Ejemplos › Ejemplos › Gestión de agentes

Gestión de agentes

Configuración del conector en un agente

Un conector es un proceso de recopilación que se ejecuta bajo el control de un agente, y que además, recopila y procesa los eventos de un origen de registros individual. Un conector, que se conecta con un dispositivo específico, utiliza una integración que proporciona las reglas para conectarse con ese tipo de dispositivo específico.

Problema:

Necesita saber quién ha accedido a las bases de datos de SQL Server 2005 y de Oracle 11g durante la última semana.

Solución:

Instale un agente. Para ese agente, se debe crear un conector para SQL Server y otro para Oracle mediante las integraciones predefinidas de SQL Server 2005 y Oracle 11 g. Una vez recibidos los eventos, se debe ejecutar un informe para descubrir quién ha accedido a las bases de datos durante la última semana.

Filtrado de eventos con reglas de supresión

Las reglas de supresión son reglas que se configuran para prevenir la aparición en los informes de ciertos eventos sin formato. Puede crear reglas de supresión permanentes para eliminar eventos de rutina que no supongan problemas de seguridad y puede crear reglas temporales para suprimir el inicio de sesión de eventos planificados como la creación de múltiples usuarios nuevos.

Problema:

Los sistemas generan volúmenes de registros que no son necesarios para la generación de informes o de alertas. Dado que los orígenes de los registros de eventos generan grandes cantidades de datos irrelevantes para la seguridad, es difícil y conlleva mucho tiempo distinguir qué eventos se consideran importantes respecto al resto. Además, estos registros consumen sin necesidad espacio de almacenamiento de archivos y espacio en línea críticos.

El Analyst de seguridad es un experto en generar auditorías de Windows Server 2003, y además, conoce que Windows escribe eventos duplicados cuando realiza la auditoría de acceso a objetos: ID de evento 560 y 562.

Solución:

Para los informes de acceso a los recursos sólo es necesario el ID de evento 562, por lo que se puede suprimir el ID de evento 560. Un Administrator configura la regla de supresión de CA Enterprise Log Manager para filtrar el evento.

Resumen de eventos con reglas de resumen

Las reglas de resumen son reglas que combinan determinados eventos nativos del mismo tipo en un evento refinado. Por ejemplo, se puede configurar una regla de resumen para que reemplace en un sólo evento de resumen hasta 1000 eventos duplicados que tienen las mismas direcciones IP de origen y destino y los mismos puertos. Estas reglas simplifican el análisis de eventos y reducen el tráfico de registro.

Problema:

Es posible que algunos eventos de registros se repitan cientos, o incluso, miles de veces, consumiendo espacio en disco y dificultando la determinación de los eventos importantes del resto. Además, estos registros consumen sin necesidad espacio de almacenamiento de archivos y espacio en línea críticos.

La organización del Administrator del sistema tiene una serie de cortafuegos de Cisco ASA que generan cientos de eventos por segundo. No son necesarios cada uno de estos eventos.

Solución:

Un Administrator configura CA Enterprise Log Manager para resumir y realizar un recuento de los registros de cortafuegos que contienen los campos en común siguientes: source_address, dest_address, dest_port, event_action, event_result.

Organización de nodos basada en grupo

Un grupo de agentes permite a los agentes asociarse para realizar una gestión conjunta. Los agentes sólo pueden pertenecer a un grupo, por lo que todos aquellos agentes que no pertenezcan a un grupo específico, formarán parte del grupo predeterminado.

Problema:

El centro de datos de Nueva York de la organización tiene dos agentes y el centro de datos de Chicago tiene tres agentes. Para poder realizar las tareas de gestión, se deben agrupar los agentes por centro de datos.

Solución:

Un Administrator crea un grupo de agentes de Nueva York y uno de Chicago y asigna los agentes a sus respectivos grupos.