Grundlagen zur Protokollsammlung

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Protokollsammlung – Funktionsweise

Der Log Collector-Service sammelt Protokolle aus Ereignisquellen der gesamten IT-Umgebung in einem Unternehmen und übermittelt diese Protokolle an andere NetWitness Suite-Komponenten. Die Protokolle und der beschreibende Inhalt werden als Metadaten für die Verwendung bei Ermittlungen und Berichten gespeichert.

Ereignisquellen sind die Ressourcen im Netzwerk, zum Beispiel Server, Schalter, Router, Speicherarrays, Betriebssysteme und Firewalls. In den meisten Fällen konfiguriert das IT-Team Ereignisquellen so, dass deren Protokolle an den Log Collector-Service gesendet werden, und der NetWitness Suite-Administrator konfiguriert den Log Collector-Service wiederum so, dass dieser Ereignisquellen abfragt und deren Protokolle abruft. So erhält der Log Collector alle Protokolle in Originalform.

Sammlungsprotokolle

RSA NetWitness Suite kann Protokolle aus einer Vielzahl von Ereignisquellen sammeln. Wenn Sie die Protokollsammlung für eine bestimmte Ereignisquelle konfigurieren, müssen Sie zuallererst das Protokoll kennen, das zum Sammeln der Protokolle verwendet wird.

                                                       
SammlungsprotokollBeschreibung
Kontrollpunkt

Sammelt Ereignisse von Kontrollpunkt-Ereignisquellen mithilfe von OPSEC LEA. OPSEC LEA ist die Sicherheitsprotokoll-Export-API für Kontrollpunktvorgänge, die die Extrahierung von Protokollen unterstützt. Nähere Informationen finden Sie unter Konfigurieren von Kontrollpunkt-Ereignisquellen in NetWitness Suite.

Datei

Sammelt Ereignisse aus Protokolldateien. Ereignisquellen generieren Protokolldateien, die mithilfe einer sicheren Dateitransfer-Methode an den Log Collector-Service übermittelt werden.

Nähere Informationen finden Sie unter Konfigurieren von Dateiereignisquellen in NetWitness Suite.

Netflow

Akzeptiert Ereignisse von Netflow v5 und Netflow v9. Weitere Informationen finden Sie unter Konfigurieren Sie Netflow-Ereignisquellen in NetWitness Suite.

ODBC

Sammelt Ereignisse von Ereignisquellen, die Auditdaten in einer Datenbank speichern, mithilfe einer Open Database Connectivity (ODBC)-Softwareschnittstelle Nähere Informationen finden Sie unter Konfigurieren von ODBC-Ereignisquellen in NetWitness Suite.

Plug-ins

Die Plug-ins-Sammlung ist ein allgemeines Sammlungssystem für die Erfassung von Ereignissen mithilfe von externen Skripten, die in anderen Sprachen geschrieben wurden. RSA stellt derzeit Sammlung für Amazon Web Services (AWS) CloudTrail und Microsoft Azure bereit.

Kunden können dieses Framework verwenden, um ihre eigenen Sammlungsprotokolle zu entwickeln.

SDEE

Sammelt Meldungen von Systemen zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS) und Services zur Vorbeugung von Eindringversuchen (Intrusion Prevention Service, IPS).
Nähere Informationen finden Sie unter Konfigurieren von SDEE-Ereignisquellen in NetWitness Suite.

SNMP-Trap

Akzeptiert SNMP-Traps. Nähere Informationen finden Sie unter Konfigurieren von SNMP-Ereignisquellen in NetWitness Suite.

Syslog

Akzeptiert Meldungen von Ereignisquellen, die Syslog-Meldungen auslösen. Weitere Informationen finden Sie unter Konfigurieren der Syslog-Ereignisquellen für Remote Collector.

Hinweis: Sie konfigurieren die Syslog-Sammlung nicht für Local Log Collectors. Sie müssen die Syslog-Sammlung nur für Remote Collectors konfigurieren.

VMware

Sammelt Ereignisse von einer virtuellen VMware-Infrastruktur. Nähere Informationen finden Sie unter Konfigurieren von VMware-Ereignisquellen in NetWitness Suite.

Windows

Sammelt Ereignisse von Windows-Rechnern, die das Microsoft Windows-Modell unterstützen. Windows 6.0 ist ein Framework zur Ereignisprotokollierung und Nachverfolgung, das seit Microsoft Windows Vista und Windows Server 2008 im Umfang des Betriebssystems enthalten ist. Nähere Informationen finden Sie unter Konfigurieren Sie Windows-Ereignisquellen in NetWitness Suite.

Windows-Legacy

Sammelt Ereignisse von:

  • älteren Windows-Versionen, zum Beispiel Windows 2000 und Windows 2003, und sammelt Ereignisquellen von Windows, die bereits für die Envision-Sammlung ohne den Bedarf einer Neukonfiguration konfiguriert sind.
  • NetApp ONTAP-Appliance-Ereignisquellen, sodass Sie nun NetApp evt-Dateien sammeln und analysieren können.
  • Weitere Informationen finden Sie unter Konfiguration für Windows-Legacy- und NetApp-Sammlung.

Hinweis: Sie installieren den NetWitness Suite-Windows-Legacy-Collector auf einem physischen oder virtuellen Windows 2008 R2 SP1 64-Bit-Server mithilfe der Datei SALegacyWindowsCollector-Versionsnummer.exe.

You are here
Table of Contents > Grundlagen zur Protokollsammlung

Attachments

    Outcomes