Configurar alertas de Endpoint mediante syslog en un Log Decoder

Document created by RSA Information Design and Development on May 2, 2018
Version 1Show Document
  • View in full screen mode
 

Puede configurar el uso de datos de RSA NetWitness Endpoint en RSA NetWitness Suite para proporcionar alertas de NetWitness Endpoint mediante Syslog a las sesiones de Log Decoder. Esto genera metadatos que se usan en NetWitness Suite Investigation, Alerts y Reporting Engine.

En el caso de las redes de NetWitness Suite que consumen registros, esta integración de NetWitness Endpoint con NetWitness Suite migra eventos de NetWitness Endpoint al Log Decoder a través de mensajes de syslog en formato de evento común (CEF) y genera metadatos que se usan en NetWitness Suite Investigation, Alerts y Reporting Engine. El caso de uso para esta integración es la integración de SIEM con el fin de permitir la administración centralizada de eventos, la correlación de eventos de NetWitness Endpoint con otros datos del Log Decoder, los informes de NetWitness Suite sobre eventos de NetWitness Endpoint y las alertas de NetWitness Suite relacionadas con eventos de NetWitness Endpoint.

Requisitos previos

Para esta integración se requiere lo siguiente:

  • Versión 4.3.0.4, 4.3.0.5 o 4.4 de la interfaz del usuario de NetWitness Endpoint.
  • Instalación de Servidor de NetWitness versión 11.0.
  • Versión 10.4 o superior de RSA Log Decoder y Concentrator conectados al Servidor de NetWitness en la red.
  • Puerto 514 UDP o 1514 TCP abiertos desde el servidor de NetWitness Endpoint al Log Decoder en el firewall.

Procedimiento

  1. Implemente el analizador requerido (CEF o rsaecat) en el Log Decoder, como se describe en el tema “Administrar recursos de Live” en Administración de servicios de Live. Después de implementar el analizador, asegúrese de que esté habilitado. Para obtener más información, consulteVista Configuración de servicios: Pestaña General.

Nota: Use solo uno de estos analizadores. Cuando se implementa el analizador de CEF, este reemplaza al analizador de NetWitness Endpoint y todos los mensajes de CEF a NetWitness Suite los procesa el analizador de CEF. La activación de ambos analizadores es una carga innecesaria para el rendimiento.

  1. Configure NetWitness Endpoint para que envíe la salida de syslog a NetWitness Suite y genere alertas de NetWitness Endpoint para el Log Decoder.
  2. (Opcional) Edite el mapeo de tablas en table-map-custom.xml y en index-concentrator-custom.xml para agregar campos de acuerdo con las preferencias del usuario para los metadatos que se mapearán a NetWitness Suite.

Configurar NetWitness Endpoint para enviar la salida de syslog a NetWitness Suite

Para agregar el Log Decoder como un componente externo de syslog y generar alertas de NetWitness Endpoint para Log Decoder:

  1. Abra la interfaz del usuario de NetWitness Endpoint e inicie sesión con las credenciales apropiadas.
  2. En la barra de menú, seleccione Configurar > Monitoreo y componentes externos.

    Aparece el cuadro de diálogo Configuración de componentes externos.

  3. En Servidor de SYSLOG, haga clic en Ícono Agregar.

    Se muestra el cuadro de diálogo Servidor de SYSLOG.

    Cuadro de diálogo Servidor de syslog

  4. En el panel NetWitness Suite, en Activado, escriba el nombre descriptivo del Log Decoder.
  5. En el panel Conexión de syslog, realice lo siguiente para habilitar la mensajería de syslog:

Nombre de host/IP de servidor = La dirección IP o el DNS del nombre de host del RSA Log Decoder
Puerto = 514
Protocolo de transporte = Seleccione UDP o TCP según corresponda para su servidor de syslog para el protocolo de transporte.

  1. Haga clic en Guardar.
  2. Abra la ventana InstantIOCs en la interfaz del usuario de NetWitness Endpoint y, en la columna Generar alerta, haga clic para habilitar cada IIOC para el cual desea que se envíen alertas al Log Decoder.

    Endpoint de IOC instantáneos

Cuando se activan los IOC instantáneos, se envían alertas de syslog del servidor de NetWitness Endpoint al Log Decoder. A continuación, las alertas de Log Decoder se agregan en Concentrator. Estos eventos se inyectarán en el Concentrator como metadatos.

Editar el mapeo de tablas en table-map-custom.xml

En table-map.xml de RSA predeterminado que proporciona RSA, las claves de metadatos del archivo table-map.xml están configuradas en Transient. Para ver las claves de metadatos en Investigation, estas se deben configurar en None. Para realizar cambios en el mapeo, debe agregar las entradas al table-map-custom.xml en el Log Decoder.

Esta es la lista de claves de metadatos en table-map.xml.

                                                                                                                                                                                                        
Campos de NetWitness EndpointMapeo de NetWitness SuiteTransitorio en NetWitness Suite
agentidclienteNo
CEF Header Hostname Fieldalias.hostNo
CEF Header Product Versionversion
CEF Header Product NameProducto
CEF Header Severityseverity
CEF Header Signature IDevent.typeNo
CEF Header Signature Nameevent.descNo
destinationDnsDomainddomain
deviceDnsDomaindominio
dhosthost.dstNo
dstip.dstNo
finendtime
fileHashchecksum
fnamefilenameNo
fsizefilename.size
gatewayipgateway
instantIOCLevelthreat.descNo
instantIOCNamethreat.categoryNo
machineOUdn
machineScorerisk.numNo
md5sumchecksum
osSO
puertoip.dstportNo
protocolprotocol
Raw Messagemsg
remoteipstransaddr
rtalias.hostNo
sha256sumchecksum
shosthost.srcNo
smaceth.src
srcip.srcNo
startstarttime
suser-user|-uNo
timezonetimezone
totalreceivedrbytes
totalsentbytes.srcNo
useragentuser.agentNo
userOUorg

Las siete claves siguientes no están en table-map.xml; para usarlas en NetWitness Suite, debe agregarlas a table-map-custom.xml y configurar las marcas en None.

                                                
Campos de NetWitness EndpointMapeo de NetWitness SuiteTransitorio en NetWitness Suite
moduleScorecs.modulescore
moduleSignaturecs.modulesign
Target modulecs.targetmodule
YARA resultcs.yararesult
Source modulecs.sourcemodule
OPSWATResultcs.opswatresult
ReputationResultcs.represult

Las siguientes son las entradas que se deben agregar a table-map-custom.xml si es necesario.

<mapping envisionName="cs_represult" nwName="cs.represult" flags="None" envisionDisplayName="ReputationResult"/>
<mapping envisionName="cs_modulescore" nwName="cs.modulescore" format="Int32" flags="None" envisionDisplayName="ModuleScore"/>
<mapping envisionName="cs_modulesign" nwName="cs.modulesign" flags="None" envisionDisplayName="ModuleSignature"/>
<mapping envisionName="cs_opswatresult" nwName="cs.opswatresult" flags="None" envisionDisplayName="OpswatResult"/>
<mapping envisionName="cs_sourcemodule" nwName="cs.sourcemodule" flags="None" envisionDisplayName="SourceModule"/>
<mapping envisionName="cs_targetmodule" nwName="cs.targetmodule" flags="None" envisionDisplayName="TargetModule"/>
<mapping envisionName="cs_yararesult" nwName="cs.yararesult" flags="None" envisionDisplayName="YaraResult"/>

Nota: Reinicie Log Decoder o vuelva a cargar los analizadores de registros para que se apliquen los cambios.

Configurar el servicio NetWitness Suite Concentrator

  1. Inicie sesión en NetWitness Suite y vaya a ADMIN > Servicios.
    1. Seleccione un Concentrator en la lista y, a continuación, elija Ver > Configuración.
  2. Seleccione la pestaña Archivos y, en la lista desplegable Archivos para editar, seleccione index-concentrator-custom.xml.
  3. Agregue las claves de metadatos de NetWitness Endpoint al archivo y haga clic en Aplicar. Asegúrese de que este archivo incluya las secciones XML; si las líneas no se incluyen, agréguelas.
  4. Reinicie el Concentrator.
  5. Para agregar el Concentrator como un origen de datos en Reporting Engine, en la vista ADMIN > Servicios, seleccione el Reporting Engine y elija Ver> Configuración > Orígenes.
    Los metadatos de NetWitness Endpoint se completan en Reporting Engine y puede ejecutar informes mediante la selección de las claves de metadatos correspondientes.

Ejemplo

Nota: Las siguientes líneas son ejemplos; asegúrese de que los valores coincidan con su configuración y con los nombres de columna que incluyó en la definición del feed, donde:
description es el nombre de la clave de metadatos que desea mostrar en NetWitness Suite Investigation.
level es "IndexValues"
name es el nombre de la clave de metadatos de NetWitness Endpoint de la tabla siguiente

<language>
<key description="Product" format="Text" level="IndexValues" name="product" valueMax="250000" defaultAction="Open"/>
<key description="Severity" format="Text" level="IndexValues" name="severity" valueMax="250000" defaultAction="Open"/>
<key description="Destination Dns Domain" format="Text" level="IndexValues" name="ddomain" valueMax="250000" defaultAction="Open"/>
<key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>
<key description="Destination Host" format="Text" level="IndexValues" name="host.dst" valueMax="250000" defaultAction="Open"/>
<key description="End Time" format="TimeT" level="IndexValues" name="endtime" valueMax="250000" defaultAction="Open"/>
<key description="Checksum" format="Text" level="IndexValues" name="checksum" valueMax="250000" defaultAction="Open"/>
<key description="Filename Size" format="Int64" level="IndexValues" name="filename.size" valueMax="250000" defaultAction="Open"/>
<key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
<key description="Distinguished Name" format="Text" level="IndexValues" name="dn" valueMax="250000" defaultAction="Open"/>
<key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
<key description="ReputationResult" format="Text" level="IndexValues" name="cs.represult" valueMax="250000" defaultAction="Open"/>
<key description="Module Score" format="Text" level="IndexValues" name="cs.modulescore" valueMax="250000" defaultAction="Open"/>
<key description="Module Sign" format="Text" level="IndexValues" name="cs.modulesign" valueMax="250000" defaultAction="Open"/>
<key description="opswat result" format="Text" level="IndexValues" name="cs.opswatresult" valueMax="250000" defaultAction="Open"/>
<key description="source module" format="Text" level="IndexValues" name="cs.sourcemodule" valueMax="250000" defaultAction="Open"/>
<key description="Target Module" format="Text" level="IndexValues" name="cs.targetmodule" valueMax="250000" defaultAction="Open"/>
<key description="yara result" format="Text" level="IndexValues" name="cs.yararesult" valueMax="250000" defaultAction="Open"/>
<key description="Protocol" format="Text" level="IndexValues" name="protocol" valueMax="250000" defaultAction="Open"/>
<key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="250000" defaultAction="Open"/>
<key description="Source Host" format="Text" level="IndexValues" name="host.src" valueMax="250000" defaultAction="Open"/>
<key description="Start Time" format="TimeT" level="IndexValues" name="starttime" valueMax="250000" defaultAction="Open"/>
<key description="Timezone" format="Text" level="IndexValues" name="timezone" valueMax="250000" defaultAction="Open"/>
<key description="Received Bytes" format="UInt64" level="IndexValues" name="rbytes" valueMax="250000" defaultAction="Open"/>
<key description="Agent User" format="Text" level="IndexValues" name="user.agent" valueMax="250000" defaultAction="Open"/>
<key description="Source Bytes" format="UInt64" level="IndexValues" name="bytes.src" valueMax="250000" defaultAction="Open"/>
<key description="Strans Address" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
</language>

Resultado

Los analistas pueden:

  • Crear alertas de NetWitness Suite basadas en eventos de NetWitness Endpoint mediante la configuración de eventos de NetWitness Endpoint como un origen de enriquecimiento.
  • Crear reglas de ESA mediante el uso de metadatos de NetWitness Endpoint, como se describe en el tema “Agregar reglas a la biblioteca de reglas” en la Guía de Alertas mediante ESA.
  • Informar sobre eventos de NetWitness Endpoint que usan metadatos de NetWitness Endpoint, como se describe en el tema "Configurar una regla” en la Guía de Reporting.
  • Ver alertas de NetWitness Endpoint en NetWitness Respond, como se describe en el tema “Ver alertas” en la Guía del usuario de NetWitness Respond.
  • Ver claves de metadatos de NetWitness Endpoint en Investigation, junto con claves de metadatos de NetWitness Suite Core estándar, como se describe en el tema “Realizar una investigación” en la Guía del usuario de Investigation and Malware Analysis.
You are here
Table of Contents > Configurar alertas de Endpoint mediante syslog en un Log Decoder

Attachments

    Outcomes