Descripción general de Warehouse Connector

Document created by RSA Information Design and Development on May 3, 2018
Version 1Show Document
  • View in full screen mode
 

Warehouse Connector recopila metadatos y eventos de Decoder and Log Decoder, y los escribe en formato AVRO en un sistema de procesamiento distribuido basado en Hadoop. Puede configurar Warehouse Connector como un servicio en Log Decoders o Decoders existentes.

Warehouse Connector tiene los siguientes componentes:

  • Origen de datos
  • Destino
  • Flujo de datos

Origen de datos

Un origen de datos es el servicio desde el cual Warehouse Connector recopila datos para almacenar en el destino. Los orígenes de datos compatibles son servicios de Log Decoder y Decoder. Log Decoder recopila eventos de registro y Decoder recopila exclusivamente paquetes y metadatos.

Destino

El destino es el sistema de procesamiento distribuido basado en Hadoop que recopila, administra y habilita la creación de informes sobre los datos de seguridad. Los destinos compatibles son los siguientes:

  • Implementaciones de RSA NetWitness Warehouse (MapR)
  • Hortonworks Data Platform
  • Cualquier sistema de cómputo distribuido basado en hadoop compatible con el montaje de WebHDFS o NFS de los sistemas de archivos HDFS. 
    • Ejemplo: MapR M5 Enterprise Edition comercial para Apache Hadoop

Flujos de datos

Un flujo de datos es una conexión lógica entre el origen y el destino de los datos. Puede tener varios flujos para diferentes subconjuntos de datos recopilados. Puede configurar flujos para separar datos de varios servicios de Decoder y Log Decoder. Puede crear un flujo con varios orígenes de datos y un único destino o con un único origen y destino de datos.

Warehouse Connector realiza lo siguiente:

  • Agrega datos de registros de sesiones y crudos desde Decoders y Log Decoders.
  • Transfiere los datos agregados a destinos compatibles como implementaciones basadas en hadoop.
  • Serializa los datos agregados, que incluyen esquemas y datos, en formato AVRO.

Además del Warehouse Connector también admite lo siguiente:

Filtros de metadatos

Los filtros de metadatos permiten filtrar las claves de metadatos que se deben escribir en Warehouse. Para obtener más información, consulte Especificar filtros de metadatos para un flujo.

Soporte para claves de metadatos con varios valores

RSA NetWitness Warehouse admite claves de metadatos con varios valores. Las claves de metadatos con varios valores son el campo de metadatos con el tipo de arreglo. Puede usar la biblioteca de metadatos para determinar los campos de metadatos de arreglo de tipo y escribir consultas HIVE con la sintaxis correcta para los arreglos. De forma predeterminada, las siguientes claves de metadatos se tratan como metadatos con varios valores y se definen en el archivo multivalue-bootstrap.xml que se ubica en /etc/netwitness/ng en Warehouse Connector:

  • alias.host
  • acción
  • username
  • alias.ip
  • alias.ipv6
  • correo electrónico
  • device.group

  • event.class

Validación de la suma de comprobación

Warehouse Connector permite validar la integridad de los archivos AVRO que se transfieren desde Warehouse Connector a los destinos de datos. Debe activar la validación de suma de comprobación mientras configura Warehouse Connector.

Compatibilidad con Lockbox

Un Lockbox proporciona un archivo cifrado que Warehouse Connector utiliza para almacenar y proteger datos confidenciales. Para crear el Lockbox debe proporcionar una contraseña de Lockbox cuando configura Warehouse Connector por primera vez.

Puede implementar Warehouse Connector mediante la configuración de Warehouse Connector como un servicio en los hosts de Log Decoder o Decoder existentes. 

La siguiente es una descripción general de todo el proceso de instalación y configuración del servicio Warehouse Connector en Log Decoder o Decoder, configuración del servicio Warehouse Connector en NetWitness, configuración de orígenes de datos, destinos, flujos para Warehouse Connector y configuración de notificaciones de alerta en NetWitness.

Para instalar y configurar el servicio Warehouse Connector, realice lo siguiente:

  1. Instale el servicio Warehouse Connector en un Log Decoder o Decoder
  2. Configure un servicio Warehouse Connector
  3. Configure el origen de datos de Warehouse Connector
  4. Configure un destino
  5. Configure un flujo
  6. Monitoree un Warehouse Connector
  7. Agregar Warehouse como un origen de datos en Reporting Engine
  8. Analice un informe de Warehouse
  9. Administre un flujo y un Lockbox
You are here
Table of Contents > Cómo funciona Warehouse Connector

Attachments

    Outcomes