NW Cfg: Konfigurieren der globalen Auditprotokollierung

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

Globale Auditprotokollierung bietet NetWitness Suite-Prüfern konsolidierte Einsichten in Benutzeraktivitäten innerhalb von NetWitness Suite in Echtzeit an zentraler Stelle. Diese Einsichten umfassen vom NetWitness Suite-System erfasste Auditprotokolle und die verschiedenen Services in der gesamten NetWitness Suite-Infrastruktur. 

NetWitness Suite-Auditprotokolle werden in einem zentralen System gesammelt, das sie in das erforderliche Format konvertiert und an ein externes Syslog-System weiterleitet. Bei dem externen Syslog-System kann es sich um einen Syslog-Server eines Drittanbieters oder einen Log Decoder handeln.   

Sie konfigurieren die globale Auditprotokollierung im Bereich „Globale Auditprotokollierungskonfigurationen“. Eine Auditprotokollierungsvorlage definiert das Format und die Meldungsfelder der Auditprotokolleinträge. Die Konfiguration des Syslog-Benachrichtigungsservers definiert das Ziel, an das die Auditprotokolle gesendet werden. Wenn Sie Auditprotokolle an einen Log Decoder weiterleiten möchten, konfigurieren Sie einen Syslog-Benachrichtigungsservertyp für den Log Decoder.

Nachfolgend sind einige Benutzeraktionen aufgeführt, die von NetWitness Suite protokolliert werden:

  • Erfolgreiche Benutzeranmeldung 
  • User login failure 
  • Benutzerabmeldungen
  • Maximale Anzahl fehlgeschlagener Anmeldeversuche überschritten
  • Alle aufgerufenen Seiten der Benutzeroberfläche
  • Gespeicherte Konfigurationsänderungen (einschließlich Änderung des eigenen Benutzerpassworts)
  • Vom Benutzer durchgeführte Abfragen
  • Verweigerte Benutzerzugriffe
  • Datenexportvorgänge

Nachdem Sie eine globale Auditprotokollierungskonfiguration erstellt haben, gehen Auditprotokolle, die diese Benutzeraktionen enthalten, automatisch in das externe Syslog-System ein. Dabei wird das Format verwendet, das in der ausgewählten Auditprotokollierungsvorlage angegeben wurde. Sie können mehrere globale Auditprotokollierungskonfigurationen für verschiedene Ziele erstellen, die verschiedene Vorlagen verwenden. So können Sie zum Beispiel eine globale Auditprotokollierungskonfiguration für einen externen Syslog-Server erstellen, mit einer Vorlage, die alle verfügbaren Metaschlüssel enthält, und eine andere Konfiguration für einen Log Decoder mit einer Vorlage, die ausgewählte Metaschlüssel enthält. 

Für Log Decoder verwenden Sie die Audit-CEF-Standardvorlage. Sie können Felder zu der CEF (Common Event Format)-Vorlage hinzufügen oder aus ihr entfernen, wenn Sie spezielle Anforderungen haben. Entsprechende Anweisungen finden Sie unter Definieren einer Vorlage für die globale Auditprotokollierung. Die verfügbaren Variablen werden im Abschnitt Unterstützte CEF-Metaschlüssel beschrieben.

Für Syslog-Server von Drittanbietern können Sie eine Standard-Auditprotokollierungsvorlage verwenden oder Ihr eigenes Format (CEF oder nicht CEF) definieren. Entsprechende Anweisungen finden Sie unter Definieren einer Vorlage für die globale Auditprotokollierung. Die verfügbaren Variablen werden im Abschnitt Unterstützte Metaschlüsselvariablen für die globale Auditprotokollierung beschrieben.

Prüfer können die Auditprotokolle auf dem ausgewählten Log Decoder oder einem Syslog-Server eines Drittanbieters anzeigen. Wenn sie einen Log Decoder verwenden, können Prüfer die Auditprotokolle mithilfe von NetWitness Suite Investigation oder Reporting anzeigen. 

Die folgende Abbildung zeigt globale Auditprotokolle in Investigation (Investigation > Ereignisse).

Beispiele einiger der protokollierten Benutzeraktionen finden Sie in Dialogfeld „Neue Konfiguration hinzufügen“. Eine Liste der Meldungstypen, die von den verschiedenen Komponenten von NetWitness Suite protokolliert werden, finden Sie in der Referenz der globalen Auditprotokollierungsvorgänge

Globale Auditprotokollierung – übergeordnetes Verfahren

Die globale Auditprotokollierung wird im Bereich „Globale Auditprotokollierungskonfigurationen“ konfiguriert, der über Ansicht „Administration-System“ > Globales Auditing aufgerufen wird. Vor dem Konfigurieren der globalen Auditprotokollierung müssen ein Syslog-Benachrichtigungsserver und eine Auditprotokollierungsvorlage konfiguriert werden. Ein Syslog-Benachrichtigungsserver definiert das Ziel, an das die Auditprotokolle gesendet werden. Eine Auditprotokollierungsvorlage definiert das Format und die Meldungsfelder des Auditprotokolleintrags. 

Im Bereich „Globale Auditprotokollierungskonfigurationen“ befindet sich der Link Einstellungen anzeigen, über den Sie zum Bereich „Globale Benachrichtigungen“ gelangen (Ansicht „Administrationssystem > Globale Benachrichtigungen“). Dort können Sie den Syslog-Benachrichtigungsserver und die Auditprotokollierungsvorlage konfigurieren. 

Führen Sie zum Konfigurieren der globalen Auditprotokollierung die folgenden Verfahren in der angegebenen Reihenfolge aus.

                             
MethodenReferenz/Anweisungen
  1. Konfigurieren Sie einen Syslog-Benachrichtigungsserver.
Konfigurieren Sie einen Syslog-Benachrichtigungsserver für die globale Auditprotokollierung. Sie können einen Drittanbieter-Syslog-Server oder einen Log Decoder als Ziel für die Auditprotokolle definieren.
Konfigurieren eines Ziels zum Empfang globaler Auditprotokolle. Globale Auditprotokollierungskonfigurationen erfordern den Servertyp Syslog-Benachrichtigungsserver. Wenn Sie globale Auditprotokolle an einen Log Decoder weiterleiten möchten, erstellen Sie einen Benachrichtigungsserver vom Syslog-Typ. 
  1. Wählen Sie die zu verwendende Auditprotokollierungsvorlage aus oder konfigurieren Sie eine neue.
Wählen Sie eine Auditprotokollierungsvorlage für den Syslog-Benachrichtigungsserver aus. Sie können eine Standard-Auditprotokollierungsvorlage verwenden oder eine eigene Vorlage definieren. Globale Auditprotokollierungskonfigurationen erfordern den Vorlagentyp „Auditprotokollierung“ und den Servertyp „Syslog-Benachrichtigungsserver“.
Weitere Informationen hierzu finden Sie unter Konfigurieren von Vorlagen für Benachrichtigungen.
Für Log Decoder verwenden Sie die Audit-CEF-Standardvorlage. Wenn bestimmte Anforderungen vorliegen, können Sie Felder zur CEF-Vorlage (Common Event Format) hinzufügen oder aus ihr entfernen. Im Abschnitt „Definieren einer Vorlage für globale Auditprotokollierung“ finden Sie weitere Erläuterungen.
Für Syslog-Server von Drittanbietern können Sie eine Standard-Auditprotokollierungsvorlage verwenden oder Ihr eigenes Format (CEF oder nicht CEF) definieren. Entsprechende Anweisungen finden Sie unter Definieren einer Vorlage für die globale Auditprotokollierung. Die verfügbaren Variablen werden im Abschnitt „Unterstützte Metaschlüsselvariablen für die globale Auditprotokollierung“ beschrieben.
  1. (Optional – nur bei Verwendung eines Log Decoder) Implementieren Sie von Live aus den Common Event Format-Parser in Ihrem Log Decoder.
Vergewissern Sie sich, dass Sie den neuesten Common Event Format-Parser von Live implementiert und aktiviert haben. Anweisungen hierzu finden Sie unter Suchen und Bereitstellen von Live-Ressourcen und Aktivieren und Deaktivieren von Protokollparsern. 
  1. Definieren Sie eine globale Auditprotokollierungskonfiguration, in der festgelegt ist, wie die globalen Auditprotokolle an externe Syslog-Systeme weitergeleitet werden. 
Anweisungen hierzu enthält der Abschnitt Definieren einer globalen Auditprotokollierungskonfiguration. Nachdem Sie eine globale Auditprotokollierungskonfiguration hinzugefügt haben, werden Auditprotokolle an den in der Konfiguration angegebenen Benachrichtigungsserver weitergeleitet.
  1. Vergewissern Sie sich, dass die Auditereignisse in den globalen Auditprotokollen angezeigt werden.
Testen Sie Ihre Auditprotokolle, um sicherzustellen, dass darin alle Auditereignisse aufgeführt werden, die in Ihrer Auditprotokollierungsvorlage definiert sind. Entsprechende Anweisungen finden Sie unter Überprüfen von globalen Auditprotokollen.
You are here
Table of Contents > Standardverfahren > Konfigurieren der globalen Auditprotokollierung

Attachments

    Outcomes