Endpoint: Configurar el reenvío de metadatos para los agentes de NetWitness Endpoint 11.1

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Puede ver los metadatos de terminales en NetWitness Suite Investigate (vistas Navegar y Análisis de eventos), de manera similar a los registros y los paquetes. Debe habilitar el reenvío de metadatos para reenviar las siguientes categorías:

                       
Sistema operativoCategorías
Windows Archivo, servicio, archivo DLL, proceso, tarea, ejecución automática y máquina
Linux Archivo, biblioteca cargada, Systemd, proceso, Cron, Initd y máquina
MacArchivo, demonio, proceso, tarea, Dylib, ejecución automática y máquina

Configuración del reenvío de metadatos

  1. Vaya a ADMINISTRAR > Servicios.

  2. En la vista Servicios, seleccione el servicio Servidor de Endpoint.

  3. Haga clic en y seleccione > Ver > Configuración.

  4. Haga clic en la pestaña General.

    Configure the Endpoint Meta

  5. Haga clic en Add Endpoint Meta en la barra de herramientas.
    Se muestra el cuadro de diálogo Servicios disponibles.

  6. Seleccione el servicio Log Decoder y haga clic en Aceptar.
    Se muestra el cuadro de diálogo Agregar servicio. Puede agregar únicamente un servicio Log Decoder.
    Add Services

  7. Ingrese las credenciales de administrador para la autenticación.

  8. (Opcional) Si habilita Datos crudos, se envía un breve resumen de la sesión junto con los metadatos.

  9. (Opcional) Si habilitó SSL en el puerto REST en el Log Decoder, seleccione la opción SSL REST. De forma predeterminada, el puerto REST cuando no se utiliza SSL es 50202 y cuando se utiliza, 56202.

  10. Seleccione la opción SSL Protobuf para habilitar SSL en Protobuf. De forma predeterminada, el puerto Protobuf es 50202.

  11. Haga clic en Guardar.

Después de configurar el reenvío de metadatos, asegúrese de realizar lo siguiente:

  • Iniciar la captura en el Log Decoder
  • Iniciar la agregación en el Concentrator
  • Agregar el Log Decoder como un servicio en el Concentrator

Inicio del reenvío de metadatos al Log Decoder

  1. En la vista de configuración Metadatos de Endpoint, seleccione el servicio.
  2. Haga clic en
    El servidor de Endpoint comienza a reenviar los metadatos al Log Decoder.

Detención del reenvío de metadatos al Log Decoder

  1. En la vista de configuración Metadatos de Endpoint, seleccione el servicio.
  2. Haga clic en
    El servidor de Endpoint deja de reenviar los metadatos al Log Decoder.

Eliminación del reenvío de metadatos

Nota: Asegúrese de detener el servicio antes de quitar el reenvío de metadatos.

  1. En la vista de configuración Metadatos de Endpoint, seleccione el servicio.
  2. Haga clic en .
  3. Haga clic en Aplicar.

Mapeos de metadatos de terminales

Puede ver los mapeos de metadatos predeterminados o modificar los mapeos de metadatos de los terminales.

Esquema JSON para mapeos de metadatos

Todos los mapeos de metadatos se configuran mediante el esquema JSON. El siguiente es un ejemplo del esquema JSON:

{

"metaKeyPairs" : [

{

"metaKeyPairsCategory" : "",

"keyPairs" : [

{

"endpointJpath" : "",

"metaName" : "",

"type" : "",

"enabled" : true

},

{

"endpointJpath" : "",

"metaName" : "",

"type" : "",

"enabled" : true

}

]

}

]

}

Las siguientes API se usan para ver o modificar los mapeos de metadatos:

  • get-default: Devuelve las configuraciones predeterminadas de los mapeos de metadatos de terminales.
  • get-custom: Devuelve las configuraciones personalizadas de los mapeos de metadatos de terminales.
  • set-custom: Puede personalizar los mapeos de metadatos de terminales.

Visualización de los mapeos de metadatos

Para ver los mapeos de metadatos de terminales:

  1. En el servidor de NW, ejecute el comando nw-shell desde la línea de comandos.

  2. Ejecute el comando login e ingrese las credenciales.

  3. Conéctese al servidor de Endpoint mediante el siguiente comando:
    connect --host <IP address> --port <number>

    Nota: El puerto predeterminado es 7050.

  4. Ejecute los siguientes comandos:
    cd endpoint/meta
    cd get-default
    invoke

En la siguiente pantalla se muestran los mapeos de metadatos predeterminados:

Default meta mappings

Para deshabilitar un mapeo de metadatos predeterminado:

Ingrese el mismo valor de endpointJpath y configure el parámetro enabled en false.

Por ejemplo, si endpointJpath es Category y el parámetro enabled es true, ingrese el mismo valor de endpointJpath y configure el parámetro enabled en false.

Disable default meta mapping

Nota: No modifique metaKeyPairsCategory en el esquema; “COMMON”, “COMMON_MACHINE”, “COMMON_MACHINE_FOR_EVENTS”.

Para cambiar el nombre o el tipo de los metadatos:

Ingrese el mismo valor de endpointJpath y especifique valores para metaName y type.

Nota: El valor de metaName debe existir en table-map.xml del Log Decoder, en index-concentrator.xml o en el archivo index-concentrator-custom.xml del Concentrator para que el valor de metaName aparezca en la vista Investigar.

Adición o modificación de mapeos de metadatos

Para agregar o modificar los mapeos de metadatos, ejecute la API set-custom. La configuración de metaKeyPairs que se proporciona en el archivo JSON debe coincidir con el esquema JSON de la configuración predeterminada que se recibió a través de la API get-default.

  1. En el servidor de NW, ejecute el comando nw-shell desde la línea de comandos.

  2. Ejecute el comando login e ingrese las credenciales.

  3. Conéctese al servidor de Endpoint mediante los siguientes comandos:
    connect --host <IP address> --port <number>

    Nota: El número de puerto predeterminado es 7050)

  4. Ejecute los siguientes comandos:
    cd endpoint/meta
    cd set-custom
    invoke –file <json file>

Puede agregar nuevos valores de metaKeys con la adición de entradas en el archivo que se cargarán mediante la API set-custom. En el siguiente ejemplo se muestra cómo agregar un nuevo mapeo de metadatos:

Add custom meta mapping

Visualización de los mapeos de metadatos personalizados

Para ver los mapeos de metadatos personalizados, ejecute la API get-custom.

Nota: La API get-custom devolverá valores únicamente si los mapeos de metadatos se modifican mediante la API set-custom.

You are here
Table of Contents > Configurar reenvío de metadatos a Log Decoder

Attachments

    Outcomes