ESM: Confirmación y mapeo de orígenes de eventos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

En RSA NetWitness® Platform versión 11.1, RSA introdujo el mapeo automático. El sistema mapea automáticamente los eventos entrantes a un tipo en función de registros anteriores recibidos desde esa dirección, lo que reduce la cantidad de elementos que requieren atención en el flujo de trabajo de descubrimiento. La interfaz del usuario indica que una dirección se mapeó automáticamente en el flujo de trabajo de descubrimiento.

Confirmar los tipos de orígenes de evento

La pestaña Descubrimiento permite revisar los tipos de origen de eventos que descubrió NetWitness para cada dirección y la confianza del sistema en la probabilidad de que se hayan identificado con exactitud. Si los tipos de origen de eventos descubiertos están correctos, puede confirmar para filtrar ese origen de eventos en la vista de forma predeterminada. Si están incorrectos, puede configurar los tipos de origen de eventos permitidos para una dirección específica, de modo que los registros futuros realicen el análisis en los analizadores correctos.

Para confirmar orígenes de eventos:

  1. Vaya a ADMINISTRAR > Orígenes de eventos.

    Se muestra la pestaña Descubrimiento.

  2. Seleccione uno o más orígenes de eventos.
  3. Haga clic en Alternar entre confirmaciones.

Tenga en cuenta lo siguiente:

  • Una vez que se confirman, los orígenes de eventos ya no aparecen en la columna Tipos de origen de eventos.
  • El botón Alternar entre confirmaciones se comporta de la siguiente manera:

    • Si el estado Con confirmación de todos los orígenes de eventos seleccionados es el mismo, se alternan todos los valores. Es decir, si selecciona únicamente orígenes de eventos con en la columna Con confirmación, el valor cambia a No para todos ellos. De forma similar, si todos tienen No en la columna Con confirmación, el valor cambia a para todos los orígenes de eventos seleccionados.
    • Si selecciona varios orígenes de eventos y el valor de algunos es y de otros es No, cuando hace clic en Alternar entre confirmaciones, todos los valores se configuran en para los orígenes de eventos seleccionados.

Nota: De manera predeterminada, los orígenes de eventos reconocidos no se muestran.

Mapear manualmente tipos de orígenes de eventos

Cuando los tipos de orígenes de eventos descubiertos no son totalmente precisos, puede mapear manualmente los analizadores para obtener información adicional.

Para mapear uno o más orígenes de eventos:

  1. Vaya a ADMINISTRAR > Orígenes de eventos.

    Se muestra la pestaña Descubrimiento.

  2. Seleccione uno o más orígenes de eventos.
  3. Haga clic en Map button.

    Se muestra el cuadro de diálogo Administrar mapeos de analizadores.

  4. Agregue o quite mapeos de analizadores y cambie el orden de prioridad en función de las necesidades de la organización. Para obtener más detalles, consulte Administrar mapeos de analizadores .

Nota: Los puntajes de descubrimiento para los orígenes de eventos mapeados se enumeran en la columna Tipos de origen de eventos de los más bajos a los más altos. Los puntajes de descubrimiento van de 0 (menos seguro) a 100 (más seguro).

Visualización de registros de Log Decoder anterior a 11.0

En RSA NetWitness® Platform 11.0 se agregó la capacidad de ver una pequeña muestra de registros recientes para dispositivos específicos a través de las pestañas de detalles de la vista Descubrimiento. De forma predeterminada, antes de la versión 11.0 los Log Decoders no tienen la configuración necesaria para habilitar esta función, pero algunos cambios menores pueden hacer que esté disponible. Para obtener más detalles, consulte Visualización de registros de Log Decoder anterior a 11.0.

You are here
Table of Contents > Administrar grupos de orígenes de eventos > Confirmación y mapeo de orígenes de eventos

Attachments

    Outcomes