This website uses cookies. By clicking OK, you consent to the use of cookies. Click Here to learn more about how we use cookies.
OK
Register Now
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Documentación de RSA NetWitness® Platform (Español)

Explore la documentación oficial de RSA NetWitness Platform (español) para obtener útiles tutoriales, instrucciones paso a paso y otros recursos valiosos.
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Versions
Collections
All Downloads

Product Resources

  

En este tema se proporciona información sobre cómo agregar claves de metadatos personalizados mediante un feed personalizado en el Log Decoder.

Puede crear claves de metadatos personalizados para recuperar datos con el fin de investigar y analizar los registros y los paquetes. Las claves de metadatos personalizados permiten agregar un contexto de enriquecimiento para los datos de paquetes y registros. En este documento se destacan los cambios en la configuración necesarios para reflejar las claves de metadatos personalizados en el esquema de Concentrator, ESA, Archiver, Warehouse Connector y Reporting Engine.

El siguiente es un ejemplo de creación de la clave de metadatos personalizados en el Log Decoder. En este escenario, una organización desea rastrear la ubicación de un recurso, como una impresora. Por lo tanto, se introduce una clave de metadatos personalizados source location, la cual indica la ubicación del recurso, por ejemplo, la Impresora1 que se encuentra en el “Ala A del quinto piso”. 

Nota: También se pueden crear claves de metadatos personalizados en Decoder. Asegúrese de seleccionar el archivo index.decoder.xml cuando cree metadatos personalizados en el Decoder.

Procedimiento

Agregar la clave de metadatos personalizados en Log Decoder

Para agregar claves de metadatos personalizados mediante un feed personalizado:

  1. En el menú de Security Analytics, seleccione Administration > Servicios > Log Decoder.
  2. Seleccione un servicio y haga clic en ic-actns.png> Ver > Configuración > pestaña Archivos > index-logdecoder-custom.xml.

<Language>
 <?xml version="1.0" encoding="utf-8"?>
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexNone" name="location.src" format="Text"/>
</Language>

  1. Reinicie el servicio Log Decoder. En la vista Servicios, haga clic en ic-actns.png > Reiniciar.

Implementar el feed en Live

Para implementar el feed en el ambiente Live:

  1. En el menú de Security Analytics, seleccione Live Feed.
  2. En la barra de herramientas, haga clic enicon-add.png.
    Se muestra el cuadro de diálogo Configurar feed.

add_custom_feed_1051_200x137.png

  1. Para seleccionar el tipo de feed, haga clic en Feed personalizado y, a continuación, en Siguiente.
    El asistente Configurar un feed personalizado se muestra con el formulario Definir feed abierto.
    Ingrese el nombre y cargue el archivo CSV del feed.define_feed_700x577.png
  2. Haga clic en Siguiente.
  3. Seleccione el servicio Log Decoder en el cual se debe cargar el feed.log_decoder_service_601x296.png
  4. En la sección Definir índice, seleccione el tipo de índice, la columna de índice y la clave de callback. En la sección Definir valores, ingrese la clave de metadatos personalizados.
    El contenido del archivo .csv se muestra en el asistente de feed. En este caso, la primera columna muestra el nombre de host del recurso y la segunda, la ubicación del recurso.

Nota: Es necesario indexar la dirección IP de origen mediante la selección del tipo como “IP”, ya que ip.src e ip.dst están en formato IPv4. 

define_customs_700x597.png

En este escenario, se agrega una clave de metadatos personalizados location.src (origen de la ubicación) mediante la indexación del nombre de host (alias.host). En este ejemplo, el nombre de host de la impresora se completa en la clave de metadatos “alias.host”. Por lo tanto, seleccione “alias.host” como clave de callback y tipo de índice como “No IP” en el asistente de feed, como se muestra a continuación. En la sección Definir valores, seleccione la clave de metadatos personalizados en el menú desplegable.

  1. Haga clic en Siguiente.
  2. Haga clic en Terminar.

Para obtener más información sobre el asistente de feed, consulte Crear e implementar feeds personalizados con el asistente.

Agregar la entrada de metadatos personalizados en el archivo de índice de Concentrator

Para agregar la entrada de metadatos personalizados en el archivo de índice de Concentrator:

  1. En el menú de Security Analytics, seleccione Administration Servicios > Concentrator.
  2. Haga clic en ic-actns.png > Ver > Configuración > pestaña Archivos > index-concentrator-custom.xml.
  3. Agregue la entrada de metadatos personalizados en el archivo de índice de Concentrator.

 <Language>
  <?xml version="1.0" encoding="utf-8"?>
  <Language level="IndexNone" defaultAction="Auto">
  <!-- Reserved Meta key for Feed -->
  <Key description="Source Location"  level="IndexValues" name="location.src" format="Text"                 valueMax="10000" defaultAction="Open"/>
 </Language>

  1. Reinicie los servicios Concentrator. En la vista Servicios, haga clic en ic-actns.png > Reiniciar.

Nota: En el caso de Broker, el Broker deriva su índice del Concentrator desde el cual realiza la agregación. Por lo tanto, no es necesario crear metadatos personalizados en el Broker. Si no indexó la clave de metadatos en el Concentrator, el Broker no se mostrará en Investigation.

Investigar 

Nota: Debe cerrar e iniciar sesión en la interfaz del usuario de Security Analytics para poder ver la clave de metadatos personalizados en Investigation.

Para investigar con la clave de metadatos personalizados: 

  1. En el menú de Security Analytics, seleccione Investigation > Navegar.
  2. Seleccione un servicio Concentrator.
  3. Haga clic en Navegar

    investigation_output_10501_566x157.png

El siguiente es un ejemplo de un informe ejecutado en el Concentrator.

Concentrator_Output_656x402.png

Procedimientos adicionales

Se deben ejecutar los siguientes procedimientos si Warehouse Connector, Archiver, Reporting Engine y ESA están configurados.

Actualizar el esquema en ESA 

Antes de actualizar el esquema en ESA, la clave de metadatos personalizados se debe indexar en el Concentrator.

Para actualizar las reglas de ESA del esquema y poder usar las nuevas claves de metadatos personalizados:

  1. En el menú de Security Analytics, seleccione Administration > Servicios > ESA - Event Stream Analysis > Ver > Configuración.
  2. Edite el origen de datos de Concentrator.
  3. Haga clic en Probar conexión.

ESA_test_connection_1051_367x284.png

  1. Haga clic en Guardar una vez que la conexión se haya establecido correctamente.
  2. Haga clic en Aplicar.
  3. Navegue a Alertas > Configuración > Ajustes de configuración.

ESA_settings_1051_700x368.png

  1. Haga clic en la pestaña Buscar y busque el nombre de la clave de metadatos personalizados.
    Se muestra el nombre y el tipo de la clave de metadatos personalizados.

ESA_display_1051_699x367.png

Actualizar el esquema en Archiver

Si desea configurar Security Analytics Archiver con las nuevas claves de metadatos personalizados, debe actualizar el esquema de Archiver en Reporting Engine.

Para actualizar el esquema de Archiver en Reporting Engine:

  1. En el menú de Security Analytics, seleccione Administration > Servicios > Archiver.
  2. Haga clic enic-actns.png> Ver > Configurar> Archivos > index-archiver-custom.xml.
  3. Agregue la entrada de metadatos personalizados en el archivo de índice de Archiver.

<Language>
 <?xml version="1.0" encoding="utf-8"?> 
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexValues" name="location.src" format="Text"
 valueMax="10000" defaultAction="Open"/>
</Language>

  1. Reinicie el servicio Archiver. Haga clic en ic-actns.png > Reiniciar.
    El esquema de Archiver se actualiza con la clave de metadatos personalizados.

Actualizar el esquema en Warehouse Conector

Si desea configurar Security Analytics Warehouse con metadatos personalizados y utilizarlos en el informe de Warehouse, debe actualizar el esquema de Warehouse en Reporting Engine.

Si el Log Decoder o el Decoder en los cuales se agregó la clave de metadatos personalizados corresponden a uno de los orígenes en el flujo de Warehouse Connector, debe actualizar el esquema en el Warehouse Conector.

Para actualizar el esquema de Warehouse en Reporting Engine:

  1. En el menú de Security Analytics, seleccione Administration > Servicios Warehouse Connector.
  2. Haga clic en ic-actns.png > Ver > Configuración > pestaña Archivos > index-logdecoder-custom.xml.
  3. Seleccione el flujo y haga clic en Recargar.
    Warehouse Connector extrae el esquema de los dispositivos descendentes (Log Decoder/Decoder).warehouse_connector_streams_1051_700x162.png

Para obtener más información sobre los flujos, consulte el tema Configurar flujos de la Guía de configuración de Warehouse Connector.

Actualizar el esquema en Reporting Engine

Para actualizar el esquema en Reporting Engine:

  1. En el menú de Security Analytics, seleccione Administration> Servicios Reporting Engine.
  2. Haga clic en ic-actns.png > Reiniciar.

Nota: Reinicie Reporting Engine o espere 30 minutos hasta que el esquema se actualice.

Para ver la clave de metadatos personalizados:

  1. Navegue a Informes > Reglas.
  2. En la barra de herramientas, haga clic enicon-add.png.
  3. Seleccione la base de datos de Warehouse.
  4. En la página Crear regla, busque los metadatos personalizados en el panel derecho de la página.
    Se muestra la clave de metadatos personalizados.

RE_schema_10501_701x413.png

You are here
Table of Contents > Procedimientos adicionales > Crear claves de metadatos personalizados mediante un feed personalizado
Labels (1)
Labels:
0 Likes
Was this article helpful? Yes No
No ratings

On this page

© 2020 RSA Security LLC or its affiliates.
All rights reserved.