Systemwartung: Verschiedene Tipps

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 22, 2018
Version 2Show Document
  • View in full screen mode
 

Sicherheitsverstärkung für das Admin-Konto

Weitere Informationen hierzu finden Sie im Leitfaden zur STIG-Sicherheitsverstärkung in der NetWitness Suite-Dokumentation auf RSA Link (https://community.rsa.com/docs/DOC-64211).

Auditprotokollmeldungen

Es kann hilfreich sein, zu prüfen, welche Benutzeraktionen zu welchem Protokollmeldungstyp in der Datei /var/log/messages führt.

Im Arbeitsblatt mit Ereigniskategorien, das im Protokollparserpaket im Archiv der Datei „NetWitness Suite Parser v2.0.zip“ enthalten ist, sind die Ereigniskategorien und Ereignisparserzeilen aufgelistet, um Sie bei der Erstellung von Berichten, Warnmeldungen und Abfragen zu unterstützen.

NwConsole für "Integrität und Zustand"

RSA hat eine Befehlsoption mit der Bezeichnung logParse zu NwConsole hinzugefügt. Die neue Befehlsoption unterstützt das Protokollparsing, eine praktische Methode zur Überprüfung der Protokollparser, ohne das gesamte System für Protokollparsing einzurichten. Um weitere Informationen zum Befehl logParse zu erhalten, geben Sie in die Befehlszeile den Befehl help logParse ein.

Thick-Clientfehler: Remoteinhaltsgeräte-Eintrag nicht gefunden

Fehler: Für eine auf einen Concentrator angewendete Korrelationsregel wird „Der Remoteinhaltsgeräte-Eintrag wurde nicht gefunden“ ausgegeben.

Problem: Wenn Sie in Investigation im Warnmeldungs-Metaschlüssel auf den Metawert correlation-rule-name klicken, werden keine Sitzungsinformationen angezeigt.

Lösung: Verwenden Sie auf Decodern und Concentrators ESA-Regeln statt Korrelationsregeln. Die ESA-Regeln zeichnen die Korellationssitzungen auf, die der ESA-Regel entsprechen.

Anzeigen von Beispielparsern

Da Flex- und Lua-Parser verschlüsselt sind, wenn Sie von Live bereitgestellt werden, können Sie deren Inhalt nicht leicht einsehen.

Es sind jedoch einige Beispiele in Klartext unter folgender URL verfügbar: https://community.emc.com/docs/DOC-41108.

Konfigurieren von WinRM-Ereignisquellen

Der folgende Inside EMC-Artikel enthält ein Video, das Sie durch den Einrichtungsprozess der Windows RM-Sammlung (Remote Management) führt: https://inside.emc.com/docs/DOC-122732.

Darüber hinaus enthält er zwei Skripte zur beschleunigten Durchführung der im „Konfigurationsleitfaden für Windows-Ereignisquellen“ beschriebenen Verfahren.

Previous Topic:Fehlerbenachrichtigung
Next Topic:NwLogPlayer
You are here
Table of Contents > Troubleshooting der NetWitness-Suite > Verschiedene Tipps

Attachments

    Outcomes