168.99.66) port 50105 (#0)

      > GET / HTTP/1.1

      > User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2

      > Host: 192.168.99.66:50105

      > Accept: */*

      >

      < HTTP/1.1 401 Unauthorized

      < Content-Length: 71

      < Connection: Keep-Alive

      < Pragma: no-cache

      < Expires: -1

      < Cache-Control: no-cache, no-store, must-revalidate

      < WWW-Authenticate: Basic realm="NetWitness"

      < Content-Type: text/xml; charset=utf-8

      <

      <?xml version="1.0" encoding="utf-8"?>

      <error>401 Unauthorized</error>

      * Connection #0 to host 192.168.99.66 left intact

      * Closing connection #0

  8. La API REST requiere un nombre de usuario y una contraseña al intentar extraer el archivo identity_deploy.csv del Log Collector. Puede ser cualquier nombre de usuario y contraseña que estén disponibles en el propio servicio. Para obtener detalles, consulte el tema “Vista Seguridad de servicios” en la Guía de hosts y servicios.

    Para ver las cuentas que están disponibles, vaya a ADMIN > Servicios > <Log Collector que se debe configurar> > Acciones > Ver > Seguridad.

    En la tabla Usuarios, verá todos los usuarios que se pueden usar en este paso. Se sugiere crear una cuenta de usuario separada específicamente para esta configuración, que no se usa en ninguna otra parte en el ambiente para brindar mayor seguridad. Para obtener detalles, consulte “Agregar un usuario y asignar una función” en la Guía de administración de usuarios y seguridad del sistema. (Vaya a la Tabla maestra de contenido para la versión 11.0 para buscar los documentos de NetWitness Suite 11.0.)

  9. Para definir el intervalo de recurrencia, puede realizar alguna de las siguientes acciones:

    • Especifique la cantidad de minutos, horas o días entre cada recurrencia del feed.
    • Para definir el rango de días para la ejecución recurrente del feed, especifique la hora y la Fecha inicial y la hora y la Fecha de finalización.
  10. Si usa el cifrado SSL, debe instalar el certificado SSL de API REST para el Log Collector en el servidor de interfaz del usuario de Security Analytics. Para obtener detalles, consulte Importar el certificado SSL.

    Si, después de importar el certificado SSL, aún falla la verificación de la dirección URL, consulte No se puede verificar la dirección URL del feed de identidad.

  11. Haga clic en Verificar para verificar su configuración de feed de identidad antes de continuar con el formulario Seleccionar servicios.
  12. Haga clic en Siguiente.

    Se muestra el formulario Seleccionar servicios.

    Esta es la sección Seleccionar servicios del cuadro de diálogo Configurar feed de identidad.

  13. Para identificar los servicios en los cuales se implementará el feed, seleccione uno o más Decoders y Log Decoders, y haga clic en Siguiente.
  14. Haga clic en la pestaña Grupos, seleccione un grupo y haga clic en Siguiente.

    Se muestra el formulario Revisión.

    Esta es la sección Revisión del cuadro de diálogo Configurar feed de identidad.

    Nota: Si un grupo de dispositivos con Decoders y Log Decoders se usa para crear feeds personalizados o recurrentes y se puede eliminar este grupo, puede editar el feed y agregarle un grupo nuevo.

  15. Antes de hacer clic en Finalizar, puede hacer lo siguiente:

    • Hacer clic en Cancelar para cerrar el asistente sin guardar la definición del feed.
    • Hacer clic en Restablecer para borrar los datos del asistente.
    • Hacer clic en Siguiente para ver el formulario siguiente (si no se encuentra en el último formulario).
    • Hacer clic en Anterior para ver el formulario anterior (si no se encuentra en el primer formulario).
  16. Revise la información del feed y haga clic en Finalizar si los datos son correctos.

Después de crear correctamente el archivo de definición del feed, el asistente Crear feed se cierra, el feed y el archivo de token correspondiente aparecen en la Feed grid y la barra de progreso muestra que se completó la tarea. Puede expandir o contraer la entrada para ver cuántos servicios se incluyeron y cuáles tuvieron éxito.

Importar el certificado SSL

Si SSL está configurado en el Log Collector del feed de identidad, siga estos pasos para importar el certificado SSL del Log Collector al almacenamiento de claves del servidor de interfaz del usuario de Security Analytics. Si este certificado no se importa, el servidor de interfaz del usuario de Security Analytics no podrá extraer el archivo de feed de identidad del Log Collector.

  1. Para extraer el certificado SSL del Log Collector, acceda mediante el protocolo SSH al servidor de interfaz del usuario de Security Analytics y ejecute el siguiente comando:

    echo -n | openssl s_client -connect <HOST>:<PORT> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/<SERVERNAME>.cert

    Este comando guarda el certificado SSL en /tmp/<SERVERNAME>.cert.

    Por ejemplo:

    echo -n | openssl s_client -connect 192.168.99.66:50101 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/logcollector.cert

  2. Para importar el certificado SSL al servidor de interfaz del usuario de Security Analytics, acceda mediante el protocolo SSH al servidor de interfaz del usuario y ejecute el siguiente comando:

    keytool -importcert -alias <name an alias for the cert> -file <the cert file pathname> -keystore /etc/pki/java/cacerts

    Por ejemplo:

    keytool -importcert -alias logcollector01 -file /tmp/logcollector.cert -keystore /etc/pki/java/cacerts

  3. El sistema solicita una contraseña. Ingrese la contraseña para el almacenamiento de claves en el servidor de interfaz del usuario de Security Analytics, no para el almacenamiento de claves de jetty. La contraseña predeterminada es changeit.
  4. Reinicie jettysrv para permitir que jetty lea el nuevo certificado en el almacenamiento.

No se puede verificar la dirección URL del feed de identidad

Si no puede verificar la dirección URL del feed de identidad y está usando SSL, asegúrese de haber seguido los pasos descritos en Importar el certificado SSL.

Si aún hay problemas, es posible que el nombre interno del certificado no coincida con el nombre de host del Log Collector. El siguiente procedimiento comprueba esto.

  1. Acceda mediante el protocolo SSH al servidor de interfaz del usuario de Security Analytics.
  2. Ejecute el siguiente comando para generar el nombre de CN del certificado SSL:

    echo -n | openssl s_client -connect <log decoder>:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

    Ejemplo:

    echo -n | openssl s_client -connect salogdecoder01:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

  3. Recupere el nombre de CN del certificado SSL.

    Este es un ejemplo del nombre de CN.

  4. Edite el archivo /etc/hosts y agregue la dirección IP y el nombre de CN al archivo.

    Este es un ejemplo de la dirección IP y del nombre de CN agregados.

  5. Reinicie el servicio de red en el dispositivo.
  6. Confirme que el nombre colocado en el archivo /etc/hosts se use en lugar del nombre de dominio calificado o de la dirección IP en la dirección URL del feed de identidad.
  7. Vuelva a verificar la dirección URL del feed de identidad.
You are here
Table of Contents > Configurar feeds y analizadores > Crear un feed de identidad

Attachments

    Outcomes