CBA: Mapeo de flujos analíticos de Cloud Gateway

Document created by RSA Information Design and Development on Oct 19, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

Puede configurar RSA Cloud Gateway de modo que cargue automáticamente los flujos analíticos desde uno o más Concentrators a Cloud Behavioral Analytics (CBA). Un flujo analítico es una canalización de actividad de tráfico seleccionada que se utiliza para el procesamiento de analítica. Por ejemplo, los flujos analíticos pueden incluir el tráfico de HTTP, FTP, SMB o DNS. Con la creación y la implementación de mapeos de flujos analíticos entre orígenes de Concentrator y servicios Cloud Gateway, los flujos de datos se reenvían automáticamente a la nube para el procesamiento de analítica.

Cuando implementa el mapeo, el servicio Cloud Gateway seleccionado usa agregación basada en consultas para recopilar los eventos filtrados adecuados para el flujo analítico seleccionado desde los Concentrators. La agregación basada en consultas es una consulta predefinida que solo transfiere datos para el flujo analítico seleccionado. Solo los datos que requiere el flujo analítico se transfieren desde el Concentrator a Cloud Behavioral Analytics.

Consideraciones

Cuando cree e implemente los mapeos de flujos analíticos, tenga en cuenta las siguientes consideraciones importantes:

  1. Cada flujo analítico que implementa representa una carga adicional en los puntos de salida de Internet en la red.
  2. Cada flujo analítico que agrega afecta a los Concentrators.

  3. Asegúrese de mapear los flujos analíticos a los Concentrators que recopilan activamente ese tipo de información. Por ejemplo, los flujos analíticos HTTP solo se deben activar en Concentrators que recopilan actividad de HTTP.

Ejemplo de implementación de flujos analíticos: dos puertas de enlace

Para aprovechar la capacidad adicional de un Concentrator, puede mapear un flujo analítico a un servicio Cloud Gateway e implementarlo para analizar los datos de múltiples orígenes de datos al mismo tiempo.

Por ejemplo, si tiene tres Concentrators y dos servicios Cloud Gateway, puede crear e implementar los siguientes mapeos:

  • Mapee el flujo analítico 1 a los orígenes Concentrator 1 y 2, y al servicio Servidor de Cloud Gateway 1. El Servidor de Cloud Gateway 1 envía tráfico filtrado del flujo analítico 1 de los Concentrators 1 y 2 a CBA en la nube.
  • Mapee el tráfico del flujo analítico 2 a los orígenes Concentrator 2 y 3, y al servicio Servidor de Cloud Gateway 2. El Servidor de Cloud Gateway 2 envía tráfico filtrado del flujo analítico 2 de los Concentrators 2 y 3 a CBA en la nube.

En este ejemplo, el flujo analítico 1 representa un flujo analítico, como HTTP, y el flujo analítico 2, otro flujo analítico, como FTP en otra ubicación. El Concentrator 1 recopila actividad de HTTP, el Concentrator 2, actividad de HTTP y FTP, y el Concentrator 3, actividad de FTP.

Module Deployment Example - 2 Gateways

Este ejemplo muestra cómo ambos servicios pueden procesar datos desde el mismo Concentrator. Observe que los servicios Cloud Gateway 1 y 2 pueden procesar datos del Concentrator 2. El Servidor de Cloud Gateway 1 consulta datos del tráfico HTTP del flujo analítico 1 y el Servidor de Cloud Gateway 2 consulta otros datos del tráfico FTP del flujo analítico 2.

Ejemplo de implementación de flujos analíticos: una puerta de enlace

Además de crear mapeos de flujos analíticos que procesan distintos servicios Cloud Gateway, puede mapear más de un flujo analítico al mismo servicio Cloud Gateway.

Por ejemplo, si tiene tres Concentrators y un servicio Cloud Gateway, puede crear e implementar los siguientes mapeos:

  • Mapee el flujo analítico 1 a los orígenes Concentrator 1 y 2, y al servicio Servidor de Cloud Gateway 1. El Servidor de Cloud Gateway 1 envía tráfico filtrado del flujo analítico 1 de los Concentrators 1 y 2 a CBA en la nube.
  • Mapee el flujo analítico 2 a los orígenes Concentrator 2 y 3, y al servicio Servidor de Cloud Gateway 1. El Servidor de Cloud Gateway 1 también envía tráfico filtrado del flujo analítico 2 de los Concentrators 2 y 3 a CBA en la nube.

En este ejemplo, el flujo analítico 1 representa un flujo analítico, como HTTP, y el flujo analítico 2, otro flujo analítico, como FTP en otra ubicación. El Concentrator 1 recopila actividad de HTTP, el Concentrator 2, actividad de HTTP y FTP, y el Concentrator 3, actividad de FTP.

Module Deployment Example - One Gateway

En este ejemplo se muestra cómo un servicio puede procesar los datos de más de un flujo analítico. Observe que el Servidor de Cloud Gateway 1 puede procesar datos de los Concentrators 1 y 2 para el flujo analítico 1. También procesa datos de los Concentrators 2 y 3 para el flujo analítico 2. El Servidor de Cloud Gateway 1 consulta datos del tráfico HTTP del flujo analítico 1, consulta otros datos del tráfico FTP del flujo analítico 2 y, a continuación, envía esos datos a CBA en la nube para el procesamiento de la analítica.

Precaución: Asegúrese de que todos los servicios de host de NetWitness Suite estén sincronizados con un origen de tiempo coherente.

Requisitos previos

  • Todos los servicios de host de NetWitness Suite deben estar sincronizados con un origen de tiempo coherente.
  • Los servicios y los hosts de Concentrator se deben descubrir y deben estar disponibles en la interfaz del usuario de NetWitness Suite.
  • Se debe aprovisionar el servicio Servidor de Cloud Gateway. Consulte Aprovisionar un Cloud Gateway.

Crear mapeos de flujos analíticos de Cloud Gateway

En el siguiente procedimiento se indica cómo mapear flujos analíticos a orígenes y servicios. Después de crear y revisar los mapeos, impleméntelos de manera que puedan iniciar la agregación de datos.

  1. Vaya a ADMINISTRAR > Sistema y, en el panel de opciones, seleccione Cloud Gateway.
    Se muestra el panel Mapeos de flujos analíticos de Cloud Gateway.
    Cloud Gateway Analytic Stream Mappings panel
  2. Haga clic en para crear un mapeo de flujos analíticos. Cree un mapeo por separado para cada flujo analítico.
    Se muestra el cuadro de diálogo Crear mapeos de flujos analíticos.
    Create Analyti Stream Mappings dialog
  3. En la lista Flujo analítico, seleccione un flujo analítico.
  4. Configure uno o más orígenes de datos (Concentrators) para los mapeos. Para cada Concentrator, realice lo siguiente:
    1. Haga clic en Add icon .
      En el cuadro de diálogo Servicios disponibles, se muestran los orígenes de datos que están disponibles en la vista ADMINISTRAR > Servicios.
      Available Services dialog showing available data sources
    2. En el cuadro de diálogo Servicios disponibles, seleccione un Concentrator y haga clic en Aceptar.
      Se muestra el cuadro de diálogo Agregar servicio.
      Add Service dialog - empty
    3. En el cuadro de diálogo Agregar servicio, escriba el nombre de usuario y la contraseña del administrador para el Concentrator.
    4. Haga clic en Probar conexión para asegurarse de que pueda comunicarse con el servicio Cloud Gateway.
      Add Service dialog - Test Connection successful
    5. Haga clic en Aceptar.
      Después de configurar los orígenes de datos y que estos aparezcan en la lista Orígenes, puede volver a usarlos para mapeos adicionales.
  5. En la lista Orígenes, seleccione uno o más orígenes de datos para agregar los datos para el flujo analítico.
    Create Analytic Stream Mappings dialog showing a mapping
    Un círculo de color verde indica un servicio en ejecución y un círculo de color blanco indica un servicio detenido.
  6. En la lista Servicio, seleccione un servicio Cloud Gateway para procesar los datos para el flujo analítico.
  7. Si es necesario, especifique el tiempo de retardo que se usará para consultar los datos desde los Concentrators seleccionados.
    Tiempo de retardo (minutos) especifica el retraso de tiempo constante en minutos, el cual se suma para evitar la pérdida de eventos que los orígenes de datos procesan durante períodos de gran actividad. Por ejemplo, el rendimiento del Concentrator varía en función de factores como carga entrante, consultas continuas e indexación. Debido a estos factores, es posible que un Concentrator no pueda agregar eventos en tiempo real, lo que genera el retraso.
    El parámetro Tiempo de retardo da al Concentrator la oportunidad de terminar de agregar todos los datos.
    Los datos se agregan a la hora actual (sistema) - tiempo de retardo. La configuración de Tiempo de retardo es útil cuando la agregación de datos en un Concentrator se realiza con lentitud. El tiempo de retardo garantiza que Cloud Behavioral Analytics (CBA) no procese los datos que llegan al Concentrator dentro de la ventana de tiempo de retardo, de modo que haya un retraso adecuado para asegurarse de que CBA pueda procesar todos los eventos que se generan en la empresa.
    Por ejemplo, si el tiempo de retardo es 30 minutos y actualmente son las 14:00 h, el Concentrator comienza a extraer registros a las 13:30 h. La ventana de tiempo de retardo, 30 minutos en este ejemplo, permanece constante a medida que avanza la hora. Cuando la hora actual avanza hasta las 14:01 h, el Concentrator extrae los datos al minuto siguiente, a las 13:31 h, etc.
    Importante: El tiempo de retardo define el búfer entre la hora actual y la hora en que el flujo analítico recopila los datos.
  8. Precaución: RSA recomienda que los administradores ajusten el parámetro Tiempo de retardo de forma dinámica en función del rendimiento de cada uno de los Concentrators para evitar la pérdida de eventos durante la agregación.

  9. Haga clic en Crear.
    Los mapeos que crea aparecen en la lista de mapeos existentes con un estado de Implementación anulada.
    CBA Gateway Mappings panel - Undeployed mapping
    Importante: Para iniciar un flujo analítico de manera que comience a agregar datos, debe implementarlo.

Implementar mapeos de flujos analíticos de Cloud Gateway

Después de crear los mapeos, debe implementarlos para iniciar la agregación de datos para los flujos analíticos.

  1. En la lista de mapeos, verifique que el estado de los mapeos que desea implementar se muestre como Implementación anulada.
  2. Seleccione uno o más mapeos con un estado de Implementación anulada y seleccione Implementar ahora.
    Todos los mapeos seleccionados en el estado Implementación anulada inician la agregación de datos como está configurado en el mapeo. El estado del mapeo cambia a Implementado.
    No puede implementar un mapeo que ya está implementado.

Actualizar un mapeo

Solo puede tener un mapeo por flujo analítico. Si desea realizar cambios en un mapeo implementado, como agregar o quitar Concentrators o cambiar el servicio, debe anular la implementación y eliminar el mapeo existente y, a continuación, crear e implementar un nuevo mapeo para ese flujo analítico.

Puede realizar las siguientes actualizaciones a un mapeo implementado sin eliminarlo:

  • Anular la implementación del mapeo
  • Cambiar el tiempo de retardo

También puede cambiar el tiempo de retardo para un mapeo de flujo analítico con implementación anulada.

Anular la implementación de un mapeo

Si desea detener la agregación de datos para un mapeo de flujo analítico, pero no desea eliminar el mapeo, puede anular su implementación. Esto le ofrece la opción de implementarlo posteriormente. Cuando anula la implementación de un mapeo, el servicio Cloud Gateway especificado deja de extraer datos del origen de datos para ese flujo analítico.

Precaución: Anular la implementación de un mapeo con un estado de Implementado afectará la agregación de datos para ese flujo analítico.

Para anular la implementación de un mapeo:

  1. En el panel Mapeos de flujos analíticos de Cloud Gateway, seleccione el mapeo implementado para el cual desea anular la implementación.
  2. En la columna Acciones, seleccione Actions icon > Anular implementación.
    El estado cambia de Implementado a Implementación anulada y se detiene la agregación de datos.

Eliminar un mapeo

Puede eliminar un mapeo con un estado de Implementación anulada en cualquier momento. Puesto que un mapeo en el estado Implementación anulada no se está ejecutando, no afecta la agregación de datos.

Debe anular la implementación de un mapeo con un estado de Implementado antes de eliminarlo. Anular la implementación de un mapeo y eliminarlo borran la configuración en el Servidor de Cloud Gateway, revierten la implementación para ese mapeo y detienen la extracción de datos del origen de datos para ese flujo analítico.

Precaución: Anular la implementación de un mapeo y eliminarlo afectarán la agregación de datos para ese flujo analítico.

Para eliminar un mapeo:

  1. En el panel Mapeos de flujos analíticos de Cloud Gateway, seleccione el mapeo que desea eliminar. Solo puede eliminar un mapeo a la vez.
  2. Haga clic en Delete icon.

Cambiar el tiempo de retardo

Si es necesario, puede cambiar el tiempo de retardo para el flujo analítico. El tiempo de retardo define el búfer entre la hora actual (sistema) y la hora en que el flujo analítico recopila los datos.

  1. En el panel Mapeos de flujos analíticos de Cloud Gateway, seleccione el mapeo que desea cambiar y en la columna Acciones, seleccione Actions icon > Editar flujo.
    En el cuadro de diálogo Configuración de flujos analíticos se muestra el flujo analítico seleccionado, el servicio Cloud Gateway y los orígenes de datos para el mapeo. Los orígenes de datos muestran las direcciones URL que se usan para comunicarse con el servicio Cloud Gateway.
    Analytic Stream Settings dialog
  2. Si es necesario, puede ajustar el Tiempo de retardo (minutos) para dar a los Concentrators en el mapeo el tiempo adicional para completar la agregación de todos los datos.
  3. Haga clic en Guardar.
    Los cambios NO se aplican de inmediato. Para que la configuración tenga efecto, debe anular la implementación del mapeo y volverlo a implementar.
  4. Para anular la implementación del mapeo, en el panel Mapeos de flujos analíticos de Cloud Gateway, seleccione el mapeo cuya implementación desea anular y elija Actions icon > Anular implementación.
    La agregación de datos se detiene para el mapeo seleccionado.
  5. Para volver a implementar el mapeo, seleccione el mapeo que desea implementar y elija Actions icon > Implementar.
    El mapeo seleccionado se implementa e inicia la agregación de datos como está configurado en el mapeo.

Monitorear el Cloud Gateway

Puede monitorear las estadísticas del servicio RSA Cloud Gateway en NetWitness Suite.

En la vista Servicios, seleccione el servicio Servidor de Cloud Gateway y, a continuación, elija actions icon > Ver > Explorar. En la vista Explorar, podrá ver las estadísticas importantes que debe monitorear para el Cloud Gateway. Puede ajustar los mapeos de flujos analíticos según sea necesario.

En la siguiente figura se muestran dos estadísticas importantes que deberá observar para cada flujo:

  • upload-bytes-meter: Esta estadística muestra el promedio de bytes cargados por segundo. Es la tasa de carga (bytes).
  • events-seen-meter: Esta estadística muestra la cantidad de eventos que se extraen del Concentrator por segundo. Es la tasa de lectura (número).

La primera parte del nombre de la estadística muestra el nombre del flujo analítico; en este ejemplo, el nombre del flujo analítico es C2:

C2/pipe/compressed/upload-bytes-meter

Cloud Gateway Server service Config Explore view - Top - showing the stream name "C2", upload-bytes-meter, and events-seen-meter

Si se desplaza hacia abajo, puede ver el resto de las estadísticas. Si tiene más de un flujo analítico, también podrá ver las estadísticas de ese flujo. En este ejemplo, puede ver las estadísticas de los flujos analíticos C2 y C2Packets.

Cloud Gateway Server service Config Explore view - Bottom

Nota:
- Cada flujo analítico que implementa representa una carga adicional en los puntos de salida de Internet en la red. Observe las estadísticas de carga, como upload-bytes-meter.
- Cada flujo analítico que agrega afecta a los Concentrators. Observe la estadística events-seen-meter y consulte el tema “Monitorear detalles de servicios” de la Guía de mantenimiento del sistema.
- Asegúrese de mapear los flujos analíticos a los Concentrators que recopilan activamente ese tipo de información. Por ejemplo, los flujos analíticos HTTP solo se deben activar en Concentrators que recopilan actividad de HTTP.

You are here
Table of Contents > Mapeo de flujos analíticos de Cloud Gateway

Attachments

    Outcomes