Endpoint: Configuración del servidor

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se proporcionan tareas generales necesarias para configurar el servicio Servidor de Endpoint.

Worklfow describing the Endpoint Hybrid and Endpoing Log Hybrid configuration process

                                       
TareasDescripción
Instalar Endpoint Hybrid o Endpoint Log Hybrid

Consulte Guía de instalación de hosts físicos y Guía de instalación de hosts virtuales.

Nota: Después de instalar Endpoint Hybrid o Endpoint Log Hybrid, registre la dirección IP del host del servidor de Endpoint con el servidor de NW de la siguiente manera:
1. Acceda mediante el protocolo SSH al servidor de NW.
2. Vaya al directorio /opt/rsa/saTools/bin.
cd /opt/rsa/saTools/bin
3. Ejecute el script register-endpoint, en el cual debe especificar la dirección IP del host de Endpoint.
./register-endpoint-ip -v --host-addr <ip-address>
El script tarda algunos minutos en actualizar la dirección IP del servidor de Endpoint.

Configurar el reenvío de metadatos para los agentes de NetWitness Endpoint 11.1 De manera similar a los registros y los paquetes, puede ver los metadatos de terminales en las vistas Navegar y Análisis de eventos. También puede generar informes y alertas para los datos de Endpoint. De forma predeterminada, la opción Metadatos de Endpoint está deshabilitada. Para el reenvío de metadatos, el agente debe estar instalado con la opción Metadatos de Endpoint habilitada.
Instalar agentes en hosts

El instalador de agentes de Endpoint se genera mediante la pestaña Empaquetador en ADMINISTRAR > Servicios > Configuración > Servidor de Endpoint desde la interfaz del usuario de NetWitness Suite. El empaquetador es un archivo zip que contiene archivos ejecutables y archivos de configuración para generar el instalador de agentes para los sistemas operativos Linux, Mac y Windows. Puede instalar únicamente una versión del agente en un host. Si está instalada una versión anterior de un agente (por ejemplo, 4.4), desinstale este agente para instalar al agente 11.1.

Una vez que se instala el agente, este aparece en la vista Investigar > Hosts. De forma predeterminada, los datos de Endpoint se registran por primera vez. Para recopilar datos de Endpoint subsiguientes, debe programar un escaneo o realizar un escaneo ad hoc. Este recupera datos como los controladores, los procesos, los archivos DLL, los archivos (ejecutables), los servicios, las ejecuciones automáticas, la información de seguridad, las configuraciones del sistema y los scripts que se encuentran en el host.

Si el agente está configurado para la recopilación de registros, recopila registros de hosts de Windows y los reenvía a un Log Decoder o un Remote Log Collector. Para obtener más información sobre la instalación de agentes de Endpoint, consulte Guía de instalación de agentes de Endpoint Insights.

Investigar datos de Endpoint

Puede investigar los datos de Endpoint en las vistas Investigar > Hosts e Investigar > Archivos. Para obtener más información, consulte la Guía del usuario de Investigate.

Configurar un programa de escaneo

Programe un escaneo para que se ejecute de manera diaria o semanal.

Configurar una política de retención de datos

Defina políticas de retención de datos para almacenar y administrar de manera óptima los datos de Endpoint según la antigüedad de estos o el tamaño del almacenamiento.

De forma predeterminada, se conservan 30 días de datos de los agentes.

Administrar agentes inactivos De forma predeterminada, los agentes (incluidos todos los datos de Endpoint recopilados) que no se han comunicado con el servidor de Endpoint durante 90 días se eliminarán automáticamente.
You are here
Table of Contents > Configuración del servidor de Endpoint

Attachments

    Outcomes