Introducción de hosts: Conceptos básicos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Jul 10, 2019
Version 5Show Document
  • View in full screen mode
 

En esta guía se proporciona a los administradores los procedimientos estándares para agregar y configurar hosts y servicios en NetWitness Platform. Después de presentar el propósito básico de los hosts y los servicios y cómo funcionan dentro de la red de NetWitness Platform, en esta guía se aborda lo siguiente:

  • Las tareas que debe realizar para configurar los hosts y los servicios en la red
  • Los procedimientos adicionales que completa en función de las necesidades operacionales a largo plazo y diarias de una empresa.
  • Temas de referencia que describen la interfaz del usuario

Vaya a la Tabla maestra de contenido para buscar todos los documentos de NetWitness Platform Logs & Network 11.x.

Qué es un host

Un host es la máquina en la cual se ejecuta un servicio y puede ser una máquina física o virtual. Consulte el “Diagrama detallado de implementación de hosts de NetWitness Platform” de la Guía de implementación de NetWitness Platform para ver una ilustración de cómo se implementan los hosts.

¿Qué es una categoría?

Una categoría asigna un servicio o servicios a un host al instalar un host desde la vista Hosts. Se debe seleccionar una Categoría de host en el cuadro de diálogo Instalar servicios, el cual se muestra cuando se selecciona un host en la vista Hosts, y hacer clic en . En la siguiente tabla se enumera cada tipo de host y los servicios que instala. Consulte el “Diagrama detallado de implementación de hosts de NetWitness Platform” de la Guía de implementación de NetWitness Platform para ver una ilustración de cómo se implementan los hosts.

                                                                           
CategoríaServicios instalados

Archiver

Workbench y Archiver

Broker

Broker

Cloud Gateway

Cloud Gateway

Concentrator

Concentrator

Endpoint Broker

Endpoint Broker

Endpoint Log Hybrid

Log Collector, Log Decoder, servidor de Endpoint y Concentrator

ESA primario

Entity Behavior Analytics, Contexthub y ESA Correlation

ESA secundario

Entity Behavior Analytics y ESA Correlation

Log Collector

Log Collector

Log Decoder

Log Collector y Log Decoder

Log Hybrid

Log Collector, Log Decoder y Concentrator

Malware Analysis

Malware Analysis y Broker

Network Decoder

Decoder (Packets)

Network Hybrid

Concentrator y Decoder

UEBA

UEBA

Warehouse Connector

Warehouse Connector

Qué es un servicio

Un servicio realiza una función única, como recopilar registros o archivar datos. Cada servicio se ejecuta en un puerto exclusivo y se modela como un plug-in para habilitarse o deshabilitarse de acuerdo con la función del host.

En primer lugar, debe configurar los siguientes servicios principales: 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

A continuación se enumeran todos los servicios y cada uno, con excepción de Log Collector, tiene su propia guía o comparte una en Guías de configuración de hosts y servicios. El Log Collector tiene su propio conjunto de guías de configuración para manejar la configuración de todos los protocolos de recopilación de eventos compatibles. Para obtener información sobre Log Collector, consulte Guías de recopilación de registros.

                                                                                                                                        
CategoríaServiciosPuerto no SSL
no cifrado
Puerto SSL
cifrado
Notas

Servidor de Admin

Admin
Config
Content
Integration
Investigate
License
Orchestration
Reporting Engine
Respond
Security

N/A
N/A
N/A
N/A
N/A
N/A
N/A
51113
N/A
N/A

N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A

Se implementa con el servidor de NW
Se implementa con el servidor de NW
Se implementa con el servidor de NW
Se implementa con el servidor de NW
Se implementa con el servidor de NW
Se implementa con el servidor de NW
Se implementa con el servidor de NW

Se implementa con el servidor de NW
Se implementa con el servidor de NW

Archiver Archiver
Workbench
50008
50007
56008
56007

 

 

Broker

Broker

5000356003Servicio principal

Cloud Gateway

Cloud Gateway

N/DN/D

 

Concentrator

Concentrator

5000556005Servicio principal

Endpoint Broker

Endpoint Broker

N/D

N/D

 

Endpoint Log HybridLog Collector
Log Decoder
Servidor de Endpoint
Concentrator
50001
50002
N/A
50005
56001
56002
N/A
56005
 
ESA primarioEntity Behavior Analytics
Contexthub
ESA Correlation
N/A
N/A
N/A
N/A
N/A
50030
 
ESA secundarioEntity Behavior Analytics
ESA Correlation
N/A
N/A
N/A
N/A
 
Log Collector

Log Collector

5000156001 

Log Decoder

Log Collector
Log Decoder

50001
50002

56001
56002

 

Log HybridLog Collector
Log Decoder
Concentrator

50001
50002
50005

56001
56002
56005

 

Malware Analysis

Malware Analysis
Broker

N/D

60007

 

Network DecoderDecoder5000456004 

Network Hybrid

Concentrator
Decoder

50005

56005

 

UEBA

UEBA

N/D

N/D

 

Warehouse Connector

Warehouse Connector

5002056020

instalación mediante línea de comandos

Debe configurar hosts y servicios para la comunicación entre estos y con la red de modo que puedan ejecutar sus funciones, como el almacenamiento o la captura de datos. 

Configuración de un host

La vista Hosts se usa para agregar un host a NetWitness Platform.  Consulte Paso 1. Implementar un host para obtener instrucciones detalladas.

Mantenimiento de hosts

La vista ADMINISTRAR > Hosts principal se usa para agregar, editar y eliminar los hosts de la implementación, así como para realizar otras tareas de mantenimiento en ellos. Use el cuadro de diálogo Lista de tareas para realizar tareas relacionadas con un host y sus comunicaciones con la red. Consulte Procedimientos de hosts y servicios para obtener instrucciones detalladas.

Después de la implementación inicial de NetWitness Platform, la tarea principal que realiza en la vista Hosts es la actualización de la implementación de NetWitness Platform a una nueva versión.

Convención de asignación de nombres de las versiones de actualización

Utilice la vista Hosts para aplicar las actualizaciones de versión más recientes desde el Completar el repositorio de actualización local. Debe comprender la convención de asignación de nombres de versiones de actualización para saber qué versión debe aplicar al host. La convención de asignación de nombres es major-release.minor-release.service-pack.patch. Por ejemplo, si elige 11.6.1.2, aplicaría la siguiente versión al host.

  • 11 = versión principal
  •   6 = versión secundaria
  •   1 = service pack
  •   2 = parche

NetWitness Platform es compatible con múltiples versiones en su implementación. En primer lugar se actualiza Servidor de NetWitness (host del servidor de NW) y los demás hosts deben tener la misma versión que el host de Servidor de NW o una anterior.

El siguiente ejemplo es una implementación de una única versión con todos los hosts actualizados a 11.3.0.0 (última versión disponible de RSA).

Mantenimiento de los servicios

La vista ADMINISTRAR > Servicios se usa para agregar, editar, eliminar y monitorear los servicios de la implementación, así como para realizar otras tareas de mantenimiento en ellos. Consulte Procedimientos de hosts y servicios para obtener instrucciones detalladas.

Servicios que se implementan con el Servidor de NetWitness

Los servicios que aparecen en la siguiente tabla se implementan cuando implementa el Servidor de NW para admitir:

  • la expansión de las plataformas de implementación física y virtual, y las mejoras en el mantenimiento de hosts y servicios.
  • la funcionalidad de Content, Investigate, Respond y Source.

Precaución: No es necesario configurar estos servicios para implementar NetWitness Platform. RSA recomienda monitorear el estado operativo de estos servicios mediante Estado y condición. No intente modificar los parámetros en la vista Explorar sin ponerse en contacto con el servicio al cliente (https://community.rsa.com/docs/DOC-1294).

                                               
ServicioPropósito
Administrador

El servidor de Administration (servidor de Admin) es el servicio de back-end para las tareas administrativas en la interfaz del usuario de NetWitness Platform. Resume la autenticación, la administración de preferencias globales y el soporte de autorización para la interfaz del usuario. El servidor de Admin requiere que el servidor de Config y el servidor de Security estén en línea para realizar su función.

Configuración

El servidor de Configuration (servidor de Config) almacena y administra los conjuntos de configuración. Un conjunto de configuración es cualquier grupo de configuración lógica que se administra de manera independiente. El servidor de Config facilita el uso compartido de las propiedades entre los servicios, proporciona funcionalidades de respaldo y restauración de configuración y rastrea los cambios en las propiedades.

Contenido

El servidor de Content administra las reglas de analizadores que proporciona RSA y que crea el usuario. Para obtener más información sobre la administración de analizadores, busque “analizadores” en RSA Link.

Integración

El servidor de Integration administra las interacciones con los sistemas externos. El servicio maneja los siguientes canales de salida o de entrada.

  • Puerta de enlace de API REST: puerta de enlace a los clientes REST externos que asigna las llamadas a la interfaz de programación de aplicaciones de NetWitness.
  • Distribuidor de notificaciones: distribuidor centralizado para todas las notificaciones de salida que se originan en la implementación de NetWitness.
InvestigateEl servidor de Investigate es compatible con la funcionalidad Investigate y Malware Analysis. Para obtener más información, consulte la Guía del usuario de NetWitness Platform Investigate y Malware Analysis.
Orchestration El servidor de Orchestration aprovisiona, instala y configura todos los servicios de una implementación de NetWitness Platform.

Respond

El servidor de Respond es compatible con la funcionalidad Respond. Para obtener más información, consulte la Guía de configuración de NetWitness Platform Respond.

Security

El servidor de Security de NetWitness Platform (servidor de Security) administra la infraestructura de seguridad de una implementación de NetWitness Platform. Maneja las siguientes inquietudes relacionadas con la seguridad.

  • Usuarios y cuentas de autenticación
  • Control de acceso basado en funciones (RBAC)
  • Infraestructura de PKI de la implementación

Una implementación de NetWitness Platform tiene usuarios con cuentas de autenticación. Independientemente de cómo verifique la identidad del analista (por ejemplo, Active Directory), NetWitness Platform debe mantener el estado del usuario que no todos los proveedores de autenticación proporcionan (por ejemplo, última hora de inicio de sesión, intentos de inicio de sesión fallidos y funciones). El concepto de un usuario es independiente de la identificación asociada con el usuario y el servidor de Security los mantiene como entidades de usuario y de cuenta por separado. Además de las cuentas de NetWitness locales de uso inmediato disponibles para todas las implementaciones de NetWitness, el servidor es compatible con proveedores de autenticación externa.

El servidor de Security también implementa RBAC mediante la administración de las entidades de función y de permisos. Los permisos se pueden asignar a las funciones y las funciones, a los usuarios. En conjunto, estos permiten una política de autorización flexible para la implementación. El servidor también administra la generación de tokens criptográficamente seguros que codifican la autorización correspondiente para un usuario. Estos tokens forman la base para la autorización en toda la implementación.

Origen

El servidor de origen está reservado para uso futuro y proporcionará una ubicación centralizada para configurar los orígenes (por ejemplo, terminales y orígenes de registros).

Ejecución en modo mixto

El modo mixto se produce cuando se actualizan algunos de los servicios a la versión más reciente y algunos todavía están en las versiones anteriores. Esto sucede cuando actualiza los hosts en su implementación a la versión más reciente en fases (o si escalona la actualización).

Brechas de funcionalidad que se detectaron en las actualizaciones escalonadas

Si escalona la actualización:

  • Es posible que no todas las funciones estén operativas hasta que actualice la implementación completa.
  • No tendrá funciones administrativas de servicios disponibles hasta que actualice todos los hosts en la implementación.
  • Es probable que durante un período de tiempo no capture datos.

Ejemplos de actualizaciones escalonadas

En los ejemplos siguientes, todos los hosts se encuentran en 11.3.0.x y desea escalonar las actualizaciones de hosts a la versión 11.3.1.0.

Ejemplo 1. Varios Decoders y Concentrators, alternativa 1

En este ejemplo, la implementación de 11.3.0.x incluye un host de servidor de NW, dos hosts de Decoder, dos hosts de Concentrator, un host de Archiver, un host de Broker, un host de Event Stream Analysis y un host de Malware Analysis.

Debe completar la fase 1 en primer lugar y actualizar los hosts en el orden que se indica para la fase 1.

RSA recomienda que actualice los hosts de la fase 2 en el orden que se indica para la fase 2.

Fase 1: sesión 1

  1. Actualice host del servidor de NetWitness.
  2. Actualice el host de Event Stream Analysis.
  3. Actualice el host de Endpoint Log Hybrid.
  4. Actualice el host de Malware Analysis.
  5. Actualice el host de Broker o Concentrator.

Fase 2: sesión 2

  1. Actualice 2 hosts de Decoder.
  2. Actualice 2 hosts de Concentrators y el host de Archiver.

Fase 2: sesión 3

  1. Actualice el resto de los hosts.

Ejemplo 2. Varios Decoders y Concentrators, alternativa 2

En este ejemplo, la implementación de 11.3.0.x incluye un host de servidor de NW, dos hosts de Decoder, dos hosts de Concentrator, un host de Broker, un host de Event Stream Analysis y un host de Malware Analysis. RSA recomienda que actualice los hosts de la fase 2 en la siguiente secuencia (debe completar la fase 1 en primer lugar y actualizar los hosts en el orden indicado).

Fase 1: sesión 1

  1. Actualice host del servidor de NetWitness.
  2. Actualice el host de Event Stream Analysis.
  3. Actualice el host de Endpoint Log Hybrid.
  4. Actualice el host de Malware Analysis.
  5. Actualice el host de Broker.

Fase 2: sesión 2

  1. Actualice un host de Decoder y un host de Concentrator.
    Transcurre tiempo durante el cual NetWitness Platform procesa una gran cantidad de datos.

Fase 2: sesión 3

  1. Actualice un host de Decoder, un host de Concentrator y el host de Broker.
  2. Actualice todos los hosts de Log Decoder antes de actualizar Virtual Log Collectors.

  3. Actualice el resto de los hosts.

Ejemplo 3. Varias regiones

En este ejemplo, la implementación de 11.3.0.x incluye un host del servidor de NW, un host de Event Stream Analysis, un host de Malware Analysis, cuatro hosts de Decoder, cuatro hosts de Concentrator, dos hosts de Broker (dos sitios, cada uno con dos Decoders, dos Concentrators y un Broker).

Fase 1: actualizar el sitio 1

  1. Actualice el host del servidor de NW.
  2. Actualice el host de Event Stream Analysis.
  3. Actualice el host de Endpoint Log Hybrid.
  4. Actualice el host de Malware Analysis.
  5. Actualice un host de Broker, dos hosts de Decoder y dos hosts de Concentrator.
  6. Actualice el resto de los hosts.

Fase 2: actualizar el sitio 2

  1. Actualice los hosts de Broker.
  2. Actualice dos hosts de Decoder.
  3. Actualice dos hosts de Concentrator.
  4. Actualice el resto de los hosts.

 

You are here
Table of Contents > Aspectos básicos de hosts y servicios

Attachments

    Outcomes