Implementación básica

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En este tema se indica cómo realizar la configuración inicial de Local Collectors y Remote Collectors.

Requisitos previos

Verificar que el Log Decoder configurado:

  • Esté capturando datos.
  • Tenga el contenido actual cargado.
  • Tenga la licencia correcta.

Funciones de los Local y Remote Collectors

Un Local Collector (LC) es un servicio Log Collector que se ejecuta en un host de Log Decoder. En un escenario de implementación local, el servicio Log Collector se implementa en un host de Log Decoder con el servicio Log Decoder. La recopilación de registros de varios protocolos, como Windows, ODBC, etc., se ejecuta a través del servicio Log Collector y los eventos se reenvían al servicio Log Decoder. El Local Collector envía todos los datos de eventos recopilados al servicio Log Decoder.

Debe tener al menos un Local Collector para recopilar eventos no relacionados con syslog.

Un Remote Collector (RC), al cual también se denomina Virtual Log Collector (VLC), es un servicio Log Collector que se ejecuta en una máquina virtual independiente. Los Remote Collectors son opcionales y deben enviar los eventos que recopilan a un Local Collector. La implementación de Remote Collector es ideal cuando se deben recopilar registros desde ubicaciones remotas. Los Remote Collectors comprimen y cifran los registros antes de enviarlos a un Local Collector.

Implementación y configuración de la recopilación de registros

En la siguiente figura se ilustran las tareas básicas que debe realizar para implementar y configurar la recopilación de registros. Para implementar la recopilación de registros, debe configurar un Local Collector. También puede implementar uno o más Remote Collectors. Después de implementar la recopilación de registros, debe configurar los orígenes de eventos en NetWitness Suite y en los propios orígenes de eventos. En el siguiente diagrama se muestra el Local Collector que recibe eventos migrados desde un Remote Collector.

Diagram shows the Local Collector with one Remote Collector that pushes events to the Local Collector.

Configure Local Collectors y Remote Collectors.

El Local Collector es el servicio Log Collector que se ejecuta en el host de Log Decoder.

Un Remote Collector es el servicio Log Collector que se ejecuta en una máquina virtual o en un servidor de Windows en una ubicación remota.

Diagram shows a Remote Collector service running on a virtual machine or a Windows server in a remote location.

Configure orígenes de eventos:

  • Configure protocolos de recopilación en C:\Temp\Malware Analysis Configuration Guide for Version 11.0.
  • Configure cada origen de eventos para que se comunique con NetWitness SuiteLog Collector.  

Adición de Local Collector y Remote Collector a NetWitness Suite

Para agregar un Local Collector y un Remote Collector a NetWitness Suite:

  1. Vaya a ADMINISTRAR > Servicios.
  2. Haga clic en y seleccione Log Collector en el menú.

    Se muestra el cuadro de diálogo Agregar servicio.

  3. Defina los detalles del servicio de recopilación de registros.
  4. Seleccione Probar conexión para asegurarse de que el Local Collector o el Remote Collector se hayan agregado.

Configuración de la recopilación de registros

Debe elegir el Log Collector, es decir un Local Collector (LC) o un Remote Collector (RC), para el cual desea definir parámetros en la vista Servicios. En la siguiente figura se muestra cómo navegar a la vista Servicios, seleccionar un servicio Log Collector y mostrar la interfaz de parámetros de configuración de ese servicio.

  1. Vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio de recopilación de registros.

  3. Haga clic en bajo Acciones y seleccione Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.
  4. Defina los parámetros globales de recopilación de registros en la pestaña General.
  5. Para un:

    • Local Collector, NetWitness Suite muestra la pestaña Remote Collectors. En esta pestaña, seleccione los Remote Collectors desde los cuales el Local Collector extrae eventos.
    • Remote Collector, NetWitness Suite muestra Local Collectors. En esta pestaña, seleccione los Local Collectors a los cuales el Remote Collector migra eventos.
  6. Edite los archivos de configuración como archivos de texto en la pestaña Archivos.
  7. Defina parámetros del protocolo de recopilación en la pestaña Orígenes de eventos.
  8. Defina el Lockbox, claves de cifrado y certificados en la pestaña Configuración.
  9. Defina parámetros del servicio Appliance en la pestaña Configuración del servicio Appliance.

Diagrama del flujo de datos

Puede usar los datos del registro recopilados por el servicio de Log Collector para supervisar el estado de su empresa y realizar investigaciones. En la siguiente figura se muestra cómo es el flujo de datos desde la recopilación de registros de NetWitness Suite hasta Investigation.

Figure shows data flowing through the NetWitness Log Collection to Investigation.

You are here
Table of Contents > Configuración > Agregar Local y Remote Collectors

Attachments

    Outcomes