Reporting : Configurer le Reporting Engine

Document created by RSA Information Design and Development on Apr 24, 2018
Version 1Show Document
  • View in full screen mode

Assurez-vous que :

  • Vos Decoders sont connectés au Concentrator ajouté à Reporting Engine pour la source de données sélectionnée, avant de créer une règle d'alerte.
  • Vous avez installé et configuré un serveur Syslog qui prend en charge TCP/TLS dans votre environnement. Par exemple, WinSyslog. Vous pouvez configurer le Reporting Engine pour envoyer des messages Syslog via TCP avec Transport Layer Security (TLS) lorsqu'une alerte est déclenchée.

Pour configurer le Reporting Engine pour envoyer des alertes Syslog via TCP avec Transport Layer Security (TLS) :

  1. Obtenez les certificats requis.
  2. Ajoutez le certificat d’autorité de certification au fichier ca.pem sur le serveur NetWitness.

  3. Configurez le serveur Syslog pour accepter des messages des machines client.

  4. Configurez la remise des messages d'alerte dans l’interface utilisateur NetWitness.

Tâche 1 : Obtenir les certificats requis

Pour générer des certificats permettant de configurer le Reporting Engine pour l'envoi de messages Syslog via TCP avec TLS :

  1. Générez un certificat de l'Autorité de certification (AC). Pour plus d'informations, reportez-vous à la rubrique http://www.rsyslog.com/doc/tls_cert_ca.html.

Remarque : Vous pouvez ignorer cette étape si vous avez déjà un certificat AC en cours d'exécution dans votre environnement.

  1. Générez une paire de clés pour le serveur Syslog. Pour plus d'informations, reportez-vous à la rubrique http://www.rsyslog.com/doc/tls_cert_machine.html.

Remarque : Vous pouvez ignorer cette étape si vous avez déjà configuré la sécurité pour le serveur Syslog à l'aide de la clé et des certificats générés par la même autorité de certification.

Tâche 2 : Ajouter le certificat d’autorité de certification au fichier ca.pem sur le serveur NetWitness

Pour ajouter un certificat d’autorité de certification existant au fichier ca.pem :

  1. Ajoutez manuellement le contenu du certificat d’autorité de certification que vous avez généré au fichier /etc/pki/CA/certs/ca.pem.
  2. Exécutez la commande suivante sur le serveur NetWitness pour que le certificat alimente pour le magasin d’approbations :
    keytool -import -file /etc/pki/CA/certs/ca.pem -keystore cacerts

Tâche 3 : Configurer le serveur Syslog pour accepter des messages des machines client

Pour configurer le serveur Syslog afin qu’il accepte des messages des machines client ayant les mêmes certificats d'autorités de certification :

  1. Copiez les fichiers suivants sur votre site de destination du serveur TCP sécurisé :
    • ca_cert.pem

    • server_cert.pem

    • server_key.pem

      Where:

      ca_cert.pem - est le certificat d’autorité de certification

      server_cert.pem - est le certificat du serveur

      server_key.pem - est la clé de serveur

      Pour plus d'informations, consultez la documentation spécifique à votre serveur Syslog. Si vous utilisez rsyslog, reportez-vous à la page http://www.rsyslog.com/doc/tls_cert_server.html.

Tâche 4 : Configurer la remise des messages d'alerte dans NetWitness

Configurez le Reporting Engine pour envoyer des messages Syslog sur TCP avec Transport Layer Security (TLS) lorsqu'une alerte est déclenchée par l'activation de SECURE_TCP sous l'onglet Actions de résultat pour le service Reporting Engine au sein de la vue Configuration des services du Reporting Engine. Pour plus d’informations, consultez la rubrique Actions de résultat du Reporting Engine dans le Guide de configuration de l'hôte et des services.

 

You are here
Table of Contents > Configurer le Reporting Engine

Attachments

    Outcomes