Mantenimiento del sistema: Consejos varios

Document created by RSA Information Design and Development on May 2, 2018Last modified by RSA Information Design and Development on May 3, 2018
Version 5Show Document
  • View in full screen mode
 

Reforzar la cuenta de administrador

La Guía de reforzamiento STIG de la Documentación de NetWitness Suite en RSA Link (https://community.rsa.com/docs/DOC-64211) incluye esta información.

Mensajes del registro de auditoría

Puede ser útil ver qué acciones del usuario generan qué tipos de mensajes de registro en el archivo /var/log/messages.

La hoja de cálculo de categorías de eventos que se incluye en el paquete de analizadores de registros en el archivo NetWitness Suite Parser v2.0.zip indica las categorías de eventos y las líneas de analizadores de eventos para ayudar en la creación de informes, alertas y consultas.

NwConsole para Estado y condición

RSA agregó una opción de comando llamada logParse en NwConsole. Esta opción de comando es compatible con el análisis de registros, una manera conveniente de comprobar el analizador de registros sin configurar todo el sistema para realizar el análisis. Para obtener más información acerca del comando logParse en la línea de comandos, escriba help logParse.

Error del cliente grueso: no se encontró la entrada del dispositivo de contenido remoto

Error :No se encontró la entrada del dispositivo de contenido remoto”. Este error se generó para una regla de correlación que se aplicó a un Concentrator.

Problema: En Investigation, si hace clic en el valor de metadatos correlation-rule-name en la clave de metadatos de alerta, no recibirá la información de sesión.

Solución: en lugar de usar reglas de correlación en los decodificadores y los concentradores, use reglas de ESA. Las reglas de ESA no registran las sesiones de correlación que coinciden con la regla de ESA.

Ver un ejemplo de analizadores

Dado que los analizadores flex y lua están cifrados cuando se entregan mediante Live, no es posible ver su contenido con facilidad.

Sin embargo, algunos ejemplos de texto sin formato están disponibles aquí: https://community.emc.com/docs/DOC-41108.

Configurar orígenes de eventos de WinRM

El siguiente artículo de Inside EMC incluye un video que muestra el proceso de configuración de la recopilación de la Administración remota (RM) de Windows: https://inside.emc.com/docs/DOC-122732.

Además, contiene dos scripts que son accesos directos a los procedimientos que se describen en el documento “Guía de configuración del origen de eventos de Windows”.

Previous Topic:Notificación de error
Next Topic:NwLogPlayer
You are here
Table of Contents > Solucionar problemas de NetWitness Suite > Consejos varios

Attachments

    Outcomes