ESM: Importieren von Ereignisquellen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

Sie können Ereignisquellenattribute aus einer CSV-formatierten Datei importieren. Um Informationen aus einer CMDB (Configuration Management Database), einer Tabelle oder einer anderen Datei zu importieren, müssen Sie die Informationen zunächst in eine CSV-Datei konvertieren oder als solche speichern.

Hinweis: Die folgenden Identifizierungsattribute werden besonders behandelt: IP, IPv6, Hostname, Ereignisquelltyp, Log Collector und Log Decoder. Wenn Sie eine Ereignisquelle importieren, die für eines dieser Felder einen anderen Wert enthält (verglichen mit dem Wert in NetWitness Platform), wird der ursprüngliche Wert in NetWitness Platform nicht überschrieben.

Die importierten Attribute werden der zugehörigen Ereignisquelle zugewiesen und stehen zur Verwendung in Regeln für die Erstellung von Ereignisquellengruppen zur Verfügung.

RSA NetWitness Platform behandelt die Importdatei als den korrekten, vollständigen Datensatz. Daraus resultieren die folgenden Verhaltensweisen im Zusammenhang mit dem Importieren von Ereignisquellenattributen:

  • Standardmäßig werden beim Importieren von Attributen nur Attribute vorhandener Ereignisquellen durch das System aktualisiert.
  • Wenn die Ereignisquelle zwar in der Importdatei, nicht aber in NetWitness Platform vorhanden ist, werden die Attribute für diese Ereignisquelle ignoriert. Das bedeutet, NetWitness Platform erstellt keine neuen Ereignisquellen für diese Attribute.
  • Wenn die Ereignisquelle in der Importdatei und in NetWitness Platform vorhanden ist, werden die Werte für diese Ereignisquelle überschrieben.
  • Wenn ein Attribut in der Importdatei leer ist, wird das entsprechende Attribut in NetWitness Platform entfernt.
  • Wenn ein Attribut in der Importdatei nicht spezifiziert ist, wird das entsprechende Attribut in NetWitness Platform ignoriert (d. h., der Wert wird nicht entfernt).

Hinweis: Es gibt einen Unterschied zwischen einem leeren Attribut und einem nicht spezifizierten Attribut. Wenn ein Attribut angegeben aber leer ist, wird vorausgesetzt, dass es leer sein soll, und NetWitness Platform entfernt den Wert für das Attribut für die zugehörige Ereignisquelle. Wenn ein Attribut jedoch überhaupt nicht spezifiziert ist, wird vorausgesetzt, dass keine Änderung erwartet wird.

Die obigen Verhaltensweisen sind Standardverhalten – Sie können diese wie im folgenden Verfahren angegeben ändern.

Importieren von Ereignisquellenattributen

So importieren Sie Ereignisquellenattribute aus einer Datei:

  1. Navigieren Sie zu ADMINISTRATION > Ereignisquellen.
  2. Wählen Sie die Registerkarte Verwalten aus.

    Die Ansicht „Ereignisquellen“ wird auf der Registerkarte „Verwalten“ angezeigt.

    Event Sources Manage tab is displayed.

  3. Wählen Sie im Menü „Importieren/Exportieren“ in der Symbolleiste () die Option Importieren () aus.

    Das Dialogfeld Ereignisquelle hinzufügen wird angezeigt.

    Import Event Sources dialog is displayed.

  4. Navigieren Sie zu der Importdatei und aktivieren Sie die entsprechenden Kästchen:

    • Standard: Das Standardverhalten ist oben beschrieben.
    • Nur hinzufügen: Importiert ein Attribut nur, wenn das entsprechende Feld in NetWitness Platform leer ist. Es werden also keine vorhandenen Werte überschrieben.
    • Werte nicht löschen: Die Attributwerte in NetWitness Platform für Elemente, die in der Importdatei leer sind, werden nicht gelöscht.
    • Unbekannte Quellen hinzufügen: Fügt basierend auf den Elementen in der Importdatei neue Ereignisquellen hinzu.

    Hinweis: Sie können mehrere Optionen auswählen.

  5. Klicken Sie auf Import.
  6. Klicken Sie auf Ja im Bestätigungsdialogfeld, um den Import durchzuführen.

Troubleshooting der Importdatei

Wenn die Importdatei nicht korrekt formatiert ist oder erforderliche Informationen fehlen, wird ein Fehler angezeigt und die Datei wird nicht importiert.

Überprüfen Sie Folgendes:

  • Wenn Sie unbekannte Quellen hinzufügen, muss jede Zeile in der Datei eine Kombination der erforderlichen Attribute enthalten:
    • IP, IPv6 oder Hostname und
    • Ereignisquelltyp
  • Die erste Zeile der Datei muss Header-Namen enthalten, die mit den Namen in NetWitness Platform übereinstimmen. Sie können eine einzelne Ereignisquelle exportieren, um eine Liste der korrekten Header-Namen zu erhalten. Betrachten Sie die exportierte CSV-Datei: die erste Zeile der Datei enthält den korrekten Satz Attribute/Spaltennamen.

Wenn die Importdatei nicht korrekt formatiert ist oder erforderliche Informationen fehlen, wird ein Fehler angezeigt und die Datei wird nicht importiert.

You are here
Table of Contents > Managen von Ereignisquellengruppen > Importieren von Ereignisquellen

Attachments

    Outcomes