Recopilación de eventos desde dispositivos de terceros
Para configurar la recopilación de eventos desde dispositivos de terceros, debe completar las tareas de configuración en el dispositivo de terceros y en su consola JSA, recopilador de eventos o procesador de eventos. Los componentes clave que trabajan juntos para recopilar eventos de dispositivos de terceros son orígenes de registro, DSM y actualizaciones automáticas.
Fuentes de registro
Un origen de registro es cualquier dispositivo o sistema externo que está configurado para enviar eventos a su sistema JSA o ser recopilado por su sistema JSA . JSA muestra los eventos de los orígenes de registro en la pestaña Registrar actividad .
Para recibir eventos crudos de fuentes de registro, JSA admite varios protocolos, incluyendo syslog de SO, aplicaciones, firewalls, SPI/IDS, SNMP, SOAP, JDBC para los datos de las tablas y vistas de la base de datos. JSA también admite protocolos patentados específicos del proveedor, como OPSEC/LEA de Checkpoint.
Dsm
Un módulo de soporte de dispositivos (DSM) es un archivo de configuración que analiza los eventos recibidos de varios orígenes de registro y los encubre en un formato de taxonomía estándar que se puede mostrar como salida. Cada tipo de fuente de registro tiene un DSM correspondiente.
Actualizaciones automáticas
JSA ofrece actualizaciones automáticas diarias y semanales en un programa recurrente. La actualización automática semanal incluye nuevas versiones de DSM, correcciones para analizar problemas y actualizaciones de protocolo. Para obtener más información acerca de las actualizaciones automáticas, consulte la Guía de administración de Juniper Secure Analytics.
Proceso de instalación de dispositivos de terceros
Para recopilar eventos desde dispositivos de terceros, debe completar los pasos de instalación y configuración tanto en el dispositivo de origen del registro como en su sistema JSA . Para algunos dispositivos de terceros, se necesitan pasos de configuración adicionales, como configurar un certificado para habilitar la comunicación entre ese dispositivo y JSA.
Los pasos siguientes representan un proceso de instalación típico:
Lea las instrucciones específicas sobre cómo integrar su dispositivo de terceros.
Descargue e instale el RPM para su dispositivo de terceros. Las RPM están disponibles para su descarga en el https://support.juniper.net/support/downloads/.
Propina:Si su sistema JSA está configurado para aceptar actualizaciones automáticas, es posible que este paso no sea necesario.
Configure el dispositivo de terceros para enviar eventos a JSA.
Después de recibir algunos eventos, JSA detecta automáticamente algunos dispositivos de terceros y crea una configuración de origen de registro. El origen del registro se muestra en la lista Orígenes de registro y contiene información predeterminada. Puede personalizar la información.
Si JSA no detecta automáticamente el origen del registro, agregue manualmente un origen de registro. La lista de DSM compatibles y los temas específicos del dispositivo indican qué dispositivos de terceros no se detectan automáticamente.
Implemente los cambios de configuración y reinicie los servicios web.
Tipos de origen de registro personalizados para fuentes de registro de terceros no compatibles
Después de recopilar los eventos y antes de que la correlación pueda comenzar, los eventos individuales de sus dispositivos deben normalizarse correctamente. La normalización significa asignar información a nombres de campos comunes, como nombre de evento, direcciones IP, protocolo y puertos. Si una red empresarial tiene uno o más dispositivos de red o seguridad que JSA no proporciona el DSM correspondiente, puede usar un tipo de origen de registro personalizado. JSA puede integrarse con la mayoría de los dispositivos y con cualquier origen de protocolo común mediante el uso de un tipo de origen de registro personalizado.
Para obtener más información, consulte https://support.juniper.net/support/downloads/.