Grundlegende Implementierung

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema wird die Ersteinrichtung von Local Collectors und Remote Collectors beschrieben.

Voraussetzungen

Überprüfen, ob der eingerichtete Log Decoder:

  • Daten sammelt.
  • den aktuellen Inhalt geladen hat.
  • korrekt lizenziert ist.

Rollen der Local und Remote Collectors

Ein Local Collector (LC) ist ein Log Collector-Service, der auf einem Log Decoder-Host ausgeführt wird. In einem lokalen Bereitstellungsszenario wird der Log Collector-Service auf einem Log Decoder-Host mit dem Log Decoder-Service bereitgestellt. Die Protokollsammlung aus verschiedenen Protokollen wie Windows, ODBC usw. wird durch den Log Collector-Service durchgeführt und an den Log Decoder-Service weitergegeben. Der Local Collector sendet alle gesammelten Ereignisdaten an den Log Decoder-Service.

Sie müssen über mindestens einen Local Collector verfügen, um Nicht-Syslog-Ereignisse sammeln zu können.

Ein Remote Collector (RC), auch bezeichnet als virtueller Log Collector (Virtual Log Collector, VLC), ist ein Log Collector-Service, der auf einer eigenständigen virtuellen Maschine ausgeführt wird. Remote Collectors sind optional und müssen die gesammelten Ereignisse an einen Local Collector senden. Die Remote Collector-Bereitstellung ist ideal, wenn Sie Protokolle aus Remotestandorten sammeln müssen. Remote Collectors komprimieren und verschlüsseln die Protokolle, bevor sie diese an einen Local Collector senden.

Bereitstellen und Konfigurieren von Protokollsammlung

Die folgende Abbildung zeigt die grundlegenden Aufgaben für die Bereitstellung und Konfiguration von Protokollsammlung. Um Protokollsammlung bereitzustellen, müssen Sie einen Local Collector einrichten. Sie können auch einen oder mehrere Remote Collectors bereitstellen. Nach der Bereitstellung der Protokollsammlung müssen Sie die Ereignisquellen in NetWitness Suite und den Ereignisquellen selbst konfigurieren. Im folgenden Diagramm wird der Local Collector mit einem Remote Collector dargestellt, der Ereignisse an den Local Collector weitergibt.

Diagram shows the Local Collector with one Remote Collector that pushes events to the Local Collector.

Einrichten von Local und Remote Collectors

Der Local Collector ist der Log Collector-Service, der auf dem Log Decoder-Host ausgeführt wird.

Ein Remote Collector ist der Log Collector-Service, der auf einer virtuellen Maschine oder einem Windows-Server an einem Remotestandort ausgeführt wird.

Diagram shows a Remote Collector service running on a virtual machine or a Windows server in a remote location.

Konfigurieren von Ereignisquellen:

  • Konfigurieren Sie Sammlungsprotokolle im Verzeichnis C:\Temp\Malware Analysis Configuration Guide für Version 11.0.
  • Konfigurieren Sie jede Ereignisquelle für die Kommunikation mit dem NetWitness SuiteLog Collector.  

Hinzufügen eines Local und Remote Collector zu NetWitness Suite

So fügen Sie einen Local Collector oder Remote Collector zu NetWitness Suite hinzu:

  1. Navigieren Sie zu ADMIN > Services.
  2. Klicken Sie auf und wählen Sie im Menü Log Collector aus.

    Das Dialogfeld Service hinzufügen wird angezeigt.

  3. Definieren Sie die Details des Service Protokollsammlung.
  4. Wählen Sie Verbindung testen aus, um sicherzustellen, dass der Local oder Remote Collector hinzugefügt wurde.

Konfigurieren von Protokollsammlung

Sie wählen den Log Collector, d. h. entweder einen Local Collector (LC) oder einen Remote Collector (RC), aus, für den Sie Parameter in der Ansicht „Services“ definieren möchten. In der folgenden Abbildung wird dargestellt, wie die Ansicht „Services“ angezeigt und ein Log Collector-Service ausgewählt werden kann. Außerdem wird die Konfigurationsparameterschnittstelle für diesen Service dargestellt.

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Protokollsammlungsservice aus.

  3. Klicken Sie unter Aktionen auf und wählen Sie Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Definieren Sie globale Protokollsammlungsparameter in der Registerkarte Allgemein.
  5. Bei einem

    • Local Collector zeigt NetWitness Suite die Registerkarte Remote Collectors an. Wählen Sie auf dieser Registerkarte die Remote Collectors aus, von denen der Local Collector Ereignisse abruft.
    • Remote Collector zeigt NetWitness Suite die Registerkarte Local Collectors an. Wählen Sie auf dieser Registerkarte die Local Collectors aus, an die der Remote Collector Ereignisse weitergibt.
  6. Bearbeiten Sie Konfigurationsdateien als Textdateien in der Registerkarte Dateien.
  7. Definieren Sie die Sammlungsprotokollparameter in der Registerkarte Ereignisquellen.
  8. Definieren Sie eine Lockbox, Chiffrierschlüssel und Zertifikate in der Registerkarte „Einstellungen“.
  9. Definieren Sie die Parameter des Appliance-Services in der Registerkarte Appliance-Servicekonfiguration.

Datenflussdiagramm

Sie verwenden die durch den Log Collector-Service gesammelten Protokolldaten, um den Zustand Ihres Unternehmens zu überwachen und Ermittlungen durchzuführen. Die folgende Abbildung zeigt, wie Daten durch die NetWitness Suite-Protokollsammlung zu Investigation fließen.

Figure shows data flowing through the NetWitness Log Collection to Investigation.

You are here
Table of Contents > Setup > Hinzufügen von Local und Remote Collectors

Attachments

    Outcomes