Introducción de hosts: Conceptos básicos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Apr 22, 2019
Version 3Show Document
  • View in full screen mode
 

En esta guía se proporciona a los administradores los procedimientos estándares para agregar y configurar hosts y servicios en NetWitness Platform. Después de presentar el propósito básico de los hosts y los servicios y cómo funcionan dentro de la red de NetWitness Platform, en esta guía se aborda lo siguiente:

  • Las tareas que debe realizar para configurar los hosts y los servicios en la red
  • Los procedimientos adicionales que completa en función de las necesidades operacionales a largo plazo y diarias de una empresa.
  • Temas de referencia que describen la interfaz del usuario

Vaya a la Tabla maestra de contenido para buscar todos los documentos de NetWitness Platform Logs & Network 11.x.

Qué es un host

Un host es la máquina en la cual se ejecuta un servicio y puede ser una máquina física o virtual. Consulte el “Diagrama detallado de implementación de hosts de NetWitness Platform” de la Guía de implementación de NetWitness Platform para ver una ilustración de cómo se implementan los hosts.

Qué es un tipo de host

Un tipo de host asigna un servicio o servicios a un host cuando se instala un host desde la vista Hosts. Elija un Tipo de host en el cuadro de diálogo Instalar servicios, el cual se muestra cuando se selecciona un host en la vista Hosts, y haga clic en . En la siguiente tabla se enumera cada tipo de host y los servicios que instala. Consulte el “Diagrama detallado de implementación de hosts de NetWitness Platform” de la Guía de implementación de NetWitness Platform para ver una ilustración de cómo se implementan los hosts.

                                                                           
Tipo de hostServicios instalados

Archiver

Workbench y Archiver

Broker

Broker

Cloud Gateway

Cloud Gateway

Concentrator

Concentrator

Endpoint Hybrid

Log Decoder, Endpoint y Concentrator

Endpoint Log Hybrid

Log Collector, Log Decoder, Endpoint y Concentrator

ESA primario

Context Hub, Entity Behavior Analysis y Event Stream Analysis

ESA secundario

Event Stream Analysis y Entity Behavior Analysis

Log Collector

Log Collector

Log Decoder

Log Collector y Log Decoder

Log Hybrid

Log Collector, Log Decoder y Concentrator

Malware Analysis

Malware Analysis y Broker

Network Decoder

Decoder (Packets)

Network Hybrid

Concentrator y Decoder

UEBA

UEBA

Warehouse Connector

Warehouse Connector

Qué es un servicio

Un servicio realiza una función única, como recopilar registros o archivar datos. Cada servicio se ejecuta en un puerto exclusivo y se modela como un plug-in para habilitarse o deshabilitarse de acuerdo con la función del host.

En primer lugar, debe configurar los siguientes servicios principales: 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

A continuación se enumeran todos los servicios y cada uno, con excepción de Log Collector, tiene su propia guía o comparte una en Guías de configuración de hosts y servicios. El Log Collector tiene su propio conjunto de guías de configuración para manejar la configuración de todos los protocolos de recopilación de eventos compatibles. Para obtener información sobre Log Collector, consulte Guías de recopilación de registros.

                                                                                                                                                                     
ServicioPuerto no SSL
no cifrado
Puerto SSL
cifrado
Notas

Admin

N/D

N/D

Se implementa con el servidor de NW

Archiver5000856008

 

Broker5000356003Servicio principal

Cloud Gateway

N/DN/D

 

Concentrator5000556005Servicio principal
Configuración N/DN/DSe implementa con el servidor de NW.

Contenido

N/D

N/D

Se implementa con el servidor de NW

Context HubN/DN/D

 

Decoder (Packets)5000456004Servicio principal

Endpoint

N/D

N/D

 

Entity Behavior AnalysisN/DN/D 
Event Stream AnalysisN/D50030

 

Integration

N/DN/DSe implementa con el servidor de NW.
InvestigateN/DN/DSe implementa con el servidor de NW.
Log Collector5000156001 
Log Decoder5000256002

Servicio principal

Malware AnalysisN/D60007 
OrchestrationN/DN/DSe implementa con el servidor de NW.
Reporting EngineN/D51113Se implementa con el servidor de NW.

Respond

N/DN/DSe implementa con el servidor de NW.

Seguridad

N/DN/DSe implementa con el servidor de NW.

Origen

N/D

N/D

Se implementa con el servidor de NW

UEBA

N/D

N/D

 

Warehouse Connector5002056020

 

Workbench5000756007 

Debe configurar hosts y servicios para la comunicación entre estos y con la red de modo que puedan ejecutar sus funciones, como el almacenamiento o la captura de datos. 

Configuración de un host

La vista Hosts se usa para agregar un host a NetWitness Platform.  Consulte Paso 1. Implementar un host para obtener instrucciones detalladas.

Mantenimiento de hosts

La vista ADMINISTRAR > Hosts principal se usa para agregar, editar y eliminar los hosts de la implementación, así como para realizar otras tareas de mantenimiento en ellos. Use el cuadro de diálogo Lista de tareas para realizar tareas relacionadas con un host y sus comunicaciones con la red. Consulte Procedimientos de hosts y servicios para obtener instrucciones detalladas.

Después de la implementación inicial de NetWitness Platform, la tarea principal que realiza en la vista Hosts es la actualización de la implementación de NetWitness Platform a una nueva versión.

Convención de asignación de nombres de las versiones de actualización

Utilice la vista Hosts para aplicar las actualizaciones de versión más recientes desde el Completar el repositorio de actualización local. Debe comprender la convención de asignación de nombres de versiones de actualización para saber qué versión debe aplicar al host. La convención de asignación de nombres es major-release.minor-release.service-pack.patch. Por ejemplo, si elige 11.6.1.2, aplicaría la siguiente versión al host.

  • 11 = versión principal
  •   6 = versión secundaria
  •   1 = service pack
  •   2 = parche

NetWitness Platform es compatible con múltiples versiones en su implementación. En primer lugar se actualiza NetWitness Server (host del servidor de NW) y los demás hosts deben tener la misma versión que el host de NW Server o una anterior.

El siguiente ejemplo es una implementación de una única versión con todos los hosts actualizados a 11.2.0.0 (última versión disponible de RSA).

Mantenimiento de los servicios

La vista ADMINISTRAR > Servicios se usa para agregar, editar, eliminar y monitorear los servicios de la implementación, así como para realizar otras tareas de mantenimiento en ellos. Consulte Procedimientos de hosts y servicios para obtener instrucciones detalladas.

Servicios que se implementan con el NetWitness Server

Los servicios que aparecen en la siguiente tabla se implementan cuando implementa el NW Server para admitir:

  • la expansión de las plataformas de implementación física y virtual, y las mejoras en el mantenimiento de hosts y servicios.
  • la funcionalidad de Content, Investigate, Respond y Source.

Precaución: No es necesario configurar estos servicios para implementar NetWitness Platform. RSA recomienda monitorear el estado operativo de estos servicios mediante Estado y condición. No intente modificar los parámetros en la vista Explorar sin ponerse en contacto con el servicio al cliente (https://community.rsa.com/docs/DOC-1294).

                                               
ServicioPropósito
Administrador

El servidor de Administration (servidor de Admin) es el servicio de back-end para las tareas administrativas en la interfaz del usuario de NetWitness Platform. Resume la autenticación, la administración de preferencias globales y el soporte de autorización para la interfaz del usuario. El servidor de Admin requiere que el servidor de Config y el servidor de Security estén en línea para realizar su función.

Configuración

El servidor de Configuration (servidor de Config) almacena y administra los conjuntos de configuración. Un conjunto de configuración es cualquier grupo de configuración lógica que se administra de manera independiente. El servidor de Config facilita el uso compartido de las propiedades entre los servicios, proporciona funcionalidades de respaldo y restauración de configuración y rastrea los cambios en las propiedades.

Contenido

El servidor de Content administra las reglas de analizadores que proporciona RSA y que crea el usuario. Para obtener más información sobre la administración de analizadores, busque “analizadores” en RSA Link.

Integración

El servidor de Integration administra las interacciones con los sistemas externos. El servicio maneja los siguientes canales de salida o de entrada.

  • Puerta de enlace de API REST: puerta de enlace a los clientes REST externos que asigna las llamadas a la interfaz de programación de aplicaciones de NetWitness.
  • Distribuidor de notificaciones: distribuidor centralizado para todas las notificaciones de salida que se originan en la implementación de NetWitness.
InvestigateEl servidor de Investigate es compatible con la funcionalidad Investigate y Malware Analysis. Para obtener más información, consulte la Guía del usuario de NetWitness Platform Investigate y Malware Analysis.
Orchestration El servidor de Orchestration aprovisiona, instala y configura todos los servicios de una implementación de NetWitness Platform.

Respond

El servidor de Respond es compatible con la funcionalidad Respond. Para obtener más información, consulte la Guía de configuración de NetWitness Platform Respond.

Security

El servidor de Security de NetWitness Platform (servidor de Security) administra la infraestructura de seguridad de una implementación de NetWitness Platform. Maneja las siguientes inquietudes relacionadas con la seguridad.

  • Usuarios y cuentas de autenticación
  • Control de acceso basado en funciones (RBAC)
  • Infraestructura de PKI de la implementación

Una implementación de NetWitness Platform tiene usuarios con cuentas de autenticación. Independientemente de cómo verifique la identidad del analista (por ejemplo, Active Directory), NetWitness Platform debe mantener el estado del usuario que no todos los proveedores de autenticación proporcionan (por ejemplo, última hora de inicio de sesión, intentos de inicio de sesión fallidos y funciones). El concepto de un usuario es independiente de la identificación asociada con el usuario y el servidor de Security los mantiene como entidades de usuario y de cuenta por separado. Además de las cuentas de NetWitness locales de uso inmediato disponibles para todas las implementaciones de NetWitness, el servidor es compatible con proveedores de autenticación externa.

El servidor de Security también implementa RBAC mediante la administración de las entidades de función y de permisos. Los permisos se pueden asignar a las funciones y las funciones, a los usuarios. En conjunto, estos permiten una política de autorización flexible para la implementación. El servidor también administra la generación de tokens criptográficamente seguros que codifican la autorización correspondiente para un usuario. Estos tokens forman la base para la autorización en toda la implementación.

Origen

El servidor de origen está reservado para uso futuro y proporcionará una ubicación centralizada para configurar los orígenes (por ejemplo, terminales y orígenes de registros).

Ejecución en modo mixto

El modo mixto se produce cuando se actualizan algunos de los servicios a la versión más reciente y algunos todavía están en las versiones anteriores. Esto sucede cuando actualiza los hosts en su implementación a la versión más reciente en fases (o si escalona la actualización).

Brechas de funcionalidad que se detectaron en las actualizaciones escalonadas

Si escalona la actualización:

  • Es posible que no todas las funciones estén operativas hasta que actualice la implementación completa.
  • No tendrá funciones administrativas de servicios disponibles hasta que actualice todos los hosts en la implementación.
  • Es probable que durante un período de tiempo no capture datos.

Ejemplos de actualizaciones escalonadas

En los ejemplos siguientes, todos los hosts se encuentran en 11.2.0.x y desea escalonar las actualizaciones de hosts a la versión 11.2.1.0.

Ejemplo 1. Varios Decoders y Concentrators, alternativa 1

En este ejemplo, la implementación de 11.2.0.x incluye un host de servidor de NW, dos hosts de Decoder, dos hosts de Concentrator, un host de Archiver, un host de Broker, un host de Event Stream Analysis y un host de Malware Analysis.

Debe completar la fase 1 en primer lugar y actualizar los hosts en el orden que se indica para la fase 1.

RSA recomienda que actualice los hosts de la fase 2 en el orden que se indica para la fase 1

Fase 1: sesión 1

  1. Actualice host del servidor de NetWitness.
  2. Actualice el host de Event Stream Analysis.
  3. Actualice el host de Malware Analysis.
  4. Actualice el host de Broker o Concentrator.

Fase 2: sesión 2

  1. Actualice 2 hosts de Decoder.
  2. Actualice 2 hosts de Concentrators y el host de Archiver.

Fase 2: sesión 3

  1. Actualice el resto de los hosts.

Ejemplo 2. Varios Decoders y Concentrators, alternativa 2

En este ejemplo, la implementación de 11.2.0.x incluye un host de servidor de NW, dos hosts de Decoder, dos hosts de Concentrator, un host de Broker, un host de Event Stream Analysis y un host de Malware Analysis. RSA recomienda que actualice los hosts de la fase 2 en la siguiente secuencia (debe completar la fase 1 en primer lugar y actualizar los hosts en el orden indicado).

Fase 1: sesión 1

  1. Actualice host del servidor de NetWitness.
  2. Actualice el host de Event Stream Analysis.
  3. Actualice el host de Malware Analysis.
  4. Actualice el host de Broker.

Fase 2: sesión 2

  1. Actualice un host de Decoder y un host de Concentrator.
    Transcurre tiempo durante el cual NetWitness Platform procesa una gran cantidad de datos.

Fase 2: sesión 3

  1. Actualice un host de Decoder, un host de Concentrator y el host de Broker.
  2. Actualice todos los hosts de Log Decoder antes de actualizar Virtual Log Collectors.

  3. Actualice el resto de los hosts.

Ejemplo 3. Varias regiones

En este ejemplo, la implementación de 11.2.0.x incluye un host del servidor de NW, un host de Event Stream Analysis, un host de Malware Analysis, cuatro hosts de Decoder, cuatro hosts de Concentrator, dos hosts de Broker (dos sitios, cada uno con dos Decoders, dos Concentrators y un Broker).

Fase 1: actualizar el sitio 1

  1. Actualice el host del servidor de NW.
  2. Actualice el host de Event Stream Analysis.
  3. Actualice el host de Malware Analysis.
  4. Actualice un host de Broker, dos hosts de Decoder y dos hosts de Concentrator.
  5. Actualice el resto de los hosts.

Fase 2: actualizar el sitio 2

  1. Actualice los hosts de Broker.
  2. Actualice dos hosts de Decoder.
  3. Actualice dos hosts de Concentrator.
  4. Actualice el resto de los hosts.

 

You are here
Table of Contents > Aspectos básicos de hosts y servicios

Attachments

    Outcomes