ESM: Importieren von Ereignisquellen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Sie können Ereignisquellenattribute aus einer CSV-formatierten Datei importieren. Um Informationen aus einer CMDB (Configuration Management Database), einer Tabelle oder einer anderen Datei zu importieren, müssen Sie die Informationen zunächst in eine CSV-Datei konvertieren oder als solche speichern.

Hinweis: Die folgenden Identifizierungsattribute werden besonders behandelt: IP, IPv6, Hostname, Ereignisquelltyp, Log Collector und Log Decoder. Wenn Sie eine Ereignisquelle importieren, die für eines dieser Felder einen anderen Wert enthält (verglichen mit dem Wert in NetWitness Suite), wird der ursprüngliche Wert in NetWitness Suite nicht überschrieben.

Die importierten Attribute werden der zugehörigen Ereignisquelle zugewiesen und stehen zur Verwendung in Regeln für die Erstellung von Ereignisquellengruppen zur Verfügung.

RSA NetWitness Suite behandelt die Importdatei als den korrekten, vollständigen Datensatz. Daraus resultieren die folgenden Verhaltensweisen im Zusammenhang mit dem Importieren von Ereignisquellenattributen:

  • Standardmäßig werden beim Importieren von Attributen nur Attribute vorhandener Ereignisquellen durch das System aktualisiert.
  • Wenn die Ereignisquelle zwar in der Importdatei, nicht aber in NetWitness Suite vorhanden ist, werden die Attribute für diese Ereignisquelle ignoriert. Das bedeutet, NetWitness Suite erstellt keine neuen Ereignisquellen für diese Attribute.
  • Wenn die Ereignisquelle in der Importdatei und in NetWitness Suite vorhanden ist, werden die Werte für diese Ereignisquelle überschrieben.
  • Wenn ein Attribut in der Importdatei leer ist, wird das entsprechende Attribut in NetWitness Suite entfernt.
  • Wenn ein Attribut in der Importdatei nicht spezifiziert ist, wird das entsprechende Attribut in NetWitness Suite ignoriert (d. h., der Wert wird nicht entfernt).

Hinweis: Es gibt einen Unterschied zwischen einem leeren Attribut und einem nicht spezifizierten Attribut. Wenn ein Attribut angegeben aber leer ist, wird vorausgesetzt, dass es leer sein soll, und NetWitness Suite entfernt den Wert für das Attribut für die zugehörige Ereignisquelle. Wenn ein Attribut jedoch überhaupt nicht spezifiziert ist, wird vorausgesetzt, dass keine Änderung erwartet wird.

Die obigen Verhaltensweisen sind Standardverhalten – Sie können diese wie im folgenden Verfahren angegeben ändern.

Importieren von Ereignisquellenattributen

So importieren Sie Ereignisquellenattribute aus einer Datei:

  1. Navigieren Sie zu ADMINISTRATION > Ereignisquellen.
  2. Wählen Sie die Registerkarte Managen aus.

    Die Ansicht „Ereignisquellen“ wird auf der Registerkarte „Managen“ angezeigt.
    Die Ansicht „Ereignisquellen“ wird auf der Registerkarte „Managen“ angezeigt.

  3. Wählen Sie im Menü „Importieren/Exportieren“ in der Symbolleiste () die Option Importieren () aus.

    Das Dialogfeld Ereignisquelle hinzufügen wird angezeigt.

    Das Dialogfeld „Ereignisquelle hinzufügen“ wird angezeigt.

  4. Navigieren Sie zu der Importdatei und aktivieren Sie die entsprechenden Kästchen:

    • Standard: Das Standardverhalten ist oben beschrieben.
    • Nur hinzufügen: Importiert ein Attribut nur, wenn das entsprechende Feld in NetWitness Suite leer ist. Es werden also keine vorhandenen Werte überschrieben.
    • Werte nicht löschen: Die Attributwerte in NetWitness Suite für Elemente, die in der Importdatei leer sind, werden nicht gelöscht.
    • Unbekannte Quellen hinzufügen: Fügt basierend auf den Elementen in der Importdatei neue Ereignisquellen hinzu.

    Hinweis: Sie können mehrere Optionen auswählen.

  5. Klicken Sie auf Import.
  6. Klicken Sie auf Ja im Bestätigungsdialogfeld, um den Import durchzuführen.

Troubleshooting der Importdatei

Wenn die Importdatei nicht korrekt formatiert ist oder erforderliche Informationen fehlen, wird ein Fehler angezeigt und die Datei wird nicht importiert.

Überprüfen Sie Folgendes:

  • Wenn Sie unbekannte Quellen hinzufügen, muss jede Zeile in der Datei eine Kombination der erforderlichen Attribute enthalten:
    • IP, IPv6 oder Hostname und
    • Ereignisquelltyp
  • Die erste Zeile der Datei muss Header-Namen enthalten, die mit den Namen in NetWitness Suite übereinstimmen. Sie können eine einzelne Ereignisquelle exportieren, um eine Liste der korrekten Header-Namen zu erhalten. Betrachten Sie die exportierte CSV-Datei: die erste Zeile der Datei enthält den korrekten Satz Attribute/Spaltennamen.

Wenn die Importdatei nicht korrekt formatiert ist oder erforderliche Informationen fehlen, wird ein Fehler angezeigt und die Datei wird nicht importiert.

You are here
Table of Contents > Managen von Ereignisquellengruppen > ESM: Importieren von Ereignisquellen

Attachments

    Outcomes