ESM: Importar orígenes de eventos

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

Puede importar atributos de orígenes de eventos desde un archivo con formato CSV. Para importar información desde una base de datos de administración de configuración (CMDB), una hoja de cálculo u otro tipo de archivo, primero convierta o guarde la información en un archivo CSV.

Nota: Los siguientes atributos de identificación se manejan de manera especial: IP, IPv6, Nombre del host, Tipo de origen de evento, Log Collector y Log Decoder. Si importa un origen de evento que incluye un valor distinto para cualquiera de estos campos (en comparación con el valor de NetWitness Suite), el valor original de NetWitness Suite no se sobrescribirá.

Los atributos importados se asocian con el origen de eventos con el cual hubo coincidencia y están disponibles para su uso en reglas de creación de grupos de orígenes de eventos.

RSA NetWitness Suite considera el archivo de importación como el registro completo correcto. Esta suposición conlleva los siguientes comportamientos relacionados con la importación de atributos de orígenes de eventos:

  • De manera predeterminada, cuando importa atributos, el sistema actualiza únicamente los atributos de los orígenes de eventos existentes.
  • Si el origen de evento existe en el archivo de importación, pero no en NetWitness Suite, los atributos de ese origen de evento se omiten. Es decir, NetWitness Suite no crea un nuevo origen de evento para estos atributos.
  • Si el origen de evento existe en el archivo de importación y en NetWitness Suite, los valores de ese origen de evento se sobrescriben.
  • Si un atributo está en blanco en el archivo de importación, este borra el atributo correspondiente en NetWitness Suite.
  • Si un atributo no se especifica en el archivo de importación, el atributo correspondiente se omite en NetWitness Suite (es decir, no se borra).

Nota: hay una diferencia entre un atributo en blanco y uno que no se especifica. Si un atributo se especifica, pero en blanco, la suposición es que está en blanco a propósito y NetWitness Suite lo borra para el origen de evento correspondiente. Sin embargo, si un atributo no se especifica, se da por hecho que no se espera ningún cambio.

Los comportamientos anteriores son los predeterminados. Es posible cambiarlos como se especifica en el siguiente procedimiento.

Importar atributos de orígenes de eventos

Para importar atributos de orígenes de eventos desde un archivo:

  1. Vaya a ADMIN > Orígenes de evento.
  2. Seleccione la pestaña Administrar.

    Se muestra la pestaña Administración de orígenes de eventos.
    Se muestra la pestaña Administración de orígenes de eventos.

  3. En el menú Importar/Exportar de la barra de herramientas (), seleccione Importar ().

    Se muestra el cuadro de diálogo Importar orígenes de eventos.

    Se muestra el cuadro de diálogo Importar orígenes de eventos.

  4. Navegue al archivo de importación y seleccione las casillas correspondientes:

    • Valor predeterminado: el comportamiento predeterminado, como se describió anteriormente.
    • Solo agregar: Importa un atributo solo si el campo correspondiente en NetWitness Suite está en blanco. Por lo tanto, los valores existentes no se sobrescriben.
    • No borrar valores: No borra valores de atributos en NetWitness Suite para los elementos del archivo de importación que están en blanco.
    • Agregar orígenes desconocidos: agrega nuevos orígenes de eventos en función de los elementos del archivo de importación.

    Nota: puede seleccionar varias opciones.

  5. Haga clic en Importar.
  6. Haga clic en en el cuadro de diálogo de confirmación para realizar la importación.

Solución de problemas del archivo de importación

Si el archivo de importación no tiene el formato correcto o si le falta información requerida, se muestra un error y el archivo no se importa.

Revise lo siguiente:

  • Si está agregando orígenes desconocidos, cada línea del archivo debe contener una combinación de los atributos requeridos:
    • IP o IPv6, Nombre de host y
    • Tipo de origen de evento
  • La primera línea del archivo debe contener nombres de encabezado y estos deben coincidir con los nombres en NetWitness Suite. Para obtener una lista de nombres de columna correctos, puede exportar un único origen de eventos. Examine el archivo CSV exportado: la primera fila del archivo contiene el conjunto correcto de atributo/nombres de columna.

Si el archivo de importación no tiene el formato correcto o si le falta información requerida, se muestra un error y el archivo no se importa.

You are here
Table of Contents > Administrar grupos de orígenes de eventos > ESM: Importar orígenes de eventos

Attachments

    Outcomes