Configurar orígenes de eventos de punto de control

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En este tema se indica cómo configurar el protocolo de recopilación de punto de control que recopila eventos desde un origen de eventos de punto de control.

Este protocolo recopila eventos desde los orígenes de eventos de punto de comprobación mediante OPSEC LEA. OPSEC LEA es la API de exportación de registros de seguridad de operaciones de punto de comprobación que facilita la extracción de registros.

Cómo funciona la recopilación de punto de comprobación

El servicio Log Collector recopila eventos desde orígenes de eventos de punto de control mediante OPSEC LEA. OPSEC LEA es la API de exportación de registros de seguridad de operaciones de punto de comprobación que facilita la extracción de registros.

Nota: OPSEC LEA (API de exportación de registros) admite la extracción de registros de orígenes de eventos de punto de control configurados con un certificado SHA-256 o SHA-1.

Escenario de implementación

En la siguiente figura se ilustra cómo debe implementar el protocolo de recopilación de punto de comprobación en NetWitness Suite.

Diagram shows CheckPoint event sources being sent to remote and local log collectors.

Configuración en NetWitness Suite

Para configurar un origen de eventos de punto de control:

  1. Vaya a ADMINISTRAR> Servicios en el menú de NetWitness Suite.
  2. Seleccione un servicio de recopilación de registros.
  3. En Acciones, seleccione > Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.
  4. Haga clic en la pestaña Orígenes de eventos.

    Event Sources drop-down menu is displayed.

  1. En la pestaña Orígenes de eventos, seleccione Punto de comprobación/Configuración en el menú desplegable.
  2. En la barra de herramientas del panel Categorías de evento, haga clic en .

    Se muestra el cuadro de diálogo Tipos de origen de evento disponibles.

  3. Seleccione un tipo de origen de eventos de punto de control y haga clic en Aceptar.

    El tipo de origen de eventos recién agregado se muestra en el panel Categorías de evento.

  4. Seleccione el nuevo tipo en el panel Categorías de evento y haga clic en  en la barra de herramientas Orígenes.

    Se muestra el cuadro de diálogo Agregar origen.

  5. Definir valores de parámetros. Para obtener más información, consulte Parámetros de punto de control a continuación.
  6. Haga clic en Probar conexión.

    El resultado de la prueba se muestra en el cuadro de diálogo. Si el resultado de la prueba no fue satisfactorio, edite la información del dispositivo o del servicio e inténtelo nuevamente.

    Log Collectortarda aproximadamente 60 segundos en devolver los resultados de la prueba. Si se supera el límite de tiempo, se agota el tiempo de espera de la prueba y NetWitness Suite muestra un mensaje de error.

  7. Si la prueba se ejecuta correctamente, haga clic en Aceptar.

    El nuevo origen de eventos se muestra en el panel Orígenes.

Parámetros de punto de control

En esta sección se describen los parámetros de configuración del origen de eventos de punto de control.

Parámetros básicos

                                                       
ParámetroDescripción
Nombre*Nombre del origen de eventos.
Dirección*Dirección IP del servidor del punto de comprobación.
Nombre del servidor*Nombre del servidor del punto de comprobación.
Nombre del certificado

El nombre del certificado que las conexiones seguras deben utilizar cuando el modo de transporte sea https. Si está definido, el certificado debe existir en el área de almacenamiento de confianza de certificados que creó usando la pestaña Configuración.

Seleccione un certificado en la lista desplegable. La convención de nombres de archivos para los certificados de origen de eventos de punto de comprobación es checkpoint_name-of-event-source.

Cliente distinguido

Ingrese el nombre del cliente distinguido del servidor del punto de comprobación.

Nombre de entidad de cliente

Ingrese el nombre de entidad de cliente del servidor del punto de comprobación.

Servidor distinguido

Ingrese el nombre del servidor distinguido del servidor del punto de comprobación.

Habilitado

Seleccione la casilla de verificación para habilitar la configuración del origen de eventos con el fin de iniciar la recopilación. La casilla de verificación está seleccionada de manera predeterminada.

Extraer certificado

Seleccione la casilla de verificaciónpara extraer un certificado por primera vez.  La extracción de un certificado hace que esté disponible desde el área de almacenamiento de confianza.

Dirección del servidor de certificados

Dirección IP del servidor en el cual reside el certificado. El valor predeterminado es la dirección de origen de eventos.

Contraseña

Solo está activa cuando selecciona la casilla de verificación Extraer certificado por primera vez. Contraseña necesaria para extraer el certificado. La contraseña es la clave de activación que se crea cuando se agrega una aplicación OPSEC al punto de comprobación en el servidor del punto de comprobación.

Determinar los valores de los parámetros avanzados para la recopilación de punto de control

se usan menos recursos del sistema cuando se configura una conexión de origen de eventos de punto de comprobación de modo que permanezca abierta durante un momento específico y para un volumen de eventos específico (conexión transitoria). RSA NetWitness Suite se configura de forma predeterminada en los siguientes parámetros de conexión que establecen una conexión transitoria:

  • Intervalo de sondeo = 180 (3 minutos)
  • Duración máxima de encuesta = 120 (2 minutos)
  • Máximo de eventos de encuesta = 5,000 (5,000 eventos por intervalo de sondeo)
  • Tiempo máximo de inactividad de encuesta = 0

Para orígenes de eventos de punto de comprobación muy activos, una buena práctica consiste en configurar una conexión que permanezca abierta hasta que se detenga la recopilación (conexión persistente). Esto garantiza que la recopilación de punto de comprobación mantiene el ritmo de los eventos que generan estos orígenes de eventos activos. La conexión persistente evita reinicios y demoras en la conexión e impide que la recopilación de punto de comprobación retrase la generación de eventos.

Para establecer una conexión persistente para un origen de eventos de punto de comprobación, configure los siguientes parámetros en los siguientes valores:

  • Intervalo de sondeo = -1
  • Duración máxima de encuesta = 0
  • Máximo de eventos de encuesta = 0
  • Tiempo máximo de inactividad de encuesta = 0
                                                   
ParámetroDescripción
PuertoPuerto del servidor del punto de control al cual se conecta Log Collector. El valor predeterminado es 18184.
Recopilar tipo de registro

Tipo de registros que desea recopilar:  Los valores válidos son los siguientes:

  • Auditoría: recopila eventos de auditoría.
  • Seguridad: recopila eventos de seguridad.

Si desea recopilar tanto eventos de auditoría como de seguridad, debe crear un origen de eventos duplicado. Por ejemplo, primero debe crear un origen de eventos con la opción Auditoría seleccionada para extraer un certificado hacia el área de almacenamiento de confianza de este origen de eventos. A continuación, debe crear otro origen de eventos con los mismos valores, pero en la opción Recopilar tipo de registro debe seleccionar Seguridad, en Nombre del certificado debe seleccionar el mismo certificado que extrajo cuando configuró el primer conjunto de parámetros de este origen de eventos y debe asegurarse de que la opción Extraer certificado no esté seleccionada.

Recopilar logs desde

Cuando configura un origen de eventos de punto de control, NetWitness recopila eventos desde el archivo de registro actual. Los valores válidos son los siguientes:

  • Ahora: comenzar a recopilar registros ahora (en este momento en el archivo de registro actual). 
  • Inicio de log: Recopilar registros desde el comienzo del archivo de registro actual.

Si selecciona “Inicio de log” para este valor de parámetro, puede recopilar una cantidad muy grande de datos de acuerdo con el tiempo que el archivo de registro actual ha estado recopilando eventos. Tenga en cuenta que esta opción es eficaz únicamente para la primera sesión de recopilación.

Intervalo de sondeo

El intervalo (cantidad de tiempo en segundos) entre cada encuesta. El valor predeterminado es 180.

Por ejemplo, si especifica 180, el recopilador programa un sondeo del origen de eventos cada 180 segundos. Si aún se está realizando el ciclo de sondeo anterior, esperará hasta que ese ciclo termine. Si está sondeando una gran cantidad de orígenes de eventos, es posible que el sondeo tarde más de 180 segundos en comenzar, porque los subprocesos están ocupados.

Duración máxima de encuestaLa duración máxima del ciclo de sondeo (cuánto tiempo dura el ciclo) en segundos.
Máximo de eventos de encuestaLa cantidad máxima de eventos por ciclo de sondeo (cuántos eventos se recopilan por ciclo de sondeo).
Tiempo máximo de inactividad de encuestaTiempo de inactividad máximo, en segundos, de un ciclo de sondeo. 0 indica que no hay límite.> 300 es el valor predeterminado.
ReenviadorHabilita o deshabilita el servidor del punto de control como un reenviador. De manera predeterminada, está deshabilitada.

Tipo de registro (par de nombre/valor)

Registros desde el origen de eventos en formato nombre/valor. De manera predeterminada, está deshabilitada.

Depurar

Precaución: Active la depuración (defina este parámetro en "Activado" o "Detallado") solamente si tiene un problema con un origen de eventos y necesita investigarlo. La activación de la depuración afectará negativamente el rendimiento del Log Collector.

Activa y desactiva el registro de depuración del origen de eventos.

Los valores válidos son los siguientes:

  • Desactivado = (predeterminado) deshabilitado
  • Activado = habilitado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.

Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos. El registro de depuración es detallado, por lo que se debe limitar la cantidad de orígenes de eventos para minimizar el impacto en el rendimiento.

Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar).

Verificar que la recopilación de punto de control esté funcionando

En el siguiente procedimiento se ilustra cómo puede verificar que la recopilación de punto de control esté funcionando en Administration > Estado y condición > pestaña Monitoreo de orígenes de eventos.

  1. Acceda a la pestaña Monitoreo de orígenes de eventos en la vista Administration > Estado y condición.
  2. Busque checkpointfw1 en la columna Tipo de origen de evento.
  3. Busque actividad en la columna Conteo para verificar que la recopilación de punto de comprobación acepte eventos.

En la siguiente figura se ilustra cómo puede verificar que la recopilación de punto de control esté funcionando en la vista Investigation > Eventos.

  1. Acceda a la vista Investigation > Eventos.
  2. Seleccione eventos de punto de comprobación de la recopilación de Log Decoder (por ejemplo, LD1) en el cuadro de diálogo Investigar un dispositivo.
  3. Busque un analizador de origen de eventos de punto de control (por ejemplo, checkpointfw1) en el campo device.type de la columna Detalles para verificar que la recopilación de punto de control esté aceptando eventos.

Nota: Si los registros del servidor de firewall de punto de control de VSX se recopilan mediante el servicio de punto de control de Log Collector, para convertir la IP VSX de los registros en metadatos ip.orig, debe agregar el nombre de host VSX y la dirección IP de VSX en el archivo /etc/hosts de Log Collector.

You are here
Table of Contents > Protocolos de recopilación > Configurar orígenes de eventos de punto de control

Attachments

    Outcomes