Configuración de ESA: Mapeo de orígenes de datos de ESA a módulos Analytics

Document created by RSA Information Design and Development on Apr 27, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se indica a los administradores cómo mapear módulos ESA Analytics específicos a múltiples orígenes de datos y servicios de ESA Analytics, lo que puede hacer que el procesamiento sea más eficiente.

Puede analizar los datos que residen en uno o más Concentrators con la funcionalidad Detección de amenazas automatizadas de RSA NetWitness Suite mediante la selección de un módulo ESA Analytics preconfigurado. Los datos que analizan estos módulos se usan para identificar las amenazas avanzadas. Para usar mejor sus recursos de red y reducir el flujo de datos innecesario, puede mapear múltiples orígenes de datos, como Concentrators, a múltiples servicios ESA Analytics con el fin de procesar los datos de manera más eficiente y aprovechar la capacidad adicional.

Un módulo ESA Analytics es una canalización que consta de objetos de actividad que enriquecen un evento con información adicional a través de cálculos matemáticos. Los módulos ESA Analytics residen dentro de los servicios ESA Analytics.

Cuando implementa el mapeo, los servicios ESA Analytics seleccionados usan agregación basada en consultas para recopilar los eventos filtrados adecuados para el módulo seleccionado desde los Concentrators. La agregación basada en consultas es una consulta predefinida que solo transfiere datos para el módulo ESA Analytics seleccionado. Solo los datos que requiere el módulo se transfieren entre el Concentrator y el sistema ESA Analytics.

Actualmente hay dos módulos ESA Analytics disponibles para Suspicious Domains: C2 for Packets (http-packet) y C2 for Logs (http-log).

Ejemplo de implementación de módulo: dos ESA

Para aprovechar la capacidad adicional de un Concentrator, puede mapear un módulo ESA Analytics a un servicio ESA Analytics e implementarlo para analizar los datos de múltiples orígenes de datos al mismo tiempo.

Por ejemplo, si tiene tres Concentrators y dos servicios ESA Analytics, puede crear e implementar los siguientes mapeos:

  • Mapear el Módulo 1 a los orígenes de los Concentrators 1 y 2 y al servicio ESA Analytics 1. El servicio ESA Analytics 1 analiza los eventos filtrados del Módulo 1 desde los Concentrators 1 y 2.
  • Mapear el Módulo 2 a los orígenes de los Concentrators 2 y 3 y al servicio ESA Analytics 2. El servicio ESA Analytics 2 procesa los eventos filtrados del Módulo 2 desde los Concentrators 2 y 3.

En este ejemplo, el Módulo 1 representa un módulo ESA Analytics, como C2 for Packets (http-packet), y el Módulo 2 representa otro módulo ESA Analytics, como C2 for Logs (http-logs) en otra ubicación.

Ejemplo de implementación de módulo: 2 ESA

Este ejemplo muestra cómo ambos servicios pueden procesar datos desde el mismo Concentrator. Observe que los servicios ESA Analytics 1 y 2 pueden procesar datos desde el Concentrator 2. El servicio ESA Analytics 1 consulta datos para los eventos del Módulo 1 y el servicio ESA Analytics 2 consulta diferentes datos para los eventos del Módulo 2.

Ejemplo de implementación de módulo: un ESA

Además de crear mapeos de módulo que procesan distintos servicios ESA Analytics, puede mapear más de un módulo al mismo servicio ESA Analytics.

Por ejemplo, si tiene tres Concentrators y un servicio ESA Analytics, puede crear e implementar los siguientes mapeos:

  • Mapear el Módulo 1 a los orígenes de los Concentrators 1 y 2 y al servicio ESA Analytics 1. El servicio ESA Analytics 1 analiza los eventos filtrados del Módulo 1 desde los Concentrators 1 y 2.
  • Mapear el Módulo 2 a los orígenes de los Concentrators 2 y 3 y al servicio ESA Analytics 1. El servicio ESA Analytics 1 también procesa los eventos filtrados del Módulo 2 desde los Concentrators 2 y 3.

Ejemplo de implementación de módulo: un ESA

En este ejemplo se muestra cómo un servicio puede procesar los datos de más de un módulo. Observe que el servicio ESA Analytics 1 puede procesar datos desde los Concentrators 1 y 2 para el Módulo 1. También procesa datos de los Concentrators 2 y 3 para el Módulo 2. El servicio ESA Analytics 1 consulta datos para los eventos del Módulo 1 y consulta diferentes datos para los eventos del Módulo 2.

Precaución: Asegúrese de que todos los servicios de host de NetWitness Suite estén sincronizados con un origen de tiempo coherente.

Requisitos previos

  • Todos los servicios de host de NetWitness Suite deben estar sincronizados con un origen de tiempo coherente.
  • Los servicios y los hosts de Concentrator se deben descubrir y deben estar disponibles en la interfaz del usuario de NetWitness Suite.
  • Se deben cumplir todos los requisitos específicos de cada módulo.
    • Para Suspicious Domains:
      • Configurar los ajustes de registro (Suspicious Domains para registros solamente)
      • Crear una lista blanca mediante el servicio Context Hub.
      • Configurar el servicio Búsqueda de Whois.
      • Verificar que la regla de incidentes C2 esté habilitada y monitorear la actividad.
      • Verificar que los incidentes se agrupen por Sospecha de C&C.

    Para conocer los procedimientos paso a paso, consulte la Guía de Detección de amenazas automatizadas de NetWitness Suite.

Crear mapeos de ESA Analytics

En el siguiente procedimiento se indica cómo mapear módulos ESA Analytics a orígenes y servicios. Después de crear y revisar los mapeos, impleméntelos de manera que puedan iniciar la agregación de datos.

  1. Vaya a ADMIN > Sistema y, en el panel de opciones, seleccione ESA Analytics.
    Se muestra el panel Mapeos de ESA Analytics.
    Panel Mapeos de ESA Analytics
  2. Haga clic en para crear un mapeo de ESA Analytics. Cree un mapeo por separado para cada módulo.
    Se muestra el cuadro de diálogo Crear mapeos.
    Cuadro de diálogo Crear mapeos: Vacío
  3. En la lista Módulo, seleccione un módulo.
  4. Configure uno o más orígenes de datos (Concentrators) para los mapeos. Para cada Concentrator, realice lo siguiente:
    1. Haga clic en Ícono Agregar .
      En el cuadro de diálogo Orígenes disponibles se muestran los orígenes de datos que están disponibles en la vista Admin > Servicios.
      Cuadro de diálogo Orígenes disponibles
    2. En el cuadro de diálogo Orígenes disponibles, seleccione un Concentrator y haga clic en Aceptar.
      Se muestra el cuadro de diálogo Agregar origen.
      Cuadro de diálogo Agregar origen: Vacío
    3. En el cuadro de diálogo Agregar origen, escriba el nombre de usuario y la contraseña de administrador para el Concentrator.
    4. Haga clic en Probar conexión para asegurarse de que pueda comunicarse con el servicio ESA Analytics.
      Cuadro de diálogo Agregar origen: La conexión se prueba se estableció correctamente
    5. Haga clic en Aceptar.
      Después de configurar los orígenes de datos y que estos aparezcan en la lista Orígenes, puede volver a usarlos para mapeos adicionales.
  5. En la lista Orígenes, seleccione uno o más orígenes de datos para agregar los datos para el módulo.
    Cuadro de diálogo Crear mapeos
    Un círculo de color verde indica un servicio en ejecución y un círculo de color blanco indica un servicio detenido.
  6. En la lista Servicio, seleccione un servicio ESA Analytics para procesar los datos para el módulo.
  7. Si es necesario, especifique el tiempo que se usará para consultar los datos desde los Concentrators seleccionados:

    Campo

    Descripción

    Período de preparación (horas)

    Especifica una duración de preparación (en horas). Se requiere un período de preparación para permitir que Detección de amenazas automatizadas “conozca” su tráfico. El período de preparación se debe ejecutar cuando se esté ejecutando el tráfico típico. Durante este tiempo, se suprimen las alertas para el mapeo de módulo. El período de preparación prepara el módulo con datos históricos y garantiza que se complete la cantidad especificada de horas de recopilación de datos antes de que se envíen alertas.

    RSA proporciona módulos ESA Analytics preconfigurados. Cada tipo de módulo tiene un período de preparación predeterminado, que puede ajustar a su ambiente, si es necesario. Después de este período de preparación, se pueden ver las alertas.

    Para obtener más información sobre el período de preparación y el tiempo de retardo, consulte Configuración del módulo.

    Tiempo de retardo (minutos)

    Especifica el retraso de tiempo constante en minutos, el cual se suma para evitar la pérdida de eventos que los orígenes de datos procesan durante períodos de gran actividad. Por ejemplo, el rendimiento del Concentrator varía en función de factores como carga entrante, consultas continuas e indexación. Debido a estos factores, es posible que un Concentrator no pueda agregar eventos en tiempo real, lo que genera el retraso.

    El parámetro Retardo da al Concentrator la oportunidad de terminar de agregar todos los datos.

    Después de que finaliza el período de preparación, la agregación de datos continúa en Hora (del sistema) actual - Tiempo de retardo. Esto es útil cuando la agregación de datos en un Concentrator se realiza con lentitud. El tiempo de retardo garantiza que el módulo no procese los datos que llegan al Concentrator dentro de la ventana de tiempo de retardo, de modo que haya un retraso adecuado para asegurar que el módulo pueda procesar todos los eventos que se generan en la empresa.

    Por ejemplo, si el tiempo de retardo es 30 minutos y actualmente son las 14:00 h, el Concentrator comienza a extraer registros a las 13:30 h. La ventana de tiempo de retardo, 30 minutos en este ejemplo, permanece constante a medida que avanza la hora. Cuando la hora actual avanza hasta las 14:01 h, el Concentrator extrae los datos al minuto siguiente, a las 13:31 h, etc.

    Importante: El tiempo de retardo define el búfer entre la hora actual y la hora en que el módulo recopila los datos.

    Precaución: RSA recomienda que los administradores ajusten el parámetro Retardo de forma dinámica en función del rendimiento de cada uno de los Concentrators individuales para evitar la pérdida de eventos durante la agregación.

    Para obtener más información sobre el período de preparación y el tiempo de retardo, consulte Configuración del módulo.

  8. Haga clic en Crear.
    Los mapeos que crea aparecen en la lista de mapeos existentes con un estado de Implementación anulada.
    Panel Mapeos de ESA Analytics
    Importante: Para iniciar un módulo de manera que inicie la agregación de datos, debe implementarlo.

Implementar mapeos de ESA Analytics

Después de crear los mapeos, debe implementarlos para iniciar la agregación de datos para los módulos.

  1. En la lista de mapeos, verifique que el estado de los mapeos que desea implementar se muestre como Implementación anulada.
  2. Seleccione uno o más mapeos con un estado de Implementación anulada y seleccione Implementar ahora.
    Todos los mapeos seleccionados en el estado Implementación anulada inician la agregación de datos como está configurado en el mapeo. El estado del mapeo cambia a Implementado.
    No puede implementar un mapeo que ya está implementado.

Actualizar un mapeo

Solo puede tener un mapeo por módulo. Si desea realizar cambios en un mapeo implementado, como agregar o quitar Concentrators o cambiar el servicio, debe anular la implementación y eliminar el mapeo existente y, a continuación, crear e implementar un nuevo mapeo para ese módulo.

Puede realizar las siguientes actualizaciones a un mapeo implementado sin eliminarlo:

  • Anular la implementación del mapeo
  • Cambiar el período de preparación y el tiempo de retardo

También puede cambiar el período de preparación y el tiempo de retardo para un mapeo de módulo con implementación anulada.

Anular la implementación de un mapeo

Si desea detener la agregación de datos para un mapeo de módulo, pero no desea eliminar el mapeo, puede anular la implementación de este. Esto le ofrece la opción de implementarlo posteriormente. Cuando anula la implementación de un mapeo, el servicio ESA Analytics especificado deja de extraer datos del origen de datos para ese módulo.

Precaución: Anular la implementación de un mapeo con un estado de Implementado afectará la agregación de datos para ese módulo.

Para anular la implementación de un mapeo:

  1. En el panel Mapeos de ESA Analytics, seleccione el mapeo implementado para el cual desea anular la implementación.
  2. En la columna Acciones, seleccione Ícono Acciones > Anular implementación.
    El estado cambia de Implementado a Implementación anulada y se detiene la agregación de datos.

Eliminar un mapeo

Puede eliminar un mapeo con un estado de Implementación anulada en cualquier momento. Puesto que un mapeo en el estado Implementación anulada no se está ejecutando, no afecta la agregación de datos.

Debe anular la implementación de un mapeo con un estado de Implementado antes de eliminarlo. Anular la implementación de un mapeo y eliminarlo borran la configuración en el servidor de ESA, revierte la implementación para ese mapeo y detiene la extracción de datos del origen de datos para ese módulo.

Precaución: Anular la implementación de un mapeo y eliminarlo afectarán la agregación de datos para ese módulo.

Para eliminar un mapeo:

  1. En el panel Mapeos de ESA Analytics, seleccione el mapeo que desea eliminar. Solo puede eliminar un mapeo a la vez.
  2. Haga clic en Ícono Eliminar.

Cambiar el período de preparación y el tiempo de retardo

Puede ajustar el período de preparación para un mapeo de módulo específico. Por ejemplo, una vez que se completa el período de preparación, puede aumentar la configuración del período de preparación para permitir un tiempo de preparación adicional. Incluso puede aumentar el período de preparación cuando el mapeo de módulo se está preparando activamente.

Si es necesario, puede cambiar el tiempo de retardo para el módulo. El tiempo de retardo define el búfer entre la hora (del sistema) actual y la hora en que el módulo recopila los datos.

  1. En el panel Mapeos de ESA Analytics, seleccione el mapeo que desea cambiar y en la columna Acciones, seleccione Ícono Acciones > Editar módulo.
    En el cuadro de diálogo Configuración del módulo se muestra el módulo seleccionado, el servicio ESA Analytics y los orígenes de datos para el mapeo. Los orígenes de datos muestran las direcciones URL que se usan para comunicarse con ESA.
    Cuadro de diálogo Configuración del módulo
  2. Revise la sección Estado de preparación para determinar el estado de preparación actual:
    • La preparación se inició a las: La hora en que el módulo ESA Analytics procesó el primer evento desde el origen de datos.
    • Hora del primer evento: La hora en que se produjo el primer evento. El tiempo de preparación se basa en esta hora.
    • Hora del último evento: La hora en que se produjo el último evento..
    • Tiempo de preparación restante: La cantidad de horas restantes en el período de preparación.
    • ¿Se completó? : Indica si el período de preparación se completó. Si es verdadero, el período de preparación se completó. Si es falso, el módulo aún se está preparando y la cantidad de horas restantes se puede ver en el campo Tiempo de preparación restante.
  3. En la sección Configuración, puede actualizar Período de preparación (horas), en función de si se completó o no el período de preparación.
    • Durante el período de preparación: Puede agregar horas al período de preparación o restar cualquier tiempo de preparación restante.
    • El período de preparación se completó: Puede agregar horas al período de preparación mediante la suma de la diferencia entre la hora actual y la Hora del primer evento a las horas que desea agregar.
      Por ejemplo, un período de preparación de 10 horas se completó y en la opción Hora del primer evento se muestra 12:00:00. La hora actual son las 16:00:00 (4 horas después) y desea agregar 5 horas más al tiempo de preparación. Para hacerlo, debe agregar 9 horas (4+5=9) al período de preparación de 10 horas; por lo tanto, debe configurar el nuevo período de preparación en 19 horas.
      No puede disminuir el período de preparación si se completó, a menos que elimine el mapeo y cree uno nuevo.
  4. Si es necesario, puede ajustar el Tiempo de retardo (minutos) para dar a los Concentrators en el mapeo el tiempo adicional para completar la agregación de todos los datos.
  5. Haga clic en Guardar.
    Los cambios NO se aplican de inmediato. Para que la configuración tenga efecto, debe anular la implementación del mapeo y volverlo a implementar.
  6. Para anular la implementación del mapeo, en el panel Mapeos de ESA Analytics, seleccione el mapeo cuya implementación desea anular y elija Ícono Acciones > Anular implementación.
    La agregación de datos se detiene para el mapeo seleccionado.
  7. Para volver a implementar el mapeo, seleccione el mapeo que desea implementar y elija Ícono Acciones > Implementar.
    El mapeo seleccionado se implementa e inicia la agregación de datos como está configurado en el mapeo.
You are here
Table of Contents > Configurar ESA Analytics > Mapeo de orígenes de datos de ESA a módulos Analytics

Attachments

    Outcomes