Reporting: Konfigurieren der Reporting Engine

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode

Stellen Sie Folgendes sicher:

  • Bevor Sie eine Warnmeldungsregel erstellen, haben Sie Decoder mit dem Concentrator verbunden, der zur Reporting Engine für die ausgewählte Datenquelle hinzugefügt wurde.
  • Sie haben einen Syslog-Server installiert und konfiguriert, der TCP/TLS in Ihrer Umgebung unterstützt. zum Beispiel WinSyslog. Sie können die Reporting Engine so konfigurieren, dass bei Auslösen einer Warnmeldung Syslog-Meldungen über TCP mit Transport Layer Security (TLS) gesendet werden.

So konfigurieren Sie die Reporting Engine zum Senden von Syslog-Warnmeldungen über TCP mit Transport Layer Security (TLS):

  1. Rufen Sie die erforderlichen Zertifikate ab.
  2. Fügen Sie das CA-Zertifikat an die Datei „ca.pem“ auf dem NetWitness-Server an.

  3. Konfigurieren Sie den Syslog-Server so, dass Nachrichten von Client-Rechnern akzeptiert werden.

  4. Konfigurieren Sie die Zustellung von Nachrichten in der NetWitness-Benutzeroberfläche.

Aufgabe 1: Abrufen der erforderlichen Zertifikate

So erzeugen Sie Zertifikate, mit denen die Reporting Engine zum Senden von Syslog-Meldungen über TCP mit TLS konfiguriert wird:

  1. Erzeugen Sie ein CA-Zertifikat (Certifying Authority, Zertifizierungsstelle). Weitere Informationen erhalten Sie unter http://www.rsyslog.com/doc/tls_cert_ca.html.

Hinweis: Sie können diesen Schritt ignorieren, wenn bereits ein CA-Zertifikat in Ihrer Umgebung ausgeführt wird.

  1. Erzeugen Sie ein Schlüsselpaar für den Syslog-Server. Weitere Informationen erhalten Sie unter http://www.rsyslog.com/doc/tls_cert_machine.html.

Hinweis: Sie können diesen Schritt ignorieren, wenn Sie die Sicherheit für den Syslog-Server mithilfe des Schlüssels und der von derselben Zertifizierungsstelle erzeugten Zertifikate bereits konfiguriert haben.

Aufgabe 2: Fügen Sie das CA-Zertifikat an die Datei „ca.pem“ auf dem NetWitness-Server an.

So hängen Sie ein vorhandenes CA-Zertifikat an die Datei „ca.pem“ an:

  1. Hängen Sie den Inhalt des CA-Zertifikats, das Sie erzeugt haben, manuell an die Datei /etc/pki/CA/certs/ca.pem an.
  2. Führen Sie auf dem NetWitness-Server den folgenden Befehl aus, damit das Zertifikat im Truststore aufgefüllt wird:
    keytool -import -file /etc/pki/CA/certs/ca.pem -keystore cacerts

Aufgabe 3: Konfigurieren Sie den Syslog-Server so, dass Nachrichten von Client-Rechnern akzeptiert werden.

Konfigurieren Sie den Syslog-Server so, dass Nachrichten von Client-Rechnern akzeptiert werden, welche die gleichen CA-Zertifikate besitzen:

  1. Kopieren Sie die folgenden Dateien an Ihren sicheren TCP-Server-Zielspeicherort:
    • ca_cert.pem

    • server_cert.pem

    • server_key.pem

      Wobei Folgendes gilt:

      ca_cert.pem ist das CA-Zertifikat

      server_cert.pem - ist das Serverzertifikat

      server_key.pem - ist der Serverschlüssel

      Weitere Informationen finden Sie in Ihrer Dokumentation zu Ihrem Syslog-Server. Wenn Sie rsyslog verwenden, finden Sie unter http://www.rsyslog.com/doc/tls_cert_server.html weitere Informationen.

Aufgabe 4: Konfigurieren der Zustellung von Warnmeldungen in NetWitness

Konfigurieren Sie Reporting Engine, um bei Auslösen einer Warnmeldung Syslog-Meldungen über TCP mit Transport Layer Security (TLS) zu senden. Aktivieren Sie hierzu SECURE_TCP auf der Registerkarte Ausgabeaktionen für den Reporting Engine-Service in der Ansicht „Service-Konfiguration“ der Reporting Engine. Informationen finden Sie im Thema Reporting Engine-Ausgabeaktionen im Leitfaden zur Host- und Servicekonfiguration.

 

You are here
Table of Contents > Konfigurieren der Reporting Engine

Attachments

    Outcomes