Introducción de hosts: Conceptos básicos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En esta guía se proporciona a los administradores los procedimientos estándares para agregar y configurar hosts y servicios en NetWitness Suite. Después de presentar el propósito básico de los hosts y los servicios y cómo funcionan dentro de la red de NetWitness Suite, en esta guía se aborda lo siguiente:

  • Las tareas que debe realizar para configurar los hosts y los servicios en la red
  • Los procedimientos adicionales que completa en función de las necesidades operacionales a largo plazo y diarias de una empresa.
  • Temas de referencia que describen la interfaz del usuario

Qué es un host

Un host es la máquina en la cual se ejecuta un servicio y puede ser una máquina física o virtual. Consulte el “Diagrama detallado de implementación de hosts de RSA NetWitness Suite” de la Guía de implementación de RSA NetWitness Suite para ver una ilustración de cómo se implementan los hosts. Vaya a la Tabla maestra de contenido para NetWitness Logs & Packets 11.x para buscar todos los documentos de NetWitness Suite 11.x.

Qué es un tipo de host

Un tipo de host asigna un servicio o servicios a un host cuando se instala un host desde la vista Hosts. Elija un Tipo de host en el cuadro de diálogo Instalar servicios, el cual se muestra cuando se selecciona un host en la vista Hosts, y haga clic en (icono de instalación). En la siguiente tabla se enumeran cada host de tipo y el servicio o los servicios que instala. Consulte el “Diagrama detallado de implementación de hosts de RSA NetWitness Suite” de la Guía de implementación de RSA NetWitness Suite para ver una ilustración de cómo se implementan los hosts. Vaya a la Tabla maestra de contenido para NetWitness Logs & Packets 11.x para buscar todos los documentos de NetWitness Suite 11.x.

                                                                       
Tipo de hostServicios instalados

Archiver

Workbench y Archiver

Broker

Broker

Cloud Gateway

Cloud Gateway

ConcentratorConcentrator

Endpoint Hybrid

Log Decoder, Endpoint y Concentrator

Endpoint Log Hybrid

Log Collector, Log Decoder, Endpoint y Concentrator

ESA primarioContext Hub, Entity Behavior Analysis y Event Stream Analysis

ESA secundario

Entity Behavior Analysis y Event Stream Analysis

Log Collector

Log Collector

Log Decoder

Log Collector y Log Decoder

Log Hybrid

Log Collector, Log Decoder y Concentrator

Malware AnalysisMalware Analysis y Broker
Packet DecoderDecoder
Packet HybridConcentrator y Decoder

Warehouse Connector

Warehouse Connector

Qué es un servicio

Un servicio realiza una función única, como recopilar registros o archivar datos. Cada servicio se ejecuta en un puerto exclusivo y se modela como un plug-in para habilitarse o inhabilitarse de acuerdo con la función del host.

En primer lugar, debe configurar los siguientes servicios Core: 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

A continuación se enumeran todos los servicios y cada uno, con excepción de Log Collector, tiene su propia guía o comparte una en Guías de configuración de hosts y servicios. El Log Collector tiene su propio conjunto de guías de configuración para manejar la configuración de todos los protocolos de recopilación de eventos compatibles. Para obtener información sobre Log Collector, consulte Guías de recopilación de registros.

  • Archiver
  • Broker
  • Cloud Gateway
  • Concentrator
  • Context Hub
  • Decoder (Packets)
  • Endpoint
  • Entity Behavior Analysis
  • Event Stream Analysis
  • Investigate
  • Log Collector
  • Log Decoder
  • Malware Analysis
  • Reporting Engine
  • Respond
  • Warehouse Connector
  • Workbench

Debe configurar hosts y servicios para la comunicación entre estos y con la red de modo que puedan ejecutar sus funciones, como el almacenamiento o la captura de datos. 

Configuración de un host

La vista Host se usa para agregar un host a NetWitness Suite.  Consulte Paso 1. Implementar un host para obtener instrucciones detalladas.

Mantenimiento de hosts

La vista Host principal se usa para agregar, editar, eliminar y realizar otras tareas de mantenimiento para los hosts en la implementación. Use el cuadro de diálogo Lista de tareas para realizar tareas relacionadas con un host y sus comunicaciones con la red. Consulte Procedimientos de hosts y servicios para obtener instrucciones detalladas.

Después de la implementación inicial de NetWitness Suite, la tarea principal que realiza en la vista Host es la actualización de la implementación de NetWitness Suite a una nueva versión.

Convención de asignación de nombres de las versiones de actualización

Puede usar la vista Hosts para aplicar las actualizaciones de versiones más recientes desde el repositorio de actualización local (consulte el tema Administrar las actualizaciones de NetWitness Suite en Mantenimiento del sistema para obtener más información sobre el repositorio de actualización local). Debe comprender la convención de asignación de nombres de versiones de actualización para saber qué versión debe aplicar al host. La convención de asignación de nombres es major-release.minor-release.service-pack.patch. Por ejemplo, si elige 11.6.1.2, aplicaría la siguiente versión al host.

  • 11 = versión principal
  •   6 = versión secundaria
  •   1 = service pack
  •   2 = parche

NetWitness Suite es compatible con múltiples versiones en su implementación. En primer lugar se actualiza Servidor de NetWitness (host del servidor de NW) y los demás hosts deben tener la misma versión que el host de Servidor de NW o una anterior.

Nota: En primer lugar se actualiza el host de Servidor de NW y los demás hosts tienen la misma versión que el host de Servidor de NW o una anterior.

El siguiente es un ejemplo de una implementación de múltiples versiones:

  • Las actualizaciones de versiones disponibles actualmente en el repositorio de actualización local son 11.0.2.0 y 11.0.1.0 para los hosts de Broker, LC/LD y Log Decoder.
  • El host de Servidor de NW y los demás hosts están actualizados a 11.0.2.0.

Esto significa que tiene la opción de actualizar los hosts de Broker, LC/LD y Log Decoder a 11.0.2.0 u 11.0.2.0.

Mantenimiento de los servicios

La vista Servicios se usa para agregar, editar, eliminar, monitorear y realizar otras tareas de mantenimiento para los servicios en su implementación. Consulte Procedimientos de hosts y servicios para obtener instrucciones detalladas.

Servicios que se implementan con el Servidor de NetWitness

Los servicios que aparecen en la siguiente tabla se implementan cuando implementa el Servidor de NW para admitir:

  • la expansión de las plataformas de implementación física y virtual, y las mejoras en el mantenimiento de hosts y servicios.
  • las mejoras a la funcionalidad Investigate y Respond.

Precaución: No es necesario configurar estos servicios para implementar NetWitness Suite. RSA recomienda monitorear el estado operativo de estos servicios mediante Estado y condición. No intente modificar los parámetros en la vista Explorar sin ponerse en contacto con el servicio al cliente (https://community.rsa.com/docs/DOC-1294).

                                       
ServicioPropósito
Admin

El servidor de Administration (servidor de Admin) es el servicio de back-end para las tareas administrativas en la interfaz del usuario de NetWitness Suite. Resume la autenticación, la administración de preferencias globales y el soporte de autorización para la interfaz del usuario. El servidor de Admin requiere que el servidor de Config y el servidor de Security estén en línea para realizar su función.

Configuración

El servidor de Configuration (servidor de Config) almacena y administra los conjuntos de configuración. Un conjunto de configuración es cualquier grupo de configuración lógica que se administra de manera independiente. El servidor de Config facilita el uso compartido de las propiedades entre los servicios, proporciona funcionalidades de respaldo y restauración de configuración y rastrea los cambios en las propiedades.

Integración

El servidor de Integration administra las interacciones con los sistemas externos. El servicio maneja los siguientes canales de salida o de entrada.

  • Puerta de enlace de API REST: puerta de enlace a los clientes REST externos que asigna las llamadas a la interfaz de programación de aplicaciones de NetWitness.
  • Distribuidor de notificaciones: distribuidor centralizado para todas las notificaciones de salida que se originan en la implementación de NetWitness.
InvestigateEl servidor de Investigate está colocalizado en el host del servidor de NW con el servidor de Admin, servidor de Config, servidor de Integration, servidor de Orchestration, servidor de Respond y servidor de Security. El servidor de Investigate está colocalizado en el host del servidor de NW con el servidor de Admin, servidor de Config, servidor de Integration, servidor de Orchestration, servidor de Respond y servidor de Security. Para obtener más información, consulte la Guía del usuario de Investigate y Malware Analysis de RSA NetWitness Suite. Vaya a la Tabla maestra de contenido para NetWitness Logs & Packets 11.x para buscar todos los documentos de NetWitness Suite 11.x.
Orchestration El servidor de Investigate es un servicio de administración del sistema interna que se ejecuta en el Servidor de NW para aprovisionar, instalar y configurar todos los servicios en la implementación de NetWitness Suite.

Respond

El servidor de Respond está colocalizado en el host del servidor de NW con el servidor de Admin, servidor de Config, servidor de Investigate, servidor de Orchestration y servidor de Security. Para obtener más información, consulte la Guía de configuración de RSA NetWitness Suite Respond. Vaya a la Tabla maestra de contenido para NetWitness Logs & Packets 11.x para buscar todos los documentos de NetWitness Suite 11.x.

Security

El servidor de Security de NetWitness Suite (servidor de Security) administra la infraestructura de seguridad de una implementación de NetWitness Suite. Maneja las siguientes inquietudes relacionadas con la seguridad.

  • Usuarios y cuentas de autenticación
  • Control de acceso basado en funciones (RBAC)
  • Infraestructura de PKI de la implementación

Una implementación de NetWitness Suite tiene usuarios con cuentas de autenticación. Independientemente de cómo verifique la identidad del analista (por ejemplo, Active Directory), NetWitness Suite debe mantener el estado del usuario que no todos los proveedores de autenticación proporcionan (por ejemplo, última hora de inicio de sesión, intentos de inicio de sesión fallidos y funciones). El concepto de un usuario es independiente de la identificación asociada con el usuario y el servidor de Security los mantiene como entidades de usuario y de cuenta por separado. Además de las cuentas de NetWitness locales de uso inmediato disponibles para todas las implementaciones de NetWitness, el servidor es compatible con proveedores de autenticación externa.

El servidor de Security también implementa RBAC mediante la administración de las entidades de función y de permisos. Los permisos se pueden asignar a las funciones y las funciones, a los usuarios. En conjunto, estos permiten una política de autorización flexible para la implementación. El servidor también administra la generación de tokens criptográficamente seguros que codifican la autorización correspondiente para un usuario. Estos tokens forman la base para la autorización en toda la implementación.

Ejecución en modo mixto

El modo mixto se produce cuando se actualizan algunos de los servicios a la versión más reciente y algunos todavía están en las versiones anteriores. Esto sucede cuando actualiza los hosts en su implementación a la versión más reciente en fases (o si escalona la actualización).

Brechas de funcionalidad que se detectaron en las actualizaciones escalonadas

Si escalona la actualización:

  • Es posible que no todas las funciones estén operativas hasta que actualice la implementación completa.
  • No tendrá funciones administrativas de servicios disponibles hasta que actualice todos los hosts en la implementación.
  • Es probable que durante un período de tiempo no capture datos.

Ejemplos de actualizaciones escalonadas

En los ejemplos siguientes, todos los hosts se encuentran en 11.1.0.x y desea escalonar las actualizaciones de hosts a la versión 11.1.1.0.

Ejemplo 1. Varios Decoders y Concentrators, alternativa 1

En este ejemplo, la implementación de 11.1.0.x incluye 1 host del servidor de NW, 2 hosts de Decoder, 2 hosts de Concentrator, 1 host de Archiver, 1 host de Broker, 1 host de Event Stream Analysis y 1 host de Malware Analysis.

Debe completar la fase 1 en primer lugar y actualizar los hosts en el orden que se indica para la fase 1.

RSA recomienda que actualice los hosts de la fase 2 en el orden que se indica para la fase 1

Fase 1: sesión 1

  1. Actualice el host del servidor de Security Analytics.
  2. Actualice el host de Event Stream Analysis.
  3. Actualice el host de Malware Analysis.
  4. Host de Broker o Concentrator.

Fase 2: sesión 2

  1. Actualice 2 hosts de Decoder.
  2. Actualice 2 hosts de Concentrators y el host de Archiver.

Fase 2: sesión 3

  1. Actualice el resto de los hosts.

Ejemplo 2. Varios Decoders y Concentrators, alternativa 2

En este ejemplo, la implementación de 11.1.0.x incluye 1 host del servidor de NW, 2 hosts de Decoder, 2 hosts de Concentrator, 1 host de Broker, 1 host de Event Stream Analysis y 1 host de Malware Analysis. RSA recomienda que actualice los hosts de la fase 2 en la siguiente secuencia (debe completar la fase 1 en primer lugar y actualizar los hosts en el orden indicado).

Fase 1: sesión 1

  1. Actualice el host del servidor de Security Analytics.
  2. Actualice el host de Event Stream Analysis.
  3. Actualice el host de Malware Analysis.
  4. Actualice el host de Broker.

Fase 2: sesión 2

  1. Actualice 1 host de Decoder y 1 host de Concentrator.
    Transcurre tiempo durante el cual NetWitness Suite procesa una gran cantidad de datos.

Fase 2: sesión 3

  1. Actualice 1 host de Decoder, 1 host de Concentrator y el host de Broker.
  2. Log Decoders
    Actualice todos los hosts de Log Decoder antes de actualizar Virtual Log Collectors

  3. Actualice el resto de los hosts.

Ejemplo 3. Varias regiones

En este ejemplo, la implementación de 11.1.0.x incluye 1 host del servidor de NW, 1 host de Event Stream Analysis, 1 host de Malware Analysis, 4 hosts de Decoder, 4 hosts de Concentrator, 2 hosts de Broker (2 sitios, cada uno con 2 Decoders, 2 Concentrators y 1 Broker).

Fase 1: actualizar el sitio 1

  1. Actualice el host del servidor de NW.
  2. Actualice el host de Event Stream Analysis.
  3. Actualice el host de Malware Analysis.
  4. Actualice 1 host de Broker, 2 hosts de Decoder y 2 hosts de Concentrator.
  5. Actualice el resto de los hosts.

Fase 2: actualizar el sitio 2

  1. Actualice los hosts de Broker.
  2. Actualice 2 hosts de Decoder.
  3. Actualice 2 hosts de Concentrator.
  4. Actualice el resto de los hosts.

 

You are here
Table of Contents > Aspectos básicos de hosts y servicios

Attachments

    Outcomes