MA: (Opcional) Configurar la auditoría en un host de Malware Analysis

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se presentan las funciones configurables del registro de auditoría de Malware Analysis y los procedimientos para configurarlas. Malware Analysis tiene la capacidad de generar alertas de auditoría basadas en umbrales configurados del módulo de puntaje. Cuando el puntaje de análisis de un archivo en una sesión de análisis coincide o supera los umbrales configurados, se genera una alerta de auditoría. Los umbrales permiten que las sesiones o los archivos que tienen un puntaje suficientemente alto como para ser candidatos de posible malware, generen una alerta de forma automática.

Las alertas se pueden configurar para que tengan formato de entradas de SNMP, syslog o archivo. La compatibilidad con distintos formatos de auditoría proporciona un método para que los sistemas externos consuman eventos de auditoría de acuerdo con su funcionalidad para analizar los formatos compatibles.

Además de auditar sesiones de análisis, los siguientes eventos activarán una alerta de auditoría:

  • Casos correctos y fallidos de nombre de inicio de sesión de usuario
  • Cambios en los ajustes de configuración del sistema
  • Reinicio del servidor
  • Actualización e instalación de la versión del servidor

Los ajustes de configuración de auditoría para Malware Analysis se encuentran en la vista Configuración de servicios > pestaña Auditoría.

Configurar el umbral de auditoría

El único propósito de los umbrales es especificar los criterios que se deben cumplir para que se genere una alerta para la sesión o archivo analizado. Si la auditoría está activada, cada archivo/sesión con puntaje se examina para determinar si el puntaje de cada módulo de puntaje coincide o supera el umbral de auditoría configurado. Si es así, se genera una alerta usando el formato de alerta de auditoría configurado (es decir, SNMP, syslog o archivo). Por ejemplo, si configura SNMP y define el umbral de Community en 90, todas las sesiones o archivos con un puntaje de 90 o más en el módulo de puntaje de Community generan un SNMP trap. Si todos los umbrales se definen en 90, no se genera ninguna alerta a menos que una sesión o un archivo tengan un puntaje de 90 o más en los módulos de puntaje Red, Estático, Community y Sandbox.

Para configurar el umbral de auditoría:

  1. En el menú principal, seleccione ADMIN > Servicios.
  2. Seleccione un servicio Malware Analysis y elija > Ver > Configuración.
  3. En la vista Configuración de servicios, haga clic en la pestaña Auditoría.
  4. En la sección Umbrales de auditoría:

    1. Establezca el umbral de Community, Estático, Red y Sandbox mediante una de las siguientes acciones para cada módulo de puntaje:

      • En el control deslizante, haga clic y arrastre el control en cualquier dirección.
      • En el campo de valor, escriba un número entre 0 y 100, inclusive.
    2. (Opcional para 10.3 SP2) Seleccione uno o más activadores para registrar un mensaje y entregarlo mediante todos los métodos de auditoría activados.
    3. Haga clic en Aplicar.

      • El ajuste de umbral se aplica de inmediato a todos los métodos de auditoría activados: SNMP, archivo y syslog.
      • Los mensajes registrados se envían a través de todos los métodos de auditoría activados: SNMP, archivo y syslog.

Configurar alertas de Incident Management

Cuando se habilita, Incident Management puede auditar alertas de Malware Analysis para alimentar su flujo de trabajo.

  1. En el menú principal, seleccione ADMIN > Servicios.
  2. Seleccione un servicio Malware Analysis y elija > Ver > Configuración.
  3. En la vista Configuración de servicios, seleccione la pestaña Auditoría.
  4. En la sección Alertas de Incident Management, seleccione la casilla de verificación Habilitado y haga clic en Aplicar.
    Las alertas entran en vigencia inmediatamente.

Configurar la auditoría de SNMP

El protocolo simple de administración de red (SNMP) es un protocolo estándar de Internet para administrar servicios en redes IP. Cuando una auditoría de SNMP está habilitada, Malware Analysis puede enviar un evento de auditoría como un SNMP trap a un host de SNMP trap configurado. Además del puntaje y el ID de evento, la alerta incluye todos los metadatos de sesión, así como los metadatos generados. Esto es útil para los usuarios que quieran enviar feeds de los datos de un evento a sistemas de otros fabricantes.

Para configurar la auditoría de SNMP:

  1. En el menú principal, seleccione ADMIN > Servicios.
  2. Seleccione un servicio Malware Analysis y elija > Ver > Configuración.
  3. En la vista Configuración de servicios, seleccione la pestaña Auditoría.
  4. En la sección Auditoría de SNMP, haga clic en la casilla de verificación para activar la auditoría de SNMP.
  5. Configure el nombre de servidor y puerto de SNMP.
  6. Configure la versión de SNMP y el OID de trap para enviar traps.
  7. Configure la comunidad de Malware Analysis y los parámetros de reintento y tiempo de espera para el envío de mensajes trap.
  8. Haga clic en Aplicar.
    La configuración de auditoría de SNMP se aplica de inmediato.

Configurar los ajustes de auditoría de archivo

Cuando la auditoría de archivos está habilitada, el archivo de registro de auditoría se mantiene en el directorio principal de Malware Analysis. La ubicación predeterminada para este archivo de registro es:

/var/lib/netwitness/malware-analytics-server/spectrum/logs/audit/audit.log.

A medida que cada registro alcanza el tamaño de archivo máximo, se archiva y se crea un registro nuevo. Es posible configurar estos registros de auditoría y su cantidad.

Precaución: Evite configurar el tamaño máximo de archivo y el conteo de archivos en un valor muy alto, ya que esto puede tener un efecto desfavorable en el espacio disponible en disco en el dispositivo de Malware Analysis.

Para configurar la configuración de auditoría de archivo:

  1. En el menú principal, seleccione ADMIN > Servicios.
  2. Seleccione un servicio Malware Analysis y elija > Ver > Configuración.
  3. En la vista Configuración de servicios, seleccione la pestaña Auditoría.
  4. En la sección Auditoría de archivo, haga clic en la casilla de verificación para activar la auditoría de archivo.
  5. (Opcional) Defina el Conteo de archivos y el Tamaño máximo de archivo.
  6. Haga clic en Aplicar.
    La configuración de auditoría de archivo se aplica de inmediato.

Configurar los ajustes de auditoría de syslog

Cuando está activado, syslog proporciona auditoría mediante el uso del protocolo RFC 5424 de syslog. Las normativas, como SOX, PCI DSS, HIPAA y muchas otras, requieren que las organizaciones implementen medidas de seguridad integrales, las cuales a menudo incluyen la recopilación y el análisis de registros de muchos orígenes distintos. Syslog ha demostrado ser un formato eficaz para consolidar registros, dado que existen muchas herramientas de propiedad o de código abierto para creación de informes y análisis.

Además del puntaje y el ID de evento, syslog incluye todos los metadatos de sesión, así como los metadatos generados. Esto es útil para los usuarios que quieran enviar feeds de los datos de un evento a sistemas de otros fabricantes.

Para configurar los ajustes de auditoría de syslog:

  1. En el menú principal, seleccione ADMIN > Servicios.
  2. Seleccione un servicio Malware Analysis y elija > Ver > Configuración.
  3. En la vista Configuración de servicios, seleccione la pestaña Auditoría.
  4. En la sección Auditoría de syslog, haga clic en la casilla de verificación para activar la auditoría de syslog.
  5. Configure el host donde se está ejecutando el proceso de syslog de destino y el puerto del host donde el proceso de syslog está escuchando.
  6. Configure la instalación, la codificación, el formato, la longitud máxima y el registro de fecha y hora de los mensajes de syslog salientes.

Nota: (Opcional) Configure una cadena de identidad para anteponer a cada alerta de syslog.
Para el formato CEF, consulte Crear una alerta personalizada en formato CEF para conocer consideraciones adicionales.

  1. Haga clic en Aplicar.

    La configuración de auditoría de syslog se aplica de inmediato.

You are here
Table of Contents > Configuración de Malware Analysis > Paso 7. (Opcional) Configurar la auditoría en un host de Malware Analysis

Attachments

    Outcomes