ESM: Pestaña Descubrimiento

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

Puede acceder a la pestaña Descubrimiento, vaya a NetWitness ADMINISTRAR> Orígenes de eventos. Se muestra la pestaña Descubrimiento.

La pestaña Descubrimiento permite revisar los tipos de origen de eventos que descubrió NetWitness para cada dirección y la confianza del sistema en la probabilidad de que se hayan identificado con completa exactitud. Si los tipos de origen de eventos descubiertos están correctos, puede confirmar para filtrar ese origen de eventos. Si están incorrectos, puede configurar los tipos de origen de eventos permitidos para una dirección específica, de modo que los registros futuros realicen el análisis en los analizadores correctos.

Nota: Las siguientes características se aplican a RSA NetWitness® Platform versión 11.1 y superior:
- Confirmación de varios orígenes de eventos
- Filtrado por tipo de origen de evento
- (para 11.2 y superior) Las opciones de filtro de mapeo incluyen Ninguno, Automático y Manual
- Mapeo de varios orígenes de eventos
- Búsqueda de orígenes de eventos en la página Descubrimiento de orígenes de eventos

RSA NetWitness® Platform, versión 11.2 y superior, mapea automáticamente los eventos entrantes a un tipo en función de registros anteriores recibidos desde esa dirección, lo que reduce el análisis incorrecto de mensajes y la cantidad de elementos que requieren atención en el flujo de trabajo de descubrimiento. Un valor Automático en la columna Tipo de mapeo indica que una dirección se mapeó automáticamente.

Flujo de trabajo

En este flujo de trabajo se muestra el proceso general de configuración de orígenes de eventos.

¿Qué desea hacer?

                                 
FunciónDeseo…Documentación
Administrador

Confirmar y mapear orígenes de eventos.*

Confirmación y mapeo de orígenes de eventos

Administrador

Agregar y configurar mapeos de analizadores para un Log Decoder.*

Administrar mapeos de analizadores

AdministradorVer alarmas de orígenes de eventos.Visualización de alarmas de origen de evento

Administrador

Solucionar problemas de la administración de orígenes de eventos.

Solución de problemas y apéndice de ESM

*Puede realizar esta tarea aquí.

Temas relacionados

Administrar mapeos de analizadores

Vista Detalles

Vista rápida

En el siguiente ejemplo se muestra una lista de direcciones y sus tipos de origen de eventos descubiertos. Los tipos de origen de eventos muestran los orígenes de eventos que se han descubierto.

Este es un ejemplo de la pestaña.

                                                                 
1

Muestra los paneles Filtros y Orígenes de eventos con la pestaña Descubrimiento abierta.

2

Muestra el campo Filtro de origen de evento con un menú desplegable que ofrece las siguientes opciones:

  • Ingrese la dirección completa o parcial (IP, IPv6 o nombre de host) de los orígenes que desea revisar. También puede ingresar varias entradas separadas con comas.
    Por ejemplo, 10.10.10.10,10.10.10.11,host1.company.com
  • Exacto: Devuelve orígenes que coinciden completamente con el término de búsqueda.
    Por ejemplo, 10.10.10.10 devuelve únicamente 10.10.10.10 y no 10.10.10.101.
  • Comienza con: Devuelve orígenes que comienzan con el término de búsqueda.
    Por ejemplo, 10.10.10. devuelve la subred 10.10.10.x completa.
  • Contiene: Devuelve orígenes que comienzan con el término de búsqueda.
    Por ejemplo, exch devuelve todos los términos similares a us-exch-1.company.com, o lab21 devuelve todos los términos similares a hostx.lab21.company.com.
  • Finaliza con: Devuelve orígenes que finalizan con el término de búsqueda.
    Por ejemplo, lab21.company.com devuelve todos los hosts.

Nota: Cuando especifica la cadena de búsqueda, puede utilizar . - : (punto, guion y dos puntos).

3El menú desplegable Tipo de origen de eventos filtra las direcciones que contienen todos los tipos de orígenes de eventos seleccionados.
4
  • Seleccione la casilla de verificación Mostrar confirmados para mostrar los orígenes de eventos confirmados.
  • Las opciones de filtro de mapeo pueden incluir solamente uno de los tipos de mapeos enumerados en el panel Filtro o se pueden seleccionar varios Tipos de mapeos.

Nota: Si no se seleccionan opciones de filtro de mapeo, el valor predeterminado es mostrar los tipos de mapeos Todo, Ninguno, Manual y Automático.

5
  • El botón Aplicar utiliza todos los criterios que se configuran en todos los filtros.
  • El botón Borrar quita todos los filtros del panel.
6Alterna los orígenes de eventos entre los estados confirmado y no confirmado.
7Mapea los orígenes de eventos seleccionados.
8El botón Ver detalles permite ver los detalles del origen de eventos seleccionado.
9Muestra las direcciones de los orígenes de eventos seleccionados.
10Muestra los puntajes de descubrimiento de los orígenes de eventos seleccionados.
11Muestra si los orígenes de eventos seleccionados se confirmaron o no.
12Muestra el tipo de mapeo de origen de eventos seleccionado como Automático, Manual o Ninguno. Los cambios en el mapeo solo se muestran aquí.
13Muestra los nombres de host de los Log Collectors donde se encuentran los orígenes de eventos.
14Muestra los nombres de host de los Log Decoders donde se encuentran los orígenes de eventos.
15Muestra los tipos de origen de eventos descubiertos y sus puntajes de descubrimiento asociados.

Barra de herramientas y funciones

La pestaña Descubrimiento contiene las siguientes funciones:

                                           
CampoDescripción

Herramientas

En la barra de herramientas están disponibles los siguientes elementos:

  • Alternar entre confirmaciones: Alterna el estado de confirmación del origen de eventos seleccionado entre y No.
  • Mapa: Abre el cuadro de diálogo Administrar mapeos de analizadores, donde puede mapear un origen de eventos al analizador de registros correcto.
  • Ver detalles: Proporciona detalles sobre el origen de eventos seleccionado.

Origen de evento

La dirección IP, IPv6 o el nombre de host del origen de eventos.

Puntaje de descubrimiento

Muestra el puntaje de descubrimiento general asociado con esa dirección específica. Los puntajes más altos indican mayor confianza. Los puntajes de descubrimiento van de 0 (menos seguro) a 100 (más seguro).

Con confirmación

Las selecciones son (el origen de eventos se confirmó) o
No (el origen de eventos no se confirmó).

Tipo de mapeo

Las selecciones son Manual (usted mapeó el origen de eventos), Automático (el sistema mapeó automáticamente el origen de eventos) o Ninguno (el origen de eventos no se mapeó).

El mapeo automático está orientado al contenido. Cuando se analiza un mensaje de registro a un encabezado o un mensaje de alta confianza que se han etiquetado, se configurará un mapeo automático para esa dirección y tipo. Este mapeo automático es válido durante 24 horas y se renovará cada vez que un mensaje de registro coincida con un encabezado etiquetado de un mensaje.

Los mensajes de registro se analizan en primer lugar contra analizadores mapeados de manera automática y vuelven al descubrimiento solamente si no hay coincidencia entre los analizadores mapeados. Los mensajes de registro que vuelven al descubrimiento pueden coincidir con los encabezados o los mensajes etiquetados de otros orígenes de eventos: esto da lugar al mapeo de varios tipos.

Por ejemplo, una dirección podría mapearse finalmente a Windows, MS SQL y Apache, y estos analizadores se evalúan primero. Si se desactiva un origen de eventos y se replanifica su IP, el temporizador de 24 horas descarta por tiempo a los mapeos para los tipos desactivados.

Nota: Esta característica se aplica a RSA NetWitness versión 11.2 y superior.

Log Collectors

Log Collectors que recibieron registros desde esta dirección de origen de eventos.

Log Decoders

Log Decoders que recibieron registros desde esta dirección de origen de eventos.

Tipos de origen de eventos

Los tipos analizados de la dirección del origen de eventos y el puntaje de descubrimiento correspondiente para cada tipo.

Nota: Los puntajes de descubrimiento solo están disponibles para Log Decoders 11.0 y superior. Los puntajes de descubrimiento para los Log Decoders anteriores a 11.0 se muestran como No disponible.

En la siguiente tabla se describe el orden de clasificación de los puntajes de descubrimiento. Para acceder al menú desplegable Orden de clasificación, haga clic en la flecha hacia abajo en la columna Orígenes de eventos.

                       
CampoDescripción

Orden ascendente

Ordene la columna por puntaje de descubrimiento en orden ascendente.

Orden descendente

Ordene la columna por puntaje de descubrimiento en orden descendente.

Columnas

Se usa para ocultar o mostrar una o más columnas.

Previous Topic:Referencias
You are here
Table of Contents > Referencias > Pestaña Descubrimiento

Attachments

    Outcomes