Endpunkt: Konfigurieren der Weiterleitung von Metadaten für Agents von NetWitness Endpoint 11.1

Document created by RSA Information Design and Development on Oct 18, 2018
Version 1Show Document
  • View in full screen mode
 

Sie können die Endpunktmetadaten in NetWitness Investigate (Ansichten Navigation und Ereignisanalyse) anzeigen, ähnlich wie in NetWitness Logs and Packets. Sie müssen die Weiterleitung für Metadaten aktivieren, um die folgenden Kategorien weiterleiten zu können:

                       
BetriebssystemKategorien
Windows Datei, Service, DLL, Prozess, Aufgabe, Autorun und Rechner
Linux Datei, geladene Bibliothek, Systemd, Prozess, Cron, Initd und Rechner
MacDatei, Daemon, Prozess, Aufgabe, Dylib, Autorun und Rechner

Konfigurieren der Weiterleitung von Metadaten

  1. Navigieren Sie zu ADMIN > Services.

  2. Wählen Sie in der Ansicht „Services“ den Service Endpoint-Server aus.

  3. Klicken Sie auf und wählen Sie > Ansicht > Konfiguration aus.

  4. Klicken Sie auf die Registerkarte Allgemein.

    Configure the Endpoint Meta

  5. Klicken Sie in der Symbolleiste auf Add Endpoint Meta.
    Das Dialogfeld „Verfügbare Services“ wird angezeigt.

  6. Wählen Sie den Log Decoder-Service aus und klicken Sie auf OK.
    Das Dialogfeld „Service hinzufügen“ wird angezeigt. Sie können nur einen Log Decoder-Service hinzufügen.
    Add Services

  7. Geben Sie die Administratoranmeldedaten für die Authentifizierung ein.

  8. (Optional) Wenn Sie die Option „Rohdaten“ aktivieren, wird eine kurze Zusammenfassung der Sitzung zusammen mit den Metadaten gesendet.

  9. (Optional) Wenn Sie in Log Decoder SSL auf dem REST-Port aktiviert haben, wählen Sie die Option REST-SSL aus. Standardmäßig sind die REST-Ports für Nicht-SSL 50202 und für SSL 56202.

  10. Wählen Sie die Option Protobuf-SSL aus, um SSL auf Protobuf zu aktivieren. Standardmäßig ist der Protobuf-Port 50202.

  11. Klicken Sie auf Speichern.

Führen Sie nach dem Konfigurieren der Weiterleitung von Metadaten folgende Aktionen durch:

  • Starten Sie die Erfassung auf dem Log Decoder.
  • Starten Sie die Aggregation auf dem Concentrator.
  • Fügen Sie den Log Decoder als Service im Concentrator hinzu.

Starten der Weiterleitung von Metadaten zum Log Decoder

  1. Wählen Sie in der Konfigurationsansicht „Endpunktmetadaten“ den Service aus.
  2. Klicken Sie auf .
    Der Endpoint-Server leitet die Metadaten zum Log Decoder.

Beenden der Weiterleitung von Metadaten zum Log Decoder

  1. Wählen Sie in der Konfigurationsansicht „Endpunktmetadaten“ den Service aus.
  2. Klicken Sie auf .
    Der Endpoint-Server beendet die Weiterleitung der Metadaten zum Log Decoder.

Entfernen der Weiterleitung von Metadaten

Hinweis: Stellen Sie sicher, dass Sie den Service beenden, bevor Sie die Weiterleitung von Metadaten entfernen.

  1. Wählen Sie in der Konfigurationsansicht „Endpunktmetadaten“ den Service aus.
  2. Klicken Sie auf .
  3. Klicken Sie auf Anwenden.

Metadatenzuordnungen für Endpunkte

Sie können die Standard-Metadatenzuordnungen anzeigen oder die Metadatenzuordnungen für Endpunkte ändern.

JSON-Schema für Metadatenzuordnungen

Alle Metadatenzuordnungen werden mit dem JSON-Schema konfiguriert. Hier ist ein Beispiele für ein JSON-Schema:

{

"metaKeyPairs" : [

{

"metaKeyPairsCategory" : "",

"keyPairs" : [

{

"endpointJpath" : "",

"metaName" : "",

"type" : "",

"enabled" : true

},

{

"endpointJpath" : "",

"metaName" : "",

"type" : "",

"enabled" : true

}

]

}

]

}

Die folgenden APIs werden verwendet, um die Metadatenzuordnungen anzuzeigen oder zu ändern:

  • get-default: Gibt die Standardkonfigurationen für die Metadatenzuordnungen des Endpunkts zurück.
  • get-custom: Gibt die benutzerdefinierten Konfigurationen für die Metadatenzuordnungen des Endpunkts zurück.
  • set-custom: Sie können die Metadatenzuordnungen des Endpunkts anpassen.

Anzeigen der Metadatenzuordnungen

So zeigen Sie die Metadatenzuordnungen des Endpunkts an:

  1. Führen Sie auf dem NW-Server über die Befehlszeile den Befehl nw-shell aus.

  2. Führen Sie den Befehl login aus und geben Sie die Anmeldedaten ein.

  3. Stellen Sie mit folgendem Befehl eine Verbindung zum Endpoint-Server her:
    connect --host <IP address> --port <number>

    Hinweis: Der Standardport ist 7050.

  4. Führen Sie folgende Befehle aus:
    cd endpoint/meta
    cd get-default
    invoke

Der folgende Bildschirm zeigt die Standard-Metadatenzuordnungen an:

Default meta mappings

So deaktivieren Sie eine Standard-Metadatenzuordnung:

Geben Sie für „endpointJpath“ denselben Wert ein und legen Sie den Parameter „enabled“ auf false fest.

Beispiel: Wenn der Wert für „endpointJpath“ Category ist und der Parameter „enabled“ auf true festgelegt ist, geben Sie für „endpointJpath“ denselben Wert ein und legen Sie den Parameter „enabled“ auf false fest.

Disable default meta mapping

Hinweis: Ändern Sie im Schema nicht den Wert für „metaKeyPairsCategory“: „COMMON“, „COMMON_MACHINE“, „COMMON_MACHINE_FOR_EVENTS“.

So ändern Sie den Metanamen oder den Metatyp:

Geben Sie für „endpointJpath“ denselben Wert ein und geben Sie für „metaName“ und „type“ Werte ein.

Hinweis: Der Wert von „metaName“ muss in der Datei „table-map.xml“ des Log Decoder, in der Datei „index-concentrator.xml“ oder in der Datei „index-concentrator-custom.xml“ des Concentrator vorhanden sein, damit der Wert von „metaName“ in der Ansicht „Untersuchen“ angezeigt wird.

Hinzufügen oder Ändern von Metadatenzuordnungen

Führen Sie zum Hinzufügen oder Ändern der Metadatenzuordnungen die API set-custom aus. Die metaKeyPairs-Konfiguration in der JSON-Datei sollte dem JSON-Schema der über die API get-default empfangenen Standardkonfiguration entsprechen.

  1. Führen Sie auf dem NW-Server über die Befehlszeile den Befehl nw-shell aus.

  2. Führen Sie den Befehl login aus und geben Sie die Anmeldedaten ein.

  3. Stellen Sie mit folgenden Befehlen eine Verbindung zum Endpoint-Server her:
    connect --host <IP address> --port <number>

    Hinweis: Die Standardportnummer ist 7050)

  4. Führen Sie folgende Befehle aus:
    cd endpoint/meta
    cd set-custom
    invoke –file <json file>

Sie können neue metaKeys hinzufügen, indem Sie der Datei, die hochgeladen wird, mit der API set-custom Einträge hinzufügen. Das folgende Beispiel zeigt, wie Sie eine neue Metadatenzuordnung hinzufügen:

Add custom meta mapping

Anzeigen der benutzerdefinierten Metadatenzuordnungen

Um die benutzerdefinierten Metadatenzuordnungen anzuzeigen, führen Sie die API get-custom aus.

Hinweis: Die API get-custom gibt nur dann Werte zurück, wenn die Metadatenzuordnungen mit der API set-custom geändert wurden.

You are here
Table of Contents > Setup Meta Forwarding to Log Decoder

Attachments

    Outcomes