Recopilación de registros: Parámetros de punto de control

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

El protocolo de recopilación de punto de control recopila eventos desde los orígenes de eventos de punto de control mediante OPSEC LEA. OPSEC LEA es la API de exportación de registros de seguridad de operaciones de punto de comprobación que facilita la extracción de registros.

Flujo de trabajo

En este flujo de trabajo se ilustran las tareas básicas necesarias para comenzar a recopilar eventos mediante Log Collection.

ThisThis workflow illustrates the basic tasks needed to start collecting events through Log Collection.

¿Qué desea hacer?

                                        
FunciónDeseo…Documentación
Administrador

Realizar la implementación básica de la recopilación de registros.

Implementación básica
AdministradorConfigurar un Lockbox para mantener la configuración de Lockbox.Configurar un Lockbox

Administrador

Iniciar servicios de recopilación de registros.

Iniciar servicios de recopilación

Administrador*Configurar protocolos y orígenes de eventos de recopilación de registros. Configurar protocolos y orígenes de eventos de recopilación

Administrador

Verifique que la recopilación de registros funcione.

Verificar que la recopilación de registros esté funcionando

*Puede realizar esta tarea aquí.

Temas relacionados

Parámetros de configuración de la recopilación de punto de comprobación

Parámetros básicos

                                                       
ParámetroDescripción
Nombre*Nombre del origen de eventos.
Dirección*Dirección IP del servidor del punto de comprobación.
Nombre del servidor*Nombre del servidor del punto de comprobación.
Nombre del certificado

El nombre del certificado que las conexiones seguras deben utilizar cuando el modo de transporte sea https. Si está definido, el certificado debe existir en el área de almacenamiento de confianza de certificados que creó usando la pestaña Configuración.

Seleccione un certificado en la lista desplegable. La convención de nombres de archivos para los certificados de origen de eventos de punto de comprobación es checkpoint_name-of-event-source.

Cliente distinguido

Ingrese el nombre del cliente distinguido del servidor del punto de comprobación.

Nombre de entidad de cliente

Ingrese el nombre de entidad de cliente del servidor del punto de comprobación.

Servidor distinguido

Ingrese el nombre del servidor distinguido del servidor del punto de comprobación.

Habilitado

Seleccione la casilla de verificación para habilitar la configuración del origen de eventos con el fin de iniciar la recopilación. La casilla de verificación está seleccionada de manera predeterminada.

Extraer certificado

Seleccione la casilla de verificaciónpara extraer un certificado por primera vez.  La extracción de un certificado hace que esté disponible desde el área de almacenamiento de confianza.

Dirección del servidor de certificados

Dirección IP del servidor en el cual reside el certificado. El valor predeterminado es la dirección de origen de eventos.

Contraseña

Solo está activa cuando selecciona la casilla de verificación Extraer certificado por primera vez. Contraseña necesaria para extraer el certificado. La contraseña es la clave de activación que se crea cuando se agrega una aplicación OPSEC al punto de comprobación en el servidor del punto de comprobación.

Determinar los valores de los parámetros avanzados para la recopilación de punto de control

se usan menos recursos del sistema cuando se configura una conexión de origen de eventos de punto de comprobación de modo que permanezca abierta durante un momento específico y para un volumen de eventos específico (conexión transitoria). RSA NetWitness Suite se configura de forma predeterminada en los siguientes parámetros de conexión que establecen una conexión transitoria:

  • Intervalo de sondeo = 180 (3 minutos)
  • Duración máxima de encuesta = 120 (2 minutos)
  • Máximo de eventos de encuesta = 5,000 (5,000 eventos por intervalo de sondeo)
  • Tiempo máximo de inactividad de encuesta = 0

Para orígenes de eventos de punto de comprobación muy activos, una buena práctica consiste en configurar una conexión que permanezca abierta hasta que se detenga la recopilación (conexión persistente). Esto garantiza que la recopilación de punto de comprobación mantiene el ritmo de los eventos que generan estos orígenes de eventos activos. La conexión persistente evita reinicios y demoras en la conexión e impide que la recopilación de punto de comprobación retrase la generación de eventos.

Para establecer una conexión persistente para un origen de eventos de punto de comprobación, configure los siguientes parámetros en los siguientes valores:

  • Intervalo de sondeo = -1
  • Duración máxima de encuesta = 0
  • Máximo de eventos de encuesta = 0
  • Tiempo máximo de inactividad de encuesta = 0
                                                   
ParámetroDescripción
PuertoPuerto del servidor del punto de control al cual se conecta Log Collector. El valor predeterminado es 18184.
Recopilar tipo de registro

Tipo de registros que desea recopilar:  Los valores válidos son los siguientes:

  • Auditoría: recopila eventos de auditoría.
  • Seguridad: recopila eventos de seguridad.

Si desea recopilar tanto eventos de auditoría como de seguridad, debe crear un origen de eventos duplicado. Por ejemplo, primero debe crear un origen de eventos con la opción Auditoría seleccionada para extraer un certificado hacia el área de almacenamiento de confianza de este origen de eventos. A continuación, debe crear otro origen de eventos con los mismos valores, pero en la opción Recopilar tipo de registro debe seleccionar Seguridad, en Nombre del certificado debe seleccionar el mismo certificado que extrajo cuando configuró el primer conjunto de parámetros de este origen de eventos y debe asegurarse de que la opción Extraer certificado no esté seleccionada.

Recopilar logs desde

Cuando configura un origen de eventos de punto de control, NetWitness recopila eventos desde el archivo de registro actual. Los valores válidos son los siguientes:

  • Ahora: comenzar a recopilar registros ahora (en este momento en el archivo de registro actual). 
  • Inicio de log: Recopilar registros desde el comienzo del archivo de registro actual.

Si selecciona “Inicio de log” para este valor de parámetro, puede recopilar una cantidad muy grande de datos de acuerdo con el tiempo que el archivo de registro actual ha estado recopilando eventos. Tenga en cuenta que esta opción es eficaz únicamente para la primera sesión de recopilación.

Intervalo de sondeo

El intervalo (cantidad de tiempo en segundos) entre cada encuesta. El valor predeterminado es 180.

Por ejemplo, si especifica 180, el recopilador programa un sondeo del origen de eventos cada 180 segundos. Si aún se está realizando el ciclo de sondeo anterior, esperará hasta que ese ciclo termine. Si está sondeando una gran cantidad de orígenes de eventos, es posible que el sondeo tarde más de 180 segundos en comenzar, porque los subprocesos están ocupados.

Duración máxima de encuestaLa duración máxima del ciclo de sondeo (cuánto tiempo dura el ciclo) en segundos.
Máximo de eventos de encuestaLa cantidad máxima de eventos por ciclo de sondeo (cuántos eventos se recopilan por ciclo de sondeo).
Tiempo máximo de inactividad de encuestaTiempo de inactividad máximo, en segundos, de un ciclo de sondeo. 0 indica que no hay límite.> 300 es el valor predeterminado.
ReenviadorHabilita o deshabilita el servidor del punto de control como un reenviador. De manera predeterminada, está deshabilitada.

Tipo de registro (par de nombre/valor)

Registros desde el origen de eventos en formato nombre/valor. De manera predeterminada, está deshabilitada.

Depurar

Precaución: Active la depuración (defina este parámetro en "Activado" o "Detallado") solamente si tiene un problema con un origen de eventos y necesita investigarlo. La activación de la depuración afectará negativamente el rendimiento del Log Collector.

Activa y desactiva el registro de depuración del origen de eventos.

Los valores válidos son los siguientes:

  • Desactivado = (predeterminado) deshabilitado
  • Activado = habilitado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.

Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos. El registro de depuración es detallado, por lo que se debe limitar la cantidad de orígenes de eventos para minimizar el impacto en el rendimiento.

Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar).

Previous Topic:Parámetros de Azure
You are here
Table of Contents > Referencia > Parámetros de punto de control

Attachments

    Outcomes