Decoder: Erstellen von Identitätsfeeds

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Sie können einen Identitätsfeed erstellen und ihn in ausgewählten Decodern und Log Decodern verwenden. Zum Erstellen eines Identitätsfeeds benötigen Sie Folgendes:

  • einen Log Collector-Service mit einem Identitätsfeed-Ereignisprozessor haben
  • einen Log Collector-Service mit konfigurierter und aktivierter Windows-Sammlung

So erstellen Sie einen Identitätsfeed:

  1. Fügen Sie ein Ziel für den Feed hinzu.
    1. Navigieren Sie zu ADMIN > Services und wählen Sie aus der Liste Services einen Log Collector-Service und dann Anzeigen > Konfig aus.
    2. Wählen Sie die Registerkarte Ereignisziele aus.
    3. Wählen Sie im Feld Ereignisziele auswählen die Option Identitätsfeed.

      Dies ist ein Beispiel für die Drop-Down-Liste „Ereignisziele auswählen“.

    4. Klicken Sie auf Symbol zum Hinzufügen und geben Sie einen eindeutigen Namen für den Feed ein.

      Der Name der Warteschlange identifiziert den Feed im Log Collector. Verwenden Sie den Namen des Feeds für die Warteschlange.

      Hierbei handelt es sich um das Dialogfeld „Identitätsfeed hinzufügen“.

    5. Klicken Sie auf OK.
  2. Testen Sie das Generieren von Meldungen.

    1. Benutzer sollten sich in Windows-Feldern in der Domain anmelden, um die entsprechenden Protokollmeldungen auf den Domain-Controllern zum Testen zu erzeugen.
    2. Stellen Sie sicher, dass die Daten in die Feeddateien geschrieben werden. Stellen Sie über SSH eine Verbindung mit dem Log Decoder/Collector oder Virtual Log Collector her, der konfiguriert wird. Navigieren Sie zu /var/netwitness/logcollector/runtime/identity-feed und überprüfen Sie, ob die Identity_deploy-Dateien mit Daten gefüllt werden.

      Sie sollten etwas Ähnliches wie in diesem Beispiel sehen.

    3. Öffnen Sie einen Webbrowser (Internet Explorer nicht empfohlen) und melden Sie sich bei der REST-Schnittstelle des Log Collector an. Verwenden Sie für die Anmeldung Administrator-Anmeldedaten. Wenn die IP-Adresse Ihres Log Collector beispielsweise 192.168.99.66 ist, würde die URL wie folgt lauten:

      Die Browseranzeige sollte wie folgt aussehen:

      Dies ist ein Beispiel für den Browser-Bildschirm.

      Sie sehen, dass der Bildschirm den Namen des Identitätsfeeds enthält, den Sie zuvor erstellt haben (in diesem Beispiel infonetd_domain).

      Damit der Identitätsfeed ordnungsgemäß funktioniert, muss Port 50101 auf dem Log Collector aktiv sein und Sie müssen bestimmen, ob die SSL-Verschlüsselung aktiv ist.

    4. Navigieren Sie zu ADMIN > Services > <einzurichtender Log Collector> > Ansicht > Durchsuchen.
    5. Erweitern Sie im linken Bereich REST > Konfig.

      Dies ist ein Beispiel für die Ansicht „Durchsuchen“.

      Damit REST aktiv ist, muss aktiviert auf 1 festgelegt sein.

    6. Notieren Sie sich den Wert für SSL. Wenn SSL für Ihre Umgebung aktiviert werden soll, muss diese Option auf Ein festgelegt sein.

      Hinweis: Wenn Sie die Einstellung für die Option aktiviert oder SSL geändert haben, müssen Sie den Log Collector-Service neu starten, bevor Sie fortfahren.

  3. Navigieren Sie zu Konfigurieren > Live Content > Benutzerdefinierte Feeds.

    Das Feedraster wird angezeigt.

    Dies ist ein Beispiel für das Feedraster.

  4. Klicken Sie in der Symbolleiste auf Symbol zum Hinzufügen.

    Das Dialogfeld Feed einrichten wird angezeigt.

    Dies ist ein Beispiel für das Dialogfeld „Feed einrichten“.

  5. Vergewissern Sie sich, dass Identitätsfeed ausgewählt ist, und klicken Sie auf Weiter.

    Der Bereich „Identitätsfeed konfigurieren“ wird mit geöffneter Registerkarte Feed definieren angezeigt.

  6. (Bedingungsabhängig) Sie können einen bedarfsorientierten oder einen wiederkehrenden Feed erstellen.

    • Um eine Identitätsfeedaufgabe nach Bedarf zu definieren, die einmal ausgeführt wird, wählen Sie Ad hoc im Feld Typ der Feedaufgabe aus, geben Sie den Namen des Feeds ein, suchen Sie nach dem Feed und öffnen Sie ihn.
    • Zum Definieren einer wiederkehrenden Identitätsfeedaufgabe, die wiederholt ausgeführt wird, wählen Sie im Feld Typ der Feedaufgabe die Option Wiederholt aus.

      Das Formular Feed definieren enthält die Felder für einen wiederkehrenden Feed.

      Dies ist ein Beispiel für das Dialogfeld „Identitätsfeed konfigurieren“ im Bereich „Feed definieren“.

      Hinweis: RSA NetWitness Suite überprüft den Speicherort, an dem die Datei gespeichert ist, sodass Security Analytics bei jedem erneuten Aufruf automatisch nach der neuesten Datei suchen kann.

  7. Geben Sie Werte in das URL-Feld ein und überprüfen Sie dieses.

    1. Geben Sie im Feld URL die URL ein, unter der sich die Feeddatendatei befindet. Dies ist die REST-API-Schnittstelle, die zuvor eingerichtet wurde. Sie benötigen die folgenden Informationen, um die URL zu bestimmen:

      • Die IP-Adresse des Log Collector, die verwendet wird, um die Identitätsfeeddatei zu erstellen.
      • Der Name der Identitätswarteschlange, wie in Schritt 2c festgelegt.
      • Gibt an, ob SSL auf dem REST-Port des Log Collector aktiviert ist, wie in Schritt 2f festgelegt.

      Dieser Wert wird wie folgt erstellt:

      • SSL aktiviert: https://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600
      • SSL nicht aktiviert: http://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600

      Wenn wir also unser Beispiel von weiter oben verwenden, würden Sie in dieses Feld den folgenden vollständigen Wert eingeben:

      http://192.168.99.66:50101/event-processors/infonetd_domain?msg=getFile&force-content-type=application/octet-stream&expiry=600?msg=getFile&force-content-type=application/octet-stream&expiry=600

    2. Damit die URL-Überprüfung ordnungsgemäß ausgeführt werden kann, ist es wichtig, dass der Security Analytics-UI-Server auf den REST-API-Port (50101) des Log Collector zugreifen kann. Dies kann getestet werden, indem über SSH eine Verbindung mit dem Security Analytics-UI-Server hergestellt wird. Führen Sie dort den folgenden Befehl aus:

      • SSL aktiviert: curl -vk https://<ip of log collector>:50101
      • SSL nicht aktiviert: curl -v http://<ip of log collector>:50101

      Wenn der Befehl curl keine Verbindung herstellt, liegt möglicherweise ein Problem mit der Netzwerkfirewall oder mit der Weiterleitung zwischen dem Security Analytics-UI-Server und Log Collector vor.

      Beispiel für eine schlechte Verbindung:

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... No route to host

      * couldn't connect to host

      * Closing connection #0

      curl: (7) couldn't connect to host

      Example of Good connection:

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... connected

      * Connected to 192.168.99.66 (192.168.99.66) port 50105 (#0)

      > GET / HTTP/1.1

      > User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2

      > Host: 192.168.99.66:50105

      > Accept: */*

      >

      < HTTP/1.1 401 Unauthorized

      < Content-Length: 71

      < Connection: Keep-Alive

      < Pragma: no-cache

      < Expires: -1

      < Cache-Control: no-cache, no-store, must-revalidate

      < WWW-Authenticate: Basic realm="NetWitness"

      < Content-Type: text/xml; charset=utf-8

      <

      <?xml version="1.0" encoding="utf-8"?>

      <error>401 Unauthorized</error>

      * Connection #0 to host 192.168.99.66 left intact

      * Closing connection #0

  8. Die REST-API erfordert einen Benutzernamen und ein Passwort, wenn sie versucht, die identity_deploy.csv-Datei vom Log Collector abzurufen. Dies kann ein beliebiger Benutzername bzw. ein beliebiges Passwort sein, der bzw. das auf dem Service selbst verfügbar ist. Informationen finden Sie im Thema „Ansicht Services-Sicherheit“ im Leitfaden für Hosts und Services.

    Um festzustellen, welche Konten zur Verfügung stehen, navigieren Sie zu ADMIN > Services > <einzurichtender Log Collector> > Aktionen > Ansicht > Sicherheit.

    In der Tabelle „Benutzer“ sehen Sie alle Benutzer, die in diesem Schritt verwendet werden können. Es wird empfohlen, ein separates Benutzerkonto speziell für dieses Setup zu erstellen, das an keiner anderen Stelle in der Umgebung verwendet wird, um die Sicherheit zu erhöhen. Details finden Sie unter „Hinzufügen eines Benutzers und einer Rolle“ im Handbuch Systemsicherheit und Benutzerverwaltung. (Navigieren Sie zu Master Table of Contents für Version 11.0, um Dokumente zu NetWitness Suite 11.0 zu suchen.)

  9. Führen Sie eine der folgenden Aktionen durch, um das Intervall für Wiederholungen zu definieren:

    • Legen Sie die Anzahl der Minuten, Stunden oder Tage zwischen den Wiederholungen des Feeds fest.
    • Geben Sie zum Definieren des Datumsbereichs für die Ausführung der Feedwiederholungen das Startdatum und die Startzeit sowie das Enddatum und die Endzeit an.
  10. Wenn Sie SSL-Verschlüsselung verwenden, müssen Sie das REST-API-SSL-Zertifikat für den Log Collector auf dem Security Analytics-UI-Server installieren. Weitere Informationen finden Sie unter Importieren des SSL-Zertifikats.

    Wenn nach dem Importieren des SSL-Zertifikats die Überprüfung der URL weiterhin fehlschlägt, lesen Sie URL des Identitätsfeeds kann nicht überprüft werden.

  11. Klicken Sie auf Verifizieren, um die Konfiguration Ihres Identitätsfeeds zu überprüfen, bevor Sie das Formular „Services auswählen“ öffnen.
  12. Klicken Sie auf Weiter.

    Das Formular „Services auswählen“ wird angezeigt.

    Dies ist der Abschnitt „Services auswählen“ des Dialogfelds „Identitätsfeed konfigurieren“.

  13. Um Services zu identifizieren, in denen der Feed bereitgestellt werden soll, wählen Sie einen oder mehrere Decoders und Log Decoders aus und klicken Sie auf Weiter.
  14. Klicken Sie auf die Registerkarte Gruppen, wählen Sie eine Gruppe aus und klicken Sie auf Weiter

    Das Formular Überprüfung wird angezeigt.

    Dies ist der Abschnitt „Überprüfung“ des Dialogfelds „Identitätsfeed konfigurieren“.

    Hinweis: Wenn eine Gruppe von Geräten mit Decoder und Log Decoder zum Erstellen von wiederkehrenden oder benutzerdefinierten Feeds verwendet wird und diese Gruppe gelöscht wird, können Sie den Feed bearbeiten und eine neue Gruppe zum Feed hinzufügen.

  15. Bevor Sie auf Fertigstellen klicken, können Sie jederzeit Folgendes tun:

    • Auf Abbrechen klicken, um den Assistenten zu schließen, ohne die Feeddefinition zu speichern
    • Auf Zurücksetzen klicken, um die Daten im Assistenten zu löschen
    • Auf Weiter klicken, um das nächste Formular anzuzeigen (wenn nicht das letzte Formular angezeigt wird)
    • Auf Vorheriges klicken, um das vorherige Formular anzuzeigen (wenn nicht das erste Formular angezeigt wird)
  16. Überprüfen Sie die Feedinformationen und klicken Sie auf Fertigstellen, wenn diese korrekt sind.

Nach der erfolgreichen Erstellung der Feeddefinitionsdatei wird der Assistent für das Erstellen von Feeds geschlossen. Der Feed und die zugehörige Tokendatei werden im Feedraster aufgeführt und die Fertigstellung wird in einem Fortschrittsbalken nachverfolgt. Sie können den Eintrag ein- oder ausblenden, um festzustellen, wie viele Services enthalten sind und welche erfolgreich waren.

Importieren des SSL-Zertifikats

Wenn für den Log Collector des Identitätsfeeds SSL konfiguriert ist, führen Sie diese Schritte aus, um das SSL-Zertifikat des Log Collector in den Keystore des Security Analytics-UI-Servers zu importieren. Wenn dieses Zertifikat nicht importiert wird, ist der Security Analytics-UI-Server nicht in der Lage, die Identitätsfeeddatei vom Log Collector abzurufen.

  1. Um das SSL-Zertifikat vom Log Collector abzurufen, stellen Sie über SSH eine Verbindung mit dem Security Analytics-UI-Server her und führen Sie den folgenden Befehl aus:

    echo -n | openssl s_client -connect <HOST>:<PORT> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/<SERVERNAME>.cert

    Mit diesem Befehl wird das SSL-Zertifikat in /tmp/<SERVERNAME>.cert gespeichert.

    Beispiel:

    echo -n | openssl s_client -connect 192.168.99.66:50101 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/logcollector.cert

  2. Um das SSL-Zertifikat in den Security Analytics-UI-Server zu importieren, stellen Sie über SSH eine Verbindung mit dem UI-Server her und führen Sie den folgenden Befehl aus:

    keytool -importcert -alias <name an alias for the cert> -file <the cert file pathname> -keystore /etc/pki/java/cacerts

    Beispiel:

    keytool -importcert -alias logcollector01 -file /tmp/logcollector.cert -keystore /etc/pki/java/cacerts

  3. Das System fordert ein Passwort an. Geben Sie das Passwort für den Keystore auf dem Security Analytics-UI-Server ein, nicht für den Jetty-Keystore. Das Standardpasswort lautet changeit.
  4. Starten Sie jettysrv neu, um es Jetty zu erlauben, das neue Zertifikat im Speicher zu lesen.

URL des Identitätsfeeds kann nicht überprüft werden

Wenn die URL des Identitätsfeeds nicht überprüft werden kann und Sie SSL verwenden, vergewissern Sie sich, dass Sie die Schritte unter Importieren des SSL-Zertifikats ordnungsgemäß durchgeführt haben.

Wenn weiterhin Probleme auftreten, ist es möglich, dass der interne Name des Zertifikats nicht mit dem Hostnamen des Log Collector übereinstimmt. Durch das folgende Verfahren wird dies überprüft.

  1. Stellen Sie über SSH eine Verbindung mit dem Security Analytics-UI-Server her.
  2. Führen Sie den folgenden Befehl aus, um den CN-Namen des SSL-Zertifikats auszugeben:

    echo -n | openssl s_client -connect <log decoder>:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

    Beispiel:

    echo -n | openssl s_client -connect salogdecoder01:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

  3. Rufen Sie den CN-Namen des SSL-Zertifikats ab.

    Dies ist ein Beispiel für den CN-Namen.

  4. Bearbeiten Sie die /etc/hosts-Datei und fügen Sie die IP-Adresse und den CN-Namen zur Datei hinzu.

    Dies ist ein Beispiel für die hinzugefügte IP-Adresse und den CN-Namen.

  5. Starten Sie die Netzwerkservice auf der Appliance neu.
  6. Vergewissern Sie sich, dass der Name in der Datei /etc/hosts anstelle des vollständig qualifizierten Domainnamens oder der IP-Adresse in der URL des Identitätsfeeds verwendet wird.
  7. Überprüfen Sie die URL des Identitätsfeeds erneut.
You are here
Table of Contents > Konfigurieren von Feeds und Parsern > Erstellen von Identitätsfeeds

Attachments

    Outcomes