En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
SIEM Enterprise Security Manager (ESM) 11.x
Receptor de eventos de SIEM (receptor) 11.x
Problema
No se reciben eventos en el receptor después de agregar un origen de datos. Además, es posible que vea un origen de datos existente en funcionamiento y que deje de enviar datos.
NOTA: La incapacidad de recopilar eventos de un origen de datos determinado afecta a la visibilidad y puede reducir la conformidad con la retención y el registro de los datos.
Motivo
Existen varias causas posibles debido a un error de obtención de eventos. Normalmente, la causa es una de las siguientes:
El origen de datos no está enviando datos al receptor, posiblemente debido a un error de configuración.
Un problema del recopilador en el receptor provoca que el receptor no almacene los datos de eventos recibidos.
El proceso del analizador no puede descodificar los registros sin procesar en los eventos.
Es posible que los eventos no se inserten en la base de datos de ESM.
La red o firewall bloquea un puerto necesario, lo que impide que syslog.
Un problema con la Directiva de SIEM.
Solución
Para resolver este problema, trabaje a través de cada una de estas soluciones en orden.
Verifique que el origen de datos esté configurado para enviar datos al receptor:
Determine qué adaptador Ethernet se está utilizando. En los receptores no de disponibilidad alta, suele eth0 ser, y en los receptores eth1 de disponibilidad alta suele ser o bien la dirección IP "flotante".
SSH al receptor, escriba el siguiente comando y, a continuación, pulse Intro:
tcpdump –nni ethx host x.x.x.x
Donde x.x.x.x es la dirección IP del origen de datos y ethx es el adaptador Ethernet en uso.
Nota: En el caso de los orígenes de datos de syslog, el tráfico entrante se ve en el puerto 514 UDP. Los orígenes de datos más lentos pueden necesitar unos minutos de observación antes de que se observe un paquete. Los más rápidos, como un firewall, son casi inmediatos. Si no se observan paquetes, es posible que haya un problema de firewall o Endpoint.
Si no se observan datos, doble comprobación de la dirección IP y el número de Ethernet. Si son correctos, es probable que el problema se encuentre en el Endpoint (por ejemplo, que el dispositivo no se haya configurado correctamente). Para orígenes de datos distintos de syslog, realice una prueba de conexión desde la interfaz gráfica de usuario mientras se ejecuta tcpdump. WMI enviará los datos a través del Puerto 135 y SQL extraerá los datos a través del puerto 1433.
Nota: Si la dirección IP y la información del puerto son correctas y no ve el tráfico entrante en el tcpdump, un firewall o la red podrían impedir el tráfico entrante a través del puerto especificado. Póngase en contacto con su administrador de red para obtener más pasos de solución de problemas.
Escriba el siguiente comando y pulse Intro:
iptables –n –v –L|grep x.x.x.x
Nota: Asegúrese de que existe una regla para la dirección IP de origen de datos que le permite a través de la Firewall.
Una salida típica de iptables incluye el Puerto y la dirección IP del origen de datos. Por ejemplo, 10.10.10.10 514 para syslog.
Seleccione el origen de datos en la interfaz de usuario de ESM y elija el panel Estado del dispositivo . Tras la carga, desplácese hacia abajo en la ventana inferior y localice el vipsid número del origen de datos junto a la letra v.
ls –al /var/log/data/inline/thirdparty.logs/##/XXX/in
Donde ## es el número de vipsID y XXX es el tipo de recopilador como syslogcollector , NPP_C, o gsql .
Si hay un archivo y no es 0 bytes, continúe con la Data.xxxxxxSolución 2.
Asegúrese de que esté seleccionado el analizador correcto. En los casos en los que haya más de un analizador posible, elija uno con (asp) en el título. Además, asegúrese de que la configuración de entrega y formato sea la predeterminada a menos que esté utilizando orígenes de datos MEF o no syslog.
Es posible que la configuración del origen de datos y la Directiva no estén actualizadas. Abra para los propiedades del origen de datos y cambie cualquier línea. Por ejemplo, agregue un espacio al nombre y, a continuación, elimine el espacio.
Haga clic en Aceptary, a continuación, en escribir para escribir la configuración del origen de datos en el receptor.
Despliegue la Directiva seleccionando el receptor en el árbol de dispositivos y, en el Editor de directivas, haga clic en operaciones, desplegar Directiva. Active la casilla de verificación de la esquina inferior izquierda para actualizarlo de todos modos.
Si se trata de un origen de datos de syslog, activar registrar syslog desconocido en la configuración del origen de datos en la interfaz gráfica de usuario. Con esta acción, si un evento no se puede analizar, aparece como desconocido y no se descarta.
Seleccione la pestaña interfaz y asegúrese de que los números de puerto estén completos y sean correctos para el tipo de origen de datos en cuestión. Por ejemplo, 514 para syslog, 135 para WMI, 139 para RPC y 1433 para SQL.
Es posible que las reglas no se activen para el origen de datos, por lo que se ha seleccionado el origen de datos, abra el Editor de directivas. Asegúrese de que las reglas enumeradas para ese origen de datos estén Seleccionedas.
Nota: Es normal que se desactiven las reglas de directivas predeterminadas. No activar Directiva en el nivel predeterminado.
Si estos pasos no resuelven el problema, continúe con la Solución 3.
Es posible que haya un problema al insertar eventos en el ESM. Para ver si hay un problema:
Compruebe si otros orígenes de datos no pueden recopilar datos. Si es así, vaya a propiedades de receptor y realice una operación de detención e inicio en el receptor.
Compruebe si otros orígenes de datos funcionan según lo previsto.
Si estos pasos no resuelven el problema, continúe con la solución 4.
Si sigue experimentando problemas, es posible que los cambios necesarios no se hayan escrito. SIEM necesita escribir la configuración del origen de datos en el receptor e implementar la Directiva para implementar los cambios:
Abra para los propiedades del receptor y haga clic en la pestaña origen de datos :
Si el botón escribir está disponible, continúe con el paso 2.
Si el botón escribir no está disponible, seleccione cualquier origen de datos y edítelo . Realice un pequeño cambio, como agregar y eliminar un espacio en el nombre/Descripción y, a continuación, haga clic en Aceptar para forzar la activación de la escritura .
Haga clic en escribir para escribir la configuración del origen de datos en el receptor.
Si aparece despliegue de directivas , seleccione el cuadro inferior izquierdo para forzar la despliegue a todos los dispositivos y, a continuación, haga clic en Aceptar.
Nota: Si no aparece automáticamente, vuelva al panel, seleccione el ESM, haga clic en editor de directivas en la parte superior y, a continuación, haga clic en operaciones, Directiva de despliegue.
Si sigue experimentando problemas y ha seguido los pasos de todas las soluciones proporcionadas, póngase en contacto con Soporte técnico para obtener más ayuda.
Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
Si no es un usuario registrado, haga clic en registrar y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.