Aspectos básicos de la recopilación de registros

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

Cómo funciona la recopilación de registros

El servicio Log Collector recopila registros de orígenes de eventos en todo el ambiente de TI de una organización y los reenvía a otros componentes de NetWitness Suite. Los logs y el contenido descriptivo se almacenan como metadatos para utilizarlos en investigaciones e informes.

Los orígenes de eventos son los recursos en la red, como servidores, switches, enrutadores, arreglos de almacenamiento, sistemas operativos y firewalls. En la mayoría de los casos, el equipo de tecnología de la información (TI) configura orígenes de eventos para enviar sus registros al servicio Log Collector y el administrador de NetWitness Suite configura el servicio Log Collector para sondear orígenes de eventos y recuperar sus registros. En consecuencia, Log Collector recibe todos los registros en su forma original.

Protocolos de recopilación

RSA NetWitness Suite puede recopilar registros desde una amplia variedad de orígenes de eventos. Cuando configura la recopilación de registros para un origen de eventos específico, debe conocer, en primer lugar, el protocolo que se usa para recopilar los registros.

                                                       
Protocolo de recopilaciónDescripción
Punto de comprobación

Recopila eventos desde orígenes de eventos de punto de control mediante OPSEC LEA. OPSEC LEA es la API de exportación de registros de seguridad de operaciones de punto de comprobación que facilita la extracción de registros. Para obtener más información, consulte Configurar orígenes de eventos de punto de control en NetWitness Suite.

Archivo

Recopila eventos desde archivos de registro. Los orígenes de eventos generan archivos de registro que se transfieren al servicio Log Collector a través de un método de transferencia segura de archivos.

Para obtener más información, consulte Configurar orígenes de eventos de archivos en NetWitness Suite.

Netflow

Acepta eventos de Netflow v5 y Netflow v9. Para obtener más información, consulte Configurar orígenes de eventos de Netflow en NetWitness Suite.

ODBC

Recopila eventos de orígenes de eventos que almacenan datos de auditoría en una base de datos con el uso de la interfaz de software Open Database Connectivity (ODBC). Para obtener más información, consulte Configurar orígenes de eventos de ODBC en NetWitness Suite.

Plug-ins

La recopilación de plug-ins es una infraestructura de recopilación genérica para recopilar eventos mediante scripts externos que se escriben en otros idiomas. Actualmente, RSA proporciona recopilación de Amazon Web Services (AWS) CloudTrail y Microsoft Azure.

Los clientes pueden usar esta infraestructura para desarrollar protocolos de recopilación propios.

SDEE

Recopila mensajes de un sistema de detección de intrusiones (IDS) y de un servicio de prevención de intrusiones (IPS).
Para obtener más información, consulte Configurar orígenes de eventos de SDEE en NetWitness Suite.

SNMP Trap

Acepta SNMP traps. Para obtener más información, consulte Configurar orígenes de eventos de SNMP en NetWitness Suite.

Syslog

Acepta mensajes de orígenes de eventos que emiten mensajes de syslog. Para obtener más información, consulte Configurar orígenes de eventos de syslog para Remote Collector.

Nota: No configure la recopilación de syslog para los Log Collectors locales. Solo debe configurar la recopilación de syslog para los Remote Collectors.

VMware

Recopila eventos de una infraestructura virtual de VMware. Para obtener más información, consulte Configurar orígenes de eventos de VMware en NetWitness Suite.

Windows

Recopila eventos de máquinas Windows compatibles con el modelo de Microsoft Windows. Windows 6.0 es una plataforma de rastreo y registro de eventos que se incluye en el sistema operativo a partir de Microsoft Windows Vista y Windows Server 2008. Para obtener más información, consulte Configurar orígenes de eventos de Windows en NetWitness Suite.

Windows existente

Recopila eventos de:

  • Versiones de Windows más antiguas, como Windows 2000 y Windows 2003, y recopila de orígenes de eventos de Windows ya configurados para la recopilación enVision sin necesidad de reconfigurarlos.
  • Origen de eventos del dispositivo ONTAP de NetApp, de modo que ahora puede recopilar y analizar archivos evt de NetApp.
  • Para obtener más información, consulte Configuración de la recopilación de Windows existente y NetApp.

Nota: El recopilador de Windows existente de NetWitness Suite se instala en un servidor Windows 2008 R2 SP1 de 64 bits físico o virtual mediante el archivo SALegacyWindowsCollector-version-number.exe.

You are here
Table of Contents > Aspectos básicos de la recopilación de registros

Attachments

    Outcomes