Continuación del anterior artículo donde se detallan las nuevas funcionalidades de la herramienta de auditoría para equipos Windows, Bellator.
Además de contar que la herramienta soporta arquitectura 64 bits, corrige algunos errores y se integra con Babel, también se menciona que se puede integrar con ArcSight.
Pues bien, en esta segunda parte se explica cómo configurar ArcSight para poder recoger los datos proporcionados por Bellator, por lo que se facilita una guía rápida de cómo categorizar los datos.
Aunque os parezca mentira :P, ArcSight no dispone de un conector para Bellator por lo que se tendrá que configurar a través de la herramienta Flex Connector, que permite crear tus propios conectores.
Para la opción de auditoría de Bellator y previo al comienzo se ha de generar un report con la opción –ArcSight, que servirá para configurar los pasos siguientes.
Para ejecutar el configurador, desde la consola de Windows se ejecuta el siguiente comando, arcsight.bat flexagentwizard generalmente ubicado en
Program Files\ArcSightSmartConnectors\current\bin.
En la primera ventana se debe de indicar la ubicación del report que previamente se ha generado y se le proporciona un nombre al fichero de "parseo" que se generará a la hora de crear el conector.
A continuación, se ha de elegir el delimitador que se corresponde con el carácter que separará los diferentes campos. En este caso, los campos son separados por tabulaciones.
Además, como el fichero contendrá espacios en blanco, se selecciona true en dicha opción.
En la siguiente ventana se categoriza los diferentes campos. Esta categorización está basada en opciones que proporciona ArcSight por tanto se puede elegir lo que más guste. En este caso se ha escogido la siguiente parametrización.
Elegid el formato de la fecha.
En el siguiente paso se proporciona nombre al producto.
Una vez creado el conector se sube al repositorio donde se almacenan los conectores. Este paso depende de la arquitectura de cada sistema por lo que se deberá adecuar a como esté implementado en cada caso el sistema ArcSight y pueda requerir opciones diferentes.
Para la opción de Hotfix y Hash se seguiría el mismo patrón que se ha mostrado con la salvedad de la categorización de los elementos. Por lo que a continuación se da un posible ejemplo válido para ambas opciones.
Una vez creado el conector habría que configurar las alertas correspondientes en ArcSight pero esta es otra historia que se mostrará, si el tiempo lo permite, en otra ocasión.
Como siempre espero que sea de vuestro agrado.
Agradecer la inestimable ayuda de Ángel Merino Rivera con el tema de ArcSight.
Artículo cortesía de Ricardo Ramos
5 comments :
Una gran herramienta, que se torna indispensable a la hora de hacer auditorias.
De gran ayuda y mas ahora con las nuevas funcionalidades.
Enhorabuena!! El esfuerzo a merecido la pena.
¡¡Fantastico trabajo¡¡ Una herramienta que reduce de forma drástica las horas/hombre dedicadas a la revisión de la seguridad IT de mi empresa... ¿para cuando la versión de pago con soporte?
La primera version me gusto mucho y esta promete. Buen articulo y mejor herramienta.
Publicar un comentario