CBA: Mapeos de flujos analíticos de Cloud Gateway

Document created by RSA Information Design and Development on Oct 19, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En el panel Mapeos de flujos analíticos de Cloud Gateway (ADMINISTRAR > Sistema > Cloud Gateway), debe definir los recursos que usa RSA NetWitness Suite Cloud Behavioral Analytics (CBA) para detectar automáticamente las amenazas avanzadas.

Puede configurar RSA Cloud Gateway de modo que cargue automáticamente los flujos analíticos desde uno o más Concentrators a Cloud Behavioral Analytics (CBA). Un flujo analítico es una canalización de actividad de tráfico seleccionada que se utiliza para el procesamiento de analítica. Por ejemplo, los flujos analíticos pueden incluir el tráfico de HTTP, FTP, SMB o DNS. Con la creación y la implementación de mapeos de flujos analíticos entre orígenes de Concentrator y servicios Cloud Gateway, los flujos de datos se reenvían automáticamente a la nube para el procesamiento de analítica.

Flujo de trabajo

En este flujo de trabajo se muestra el proceso de creación y habilitación de un mapeo de flujos analíticos de Cloud Gateway de modo que comience a detectar automáticamente las amenazas avanzadas.

Cloud Gateway Analytics Stream Mappings workflow

Antes de crear un mapeo de flujos analíticos de Cloud Gateway, asegúrese de que los hosts y los servicios de NetWitness Suite que desea usar para los mapeos estén en línea y disponibles. Todos los servicios deben estar sincronizados con un origen de tiempo coherente. Asegúrese de que los Concentrators estén recopilando los datos requeridos. La habilitación de Cloud Behavioral Analytics requiere el aprovisionamiento de los servicios Cloud Gateway.

Cuando crea un mapeo, usted selecciona un flujo analítico para mapear, como HTTP. A continuación, selecciona los orígenes de datos, como Concentrators, que se usarán para ese flujo analítico, junto con un servicio Cloud Gateway para procesar los datos. Cuando está listo para comenzar a agregar los datos, usted implementa el mapeo. (Futuro) Los analistas pueden ver las amenazas detectadas para ese flujo analítico en la interfaz del usuario de NetWitness Suite.

¿Qué desea hacer?

                                           
Función Deseo…Mostrarme cómo
Administrador

Verificar que los hosts y los servicios de NetWitness Suite estén en línea y disponibles.

ADMINISTRAR > Hosts y ADMINISTRAR > Servicios
Consulte Guía de introducción de hosts y servicios.

Administrador

Asegúrese de que los Concentrators estén recopilando los datos requeridos.

Consulte Guía de configuración de Broker y Concentrator.

Administrador

Aprovisionar el Cloud Gateway.

Aprovisionar un Cloud Gateway

AdministradorCrear mapeos de flujos analíticos de Cloud Gateway*

Mapeo de flujos analíticos de Cloud Gateway

AdministradorImplementar mapeos de flujos analíticos de Cloud Gateway*

Mapeo de flujos analíticos de Cloud Gateway

Administrador,
analista
Ver las amenazas detectadas.

Consulte Guía del usuario de NetWitness Respond y Guía del usuario de NetWitness Investigate.

*Puede realizar estas tareas aquí (es decir, en el panel Mapeos de flujos analíticos de Cloud Gateway).

Temas relacionados

Vista rápida

En el siguiente ejemplo se muestra un mapeo de flujos analíticos de Cloud Gateway. La configuración define los orígenes de datos para el flujo analítico seleccionado y el servicio Cloud Gateway que procesará los eventos desde esos orígenes de datos.

Cloud Gateway Analytics Stream Mappings diagram

                                 
1Muestra el panel Mapeos de flujos analíticos de Cloud Gateway.
2Muestra el estado del mapeo.
3El nombre del flujo analítico que está mapeado.
4Orígenes de datos, como Concentrators, asignados al mapeo.
5El servicio Cloud Gateway que procesa los datos del mapeo.
6La configuración del tiempo de retardo (en minutos) en los orígenes de datos del mapeo.
7Acciones para cambiar la configuración del flujo analítico, implementar mapeos y anular la implementación de mapeos.

Barra de herramientas

En la siguiente tabla se describen las acciones de la barra de herramientas.

                       

Icono

Botón

Descripción

Add.png

Abre el cuadro de diálogo Crear mapeos, el cual permite crear un mapeo. Cree un mapeo por separado para cada flujo analítico.
Implemente los mapeos después de crearlos y revisarlos.

Delete icon

Elimina un mapeo.

  • Puede eliminar un mapeo con un estado de Implementación anulada en cualquier momento. Puesto que un mapeo en el estado Implementación anulada no está implementado y no se está ejecutando, no afecta la agregación de datos.

  • La eliminación de un mapeo implementado borra la configuración en el servidor del host, revierte la implementación para ese mapeo y detiene la extracción de datos del origen de datos para ese flujo analítico. Debe anular la implementación de un mapeo con un estado de Implementado antes de eliminarlo.

Implementar ahoraDespués de crear los mapeos, debe implementarlos para iniciar la agregación de datos para los flujos analíticos. Puede seleccionar uno o más mapeos con un estado de Implementación anulada para implementarlos.

Nota: Si desea realizar cambios en un mapeo implementado, como agregar o quitar Concentrators o cambiar el servicio, debe anular la implementación y eliminar el mapeo existente y, a continuación, crear e implementar un nuevo mapeo para ese flujo analítico.

Mapeos de flujos analíticos de Cloud Gateway

En la siguiente tabla se describen los mapeos de flujos analíticos de Cloud Gateway.

                                       

Icono

Campo

Descripción

Select iconPara seleccionar un mapeo individual, seleccione la casilla de verificación junto al mapeo.
Estado

Muestra el estado del mapeo. Hay dos estados:

Implementación anulada: Un mapeo con implementación anulada mapea un flujo analítico a orígenes y a un servicio Cloud Gateway. No inicia la agregación de datos para el flujo analítico hasta que el mapeo se implementa.

Implementado: Un mapeo implementado está implementado y en ejecución. En un mapeo implementado, el servicio Cloud Gateway seleccionado usa agregación basada en consultas para recopilar el tráfico filtrado adecuado para el flujo analítico seleccionado desde los Concentrators.

Flujo analíticoIndica el flujo analítico seleccionado. Un flujo analítico es una canalización de actividad de tráfico seleccionada que se utiliza para el procesamiento de analítica. Por ejemplo, los flujos analíticos pueden incluir el tráfico de HTTP, FTP, SMB o DNS. Con la creación y la implementación de mapeos de flujos analíticos entre orígenes de Concentrator y servicios Cloud Gateway, los flujos de datos se reenvían automáticamente a la nube para el procesamiento de analítica.
OrígenesLos orígenes son los orígenes de datos, como Concentrators, desde los cuales el Cloud Gateway agregará los datos del flujo analítico especificado.
ServicioIndica el servicio Cloud Gateway que procesará los datos del flujo analítico especificado. El servicio seleccionado debe estar sincronizado con un origen de tiempo coherente.
Tiempo de retardo (minutos)

Especifica el retraso de tiempo constante en minutos, el cual se suma para evitar la pérdida de eventos que los orígenes de datos procesan durante períodos de gran actividad. Por ejemplo, el rendimiento del Concentrator varía en función de factores como carga entrante, consultas continuas e indexación. Debido a estos factores, es posible que un Concentrator no pueda agregar eventos en tiempo real, lo que genera el retraso.

El parámetro Tiempo de retardo da al Concentrator la oportunidad de terminar de agregar todos los datos.

Los datos se agregan a la hora actual (sistema) - tiempo de retardo. La configuración de Tiempo de retardo es útil cuando la agregación de datos en un Concentrator se realiza con lentitud. El tiempo de retardo garantiza que Cloud Behavioral Analytics (CBA) no procese los datos que llegan al Concentrator dentro de la ventana de tiempo de retardo, de modo que haya un retraso adecuado para asegurarse de que CBA pueda procesar todos los eventos que se generan en la empresa.

Por ejemplo, si el tiempo de retardo es 30 minutos y actualmente son las 14:00 h, el Concentrator comienza a extraer registros a las 13:30 h. La ventana de tiempo de retardo, 30 minutos en este ejemplo, permanece constante a medida que avanza la hora. Cuando la hora actual avanza hasta las 14:01 h, el Concentrator extrae los datos al minuto siguiente, a las 13:31 h, etc.

Importante: El tiempo de retardo define el búfer entre la hora actual y la hora en que el flujo analítico recopila los datos.

Precaución: RSA recomienda que los administradores ajusten el parámetro Tiempo de retardo de forma dinámica en función del rendimiento de cada uno de los Concentrators para evitar la pérdida de eventos durante la agregación.

Actions icon

Permite seleccionar acciones adicionales para el mapeo de flujos analíticos seleccionado:

  • Editar flujo: Permite configurar el tiempo de retardo para el mapeo seleccionado.

  • Implementar: Implementa el mapeo seleccionado. El servicio Cloud Gateway especificado comienza a extraer datos de los orígenes de datos para ese flujo analítico.

  • Anular implementación: Anula la implementación del mapeo seleccionado. El servicio Cloud Gateway especificado deja de extraer datos de los orígenes de datos para ese flujo analítico.

Precaución: Anular la implementación de un mapeo con un estado de Implementado afectará la agregación de datos para ese flujo analítico.

 

You are here
Table of Contents > Referencias de Cloud Gateway > Mapeos de flujos analíticos de Cloud Gateway

Attachments

    Outcomes