Konfigurationsleitfaden für Windows-Legacy- und NetApp-Sammlung

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Dieses Windows-Legacy-Protokoll sammelt Ereignisse aus Windows-Legacy-Ereignisquellen (Windows 2003 oder früher) und CIFS-Auditereignisse aus NetApp ONTAP-Ereignisquellen.

Sie müssen die Protokollsammlung bereitstellen, d. h. einen Local Collector und einen Windows-Legacy-Remote-Collector einrichten, bevor Sie das Windows-Legacy-Sammlungsprotokoll konfigurieren können.

Funktionsweise der Windows-Legacy- und NetApp-Sammlung

Sie verwenden das Windows-Legacy-Sammlungsprotokoll zum Konfigurieren von NetWitness Suite für die Sammlung von Ereignissen aus:

  • Microsoft Windows-Legacy-Ereignisquellen (Ereignisquellen von Windows 2003 und früher)
  • NetApp-Ereignisquellen

Ereignisquellen aus Windows 2003 und früher

Windows-Legacy-Ereignisquellen stammen aus älteren Windows-Versionen (wie Windows 2000 und Windows 2003).  Das Windows-Legacy-Sammlungsprotokoll führt Sammlungen aus Windows-Ereignisquellen durch, die bereits für die enVision-Sammlung konfiguriert worden sind, ohne dass sie neu konfiguriert werden müssen. Sie richten diese Ereignisquellen unter dem Ereignisquelltyp Windows ein. 

NetApp-Ereignisquellen

NetApp-Appliances, in denen Data ONTAP ausgeführt wird, unterstützen ein aktives Auditing-Framework, das Windows Server ähnelt. Ist dieses Framework konfiguriert, generiert und speichert es Auditereignisse im Windows-Dateiformat .evt. Das Windows-Legacy-Sammlungsprotokoll unterstützt die Sammlung von Ereignissen aus diesen NetApp-Dateien mit der Erweiterung .evt.  Sie richten diese Ereignisquellen unter dem Ereignisquelltyp netapp_evt ein. 

Die NetApp-Data-ONTAP-Appliance ist so konfiguriert, dass CIFS-Auditingereignisse generiert werden und regelmäßig als .evt-Dateien in einem Format gespeichert werden, das den Zeitstempel im Dateinamen aufweist. Weitere Informationen finden Sie im Konfigurationsleitfaden für ONTAP-Ereignisquelldaten der Network Appliance auf RSA Link. Im Sammlungsprotokoll wird der Zeitstempel der zuletzt verarbeiteten .evt-Datei gespeichert, um den Sammlungsstatus nachzuverfolgen.

Spezifische NetApp-Parameter

Die meisten Parameter, die im Dialogfeld Quelle hinzufügen/bearbeiten zur Verfügung stehen, gelten sowohl für Windows-Legacy- als auch für NetApp-Ereignisquellen.

Folgende zwei Parameter gelten allerdings nur für die NetApp-Ereignisquellen.

  • Ereignisverzeichnispfad: Die NetApp-Appliance erzeugt Ereignisdaten und speichert sie in .evt-Dateien in einem gemeinsam nutzbaren Verzeichnis in der NetApp-Appliance. NetWitness Suite erfordert, dass Sie diesen Verzeichnispfad im Parameter „Ereignisverzeichnispfad“ angeben.
  • Ereignisdateipräfix: Ähnlich wie beim Ereignisverzeichnispfad müssen Sie auch bei NetWitness Suite das Präfix (z. B. adtlog.) der Ereignisdaten in den .evt-Dateien angeben, damit NetWitness Suite diese Daten verarbeiten kann.

In jedem Abfragezyklus sucht NetWitness Suite im konfigurierten freigegebenen NetApp-Pfad nach den .evt-Dateien, die Sie über die Parameter „Ereignisverzeichnispfad“ und „Ereignisdateipräfix“ angegeben haben. NetWitness Suite:

  • sortiert die Dateien, die dem Format Ereignisdateipräfix.JJMMTThhmmss.evt entsprechen, in aufsteigender Reihenfolge.
  • verwendet den Zeitstempel der zuletzt verarbeiteten Datei, um die Dateien zu ermitteln, die noch verarbeitet werden müssen. Wenn NetWitness Suite eine noch nicht vollständig verarbeitete Datei findet, werden die bereits verarbeiteten Ereignisse übersprungen.

Bereitstellungsszenario

Mit dem Windows-Legacy-Protokoll werden Ereignisdaten aus Ereignisquellen von Windows 2003 oder früher und aus Ereignisquellen der NetApp-ONTAP-Appliance gesammelt. Der Windows Legacy Remote Collector ist der Windows Legacy Collector von Security Analytics, der in Ihrer Ereignisquellendomain auf einem physischen oder virtuellen Windows 2008-64-Bit-Server installiert ist.

Windows Legacy Multi-Domain workflow.

You are here
Table of Contents > Sammlungsprotokolle > Konfigurationsleitfaden für Windows-Legacy- und NetApp-Sammlung

Attachments

    Outcomes