Protokollsammlung: Kontrollpunktparameter

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Das Protokoll „Kontrollpunktsammlung“ erfasst Ereignisse aus Kontrollpunkt-Ereignisquellen mit OPSEC LEA. OPSEC LEA ist die Sicherheitsprotokoll-Export-API für Kontrollpunktvorgänge, die die Extrahierung von Protokollen unterstützt.

Workflow

Dieser Workflow beschreibt die grundlegenden Aufgaben, die zum Starten der Erfassung von Ereignissen durch die Protokollsammlung durchgeführt werden müssen.

ThisThis workflow illustrates the basic tasks needed to start collecting events through Log Collection.

Was möchten Sie tun?

                                        
RolleZielDokumentation
Administrator

Führen Sie die grundlegende Implementierung der Protokollsammlung durch.

Grundlegende Implementierung
Administratoreine Lockbox zum Verwalten der Lockbox-Einstellungen einrichten.Einrichten einer Lockbox

Administrator

Starten von Protokollsammlungsservices

Starten von Sammlungsservices

Administrator*Konfigurieren Sie Protokollsammlungsprotokolle und Ereignisquellen. Konfigurieren von Sammlungsprotokollen und Ereignisquellen

Administrator

Überprüfen Sie, ob die Protokollsammlung funktioniert.

Überprüfen der ordnungsgemäßen Funktion der Protokollsammlung

*Sie können diese Aufgabe hier durchführen.

Verwandte Themen

Konfigurationsparameter für Kontrollpunktsammlung

Basisparameter

                                                       
ParameterBeschreibung
Name*Name der Ereignisquelle.
Adresse*IP-Adresse des Kontrollpunktservers.
Servername*Name des Kontrollpunktservers.
Zertifikatname

Zertifikatname für sichere Verbindungen zur Verwendung, wenn der Transportmodus https ist Wenn der Name festgelegt wird, muss das Zertifikat im Zertifikat-Truststore enthalten sein, den Sie auf der Registerkarte Einstellungen erstellt haben.

Wählen Sie ein Zertifikat aus der Drop-down-Liste aus. Die Dateibenennungskonvention für Kontrollpunkt-Ereignisquellenzertifikate lautet checkpoint_Name-der-Ereignisquelle.

Distinguished-Client

Geben Sie den Distinguished-Client-Namen des Kontrollpunktservers ein.

Cliententitätsname

Geben Sie den Cliententitätsnamen des Kontrollpunktservers ein.

Distinguished-Server

Geben Sie den Distinguished-Server-Namen des Kontrollpunktservers ein.

Aktiviert

Aktivieren Sie das Kontrollkästchen, um die Ereignisquellenkonfiguration zu aktivieren und die Sammlung zu starten. Das Kontrollkästchen ist standardmäßig aktiviert.

Zertifikat mithilfe von Pull übertragen

Aktivieren Sie das Kontrollkästchen, um ein Zertifikat das erste Mal abzurufen.  Durch das Übertragen eines Zertifikats per Pull wird es vom Truststore zur Verfügung gestellt.

Zertifikatserveradresse

Die IP-Adresse des Servers, auf dem sich das Zertifikat befindet. Der Standardwert ist die Adresse der Ereignisquelle.

Passwort

Nur aktiviert, wenn Sie das Kontrollkästchen Zertifikat mithilfe von Pull übertragen zum ersten Mal aktivieren. Zum Übertragen des Zertifikats per Pull ist ein Passwort erforderlich. Das Passwort ist der Aktivierungsschlüssel, der beim Hinzufügen einer OPSEC-Anwendung zum Kontrollpunkt auf dem Kontrollpunkt erstellt wurde.

Bestimmen der erweiterten Parameterwerte für die Kontrollpunktsammlung

Es werden weniger Systemressourcen verbraucht, wenn Sie eine Kontrollpunkt-Ereignisquellenverbindung dazu konfigurieren, für eine bestimmte Dauer und ein bestimmtes Ereignisvolumen geöffnet zu bleiben (vorübergehende Verbindung). In RSA NetWitness Suite wird standardmäßig eine vorübergehende Verbindung unter Verwendung der folgenden Verbindungsparameter hergestellt:

  • Polling-Intervall = 180 (3 Minuten)
  • Max. Abrufdauer = 120 (2 Minuten)
  • Max. Ereignisse-Abruf = 5.000 (5.000 Ereignisse pro Polling-Intervall)
  • Max. Abruf-Inaktivitätsdauer = 0

Bei Kontrollpunkt-Ereignisquellen mit sehr hoher Aktivität empfiehlt sich die Einrichtung einer Verbindung, die geöffnet bleibt, bis Sie die Sammlung beenden (dauerhafte Verbindung). Dies stellt sicher, dass die Kontrollpunktsammlung die Geschwindigkeit der Ereignisse beibehält, die durch diese aktiven Ereignisquellen erzeugt wird. Die dauerhafte Verbindung vermeidet Neustarts und Verzögerungen bei der Verbindung und verhindert, dass die Kontrollpunktsammlung hinter der Ereigniserzeugung zurückbleibt.

Um eine dauerhafte Verbindung für eine Kontrollpunkt-Ereignisquelle zu etablieren, stellen Sie die folgenden Parameter auf die folgenden Werte ein:

  • Polling-Intervall = -1
  • Max. Abrufdauer = 0
  • Max. Ereignisse-Abruf = 0
  • Max. Abruf-Inaktivitätsdauer = 0
                                                   
ParameterBeschreibung
PortDer Port auf dem Kontrollpunktserver, mit dem der Log Collector eine Verbindung herstellt. Der Standardwert ist 18184.
Protokolltyp sammeln

Der Typ der Protokolle, die Sie sammeln möchten.  Gültige Werte:

  • Audit – Sammelt Auditereignisse.
  • Sicherheit – Sammelt Sicherheitsereignisse.

Wenn Sie sowohl Audit- als auch Sicherheitsereignisse sammeln möchten, ist die Erstellung einer doppelten Ereignisquelle erforderlich. Beispiel: Sie erstellen zuerst eine Ereignisquelle mit der Option Audit. Für diese Ereignisquelle wird ein Zertifikat per Pull in den Truststore übertragen. Als Nächstes erstellen Sie eine weitere Ereignisquelle mit denselben Werten, außer dass Sie als Protokolltyp sammelndie Option Sicherheit auswählen. In Zertifikatname wählen Sie dasselbe Zertifikat aus, das Sie bei der Einrichtung des ersten Parametersatzes für diese Ereignisquelle per Pull übertragen haben, und Sie stellen sicher, dass Zertifikat mithilfe von Pull übertragen nicht aktiviert ist.

Protokolle sammeln von

Wenn Sie eine Kontrollpunkt-Ereignisquelle einrichten, werden die Ereignisse von NetWitness aus der aktuellen Protokolldatei gesammelt. Gültige Werte:

  • Jetzt – Beginnt jetzt mit dem Sammeln von Protokollen, also zu diesem Zeitpunkt in der aktuellen Protokolldatei. 
  • Protokollstart – Sammelt Protokolle ab dem Anfang der aktuellen Protokolldatei.

Wenn Sie als Wert für diesen Parameter „Protokollstart“ auswählen, sammeln Sie möglicherweise eine sehr große Menge von Daten. Dies hängt davon ab, wie lange die derzeitige Protokolldatei bereits Ereignisse sammelt. Beachten Sie, dass diese Option nur für die erste Datenerfassungssitzung wirksam ist.

Polling-Intervall

Intervall (Zeit in Sekunden) zwischen jeder Abfrage. Der Standardwert ist 180.

Wenn Sie beispielsweise 180 angeben, plant der Collector eine Abfrage der Ereignisquelle alle 180 Sekunden. Wenn der vorherige Abfragezyklus noch ausgeführt wird, wird gewartet, bis dieser Zyklus abgeschlossen ist. Wenn eine große Anzahl Ereignisquellen abgefragt wird, kann es länger als 180 Sekunden dauern, bis die Abfrage beginnt, weil die Threads beschäftigt sind.

Max. AbrufdauerDie maximale Dauer eines Abfragezyklus (wie lange der Zyklus dauert) in Sekunden.
Max. Ereignisse-AbrufDie maximale Anzahl der Ereignisse pro Abfragezyklus (wie viele Ereignisse pro Abfragezyklus gesammelt werden)
Max. Abruf-InaktivitätsdauerMaximale Inaktivitätsdauer, in Sekunden, eines Abfragezyklus. 0 gibt keine Begrenzung an.> 300 ist der Standardwert.
WeiterleitungAktiviert oder deaktiviert den Kontrollpunktserver als Weiterleiter. Diese Option ist standardmäßig deaktiviert.

Protokolltyp (Name-Werte-Paar)

Protokolle von der Ereignisquelle im Name-Wert-Format. Diese Option ist standardmäßig deaktiviert.

Debug

Achtung: Aktivieren Sie nur dann das Debugging (legen Sie diesen Parameter auf „Ein“ oder „Ausführlich“ fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggens wirkt sich negativ auf die Performance des Log Collector aus.

Aktiviert oder deaktiviert die Debug-Protokollierung für die Ereignisquelle.

Gültige Werte:

  • Aus = (Standard) deaktiviert
  • Ein = aktiviert
  • Ausführlich = aktiviert im ausführlichen Modus – fügt Thread-Informationen und Quellkontextinformationen zu den Meldungen hinzu

Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Die Debug-Protokollierung ist ausführlich. Begrenzen Sie daher die Anzahl der Ereignisquellen, um die Auswirkungen auf die Performance zu minimieren.

Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich).

Previous Topic:Azure-Parameter
Next Topic:Dateiparameter
You are here
Table of Contents > Referenz > Kontrollpunktparameter

Attachments

    Outcomes