Endpoint : Configurer le transfert de métadonnées pour les agents NetWitness Endpoint 11.1

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Vous pouvez afficher les métadonnées Endpoint dans la vue Enquêter de NetWitness Suite (Naviguer et Analyse d'événements), à l'instar des Logs et des Paquets. Vous devez activer le transfert de métadonnées afin de transférer les catégories suivantes :

                       
Système d'exploitationCatégories
Windows Fichier, Service, DLL, Processus, Tâche, Autorun et Machine
Linux Fichier, Bibliothèque chargée, Systemd, Processus, Cron, Initd et Machine
MacFichier, Daemon, Processus, Tâche, Dylib, Autorun et Machine

Configuration du transfert de métadonnées

  1. Accédez à ADMIN > Services.

  2. Dans la vue Services, sélectionnez le service Serveur Endpoint.

  3. Cliquez sur et sélectionnez > Vue > Config.

  4. Cliquez sur l'onglet Général.

    Configure the Endpoint Meta

  5. Cliquez sur Add Endpoint Meta dans la barre d'outils.
    La boîte de dialogue Services disponibles s'affiche.

  6. Sélectionnez le service Log Decoder et cliquez sur OK.
    La boîte de dialogue Ajouter un service s'affiche. Vous pouvez ajouter un seul service Log Decoder.
    Add Services

  7. Entrez les informations d'identification de l'administrateur pour l'authentification.

  8. (Facultatif) Si vous activez les Données brutes, un bref résumé de la session avec les métadonnées est envoyé.

  9. (Facultatif) Si vous avez activé SSL sur le port REST du Log Decoder, sélectionnez l'option REST SSL. Par défaut, le port REST est 50202 pour non SSL et 56202 pour SSL.

  10. Sélectionnez l'option Protobuf SSL pour activer SSL sur Protobuf. Le port Protobuf par défaut est 50202.

  11. Cliquez sur Enregistrer.

Après avoir configuré le transfert de métadonnées, veillez à :

  • Démarrer la capture dans le Log Decoder
  • Démarrer l'agrégation sur le Concentrator
  • Ajouter le Log Decoder en tant que service dans le Concentrator

Démarrage du transfert de métadonnées vers le Log Decoder

  1. Dans la vue Configuration des métadonnées Endpoint, sélectionnez le service.
  2. Cliquez sur
    Le Serveur Endpoint commence à transférer les métadonnées vers le Log Decoder.

Arrêt du transfert de métadonnées vers le Log Decoder

  1. Dans la vue Configuration des métadonnées Endpoint, sélectionnez le service.
  2. Cliquez sur
    Le Serveur Endpoint arrête de transférer les métadonnées vers le Log Decoder.

Suppression du transfert de métadonnées

Remarque : Assurez-vous d'arrêter le service avant de supprimer le transfert de métadonnées.

  1. Dans la vue Configuration des métadonnées Endpoint, sélectionnez le service.
  2. Cliquez sur .
  3. Cliquez sur Appliquer.

Mappages de métadonnées des points de terminaison

Vous pouvez afficher les mappages de métadonnées par défaut ou modifier les mappages de métadonnées pour les points de terminaison.

Schéma JSON pour les mappages de métadonnées

Tous les mappages de métadonnées sont configurés à l'aide du schéma JSON. Vous trouverez ci-dessous un exemple de schéma JSON :

{

"metaKeyPairs" : [

{

"metaKeyPairsCategory" : "",

"keyPairs" : [

{

"endpointJpath" : "",

"metaName" : "",

"type" : "",

"enabled" : true

},

{

"endpointJpath" : "",

"metaName" : "",

"type" : "",

"enabled" : true

}

]

}

]

}

Les API suivantes sont utilisées pour afficher ou modifier les mappages de métadonnées :

  • get-default : affiche les configurations par défaut pour les mappages de métadonnées des points de terminaison.
  • get-custom : affiche les configurations personnalisées des mappages de métadonnées des points de terminaison.
  • set-custom : vous pouvez personnaliser les mappages de métadonnées des points de terminaison.

Afficher les mappages de métadonnées

Pour afficher les mappages de métadonnées des points de terminaison :

  1. Sur le serveur NW, exécutez la commande nw-shell dans l'invite de commandes.

  2. Exécutez la commande login et saisissez les informations d'identification.

  3. Connectez-vous au serveur Endpoint à l'aide de la commande suivante :
    connect --host <IP address> --port <number>

    Remarque : Le port par défaut est le port 7050.

  4. Exécutez les commandes suivantes :
    cd endpoint/meta
    cd get-default
    invoke

L'écran suivant présente les mappages de métadonnées par défaut :

Default meta mappings

Pour désactiver un mappage de métadonnées par défaut :

Saisissez la même valeur endpointJpath et définissez le paramètre enabled sur false.

Par exemple, si la valeur endpointJpath est Category et le paramètre enabled est true, saisissez la même valeur endpointJpath et définissez le paramètre enabled sur false.

Disable default meta mapping

Remarque : Ne modifiez pas la valeur metaKeyPairsCategory du schéma “COMMON”, “COMMON_MACHINE”, “COMMON_MACHINE_FOR_EVENTS”.

Pour modifier le nom ou le type de métadonnées :

Saisissez la même valeur endpointJpath et spécifiez les valeurs metaName et type.

Remarque : La valeur metaName doit exister dans le fichier table-map.xml du Log Decoder, index-concentrator.xml ou index-concentrator-custom.xml du Concentrator pour que metaName apparaisse dans la vue Enquêter.

Ajout ou modification des mappages de métadonnées

Pour ajouter ou modifier les mappages de métadonnées, exécutez l'API set-custom. La configuration metaKeyPairs fournie dans le fichier JSON doit correspondre au schéma JSON de la configuration par défaut reçue via l'API get-default.

  1. Sur le serveur NW, exécutez la commande nw-shell dans l'invite de commandes.

  2. Exécutez la commande login et saisissez les informations d'identification.

  3. Connectez-vous au serveur Endpoint à l'aide des commandes suivantes :
    connect --host <IP address> --port <number>

    Remarque : Le numéro de port par défaut est 7050)

  4. Exécutez les commandes suivantes :
    cd endpoint/meta
    cd set-custom
    invoke –file <json file>

Vous pouvez ajouter de nouvelles metaKeys en ajoutant les entrées dans le fichier qui sera téléchargé à l'aide de l'API set-custom. L'exemple suivant montre comment ajouter un nouveau mappage de métadonnées :

Add custom meta mapping

Affichage des mappages de métadonnées personnalisées

Pour afficher les mappages de métadonnées personnalisées, exécutez l'API get-custom.

Remarque : L'API get-custom renvoie des valeurs uniquement si les mappages de métadonnées sont modifiés à l'aide de l'API set-custom.

You are here
Table of Contents > Configurer le transfert de métadonnées pour les agents NetWitness Endpoint 11.1

Attachments

    Outcomes