Guida rapida di NetIQ Sentinel 7.0.1

Marzo 2012

Utilizzare le seguenti informazioni per installare e iniziare subito a utilizzare Sentinel.

1.0 Requisiti di sistema

Verificare che il computer in uso soddisfi i requisiti di sistema minimi necessari per l'installazione di Sentinel.

Requisiti hardware per 500 EPS:

  • Memoria: 6.7 GB

  • Disco rigido: unità disco da 4 x 500 GB, 7.200 RPM in esecuzione su RAID 1 con cache da 256 MB o rete SAN equivalente

  • Processori: una CPU Intel Xeon X5470 da 3.33 GHz (4 core)

Sistemi operativi:

  • SUSE Linux Enterprise Server (SLES) 11 SP1

  • Red Hat Enterprise Linux (RHEL) 6

Computer virtuali:

  • VMWare ESX 4.0

  • Xen 4.0

  • Solo file ISO DVD di Hyper-V Server 2008 R2

ISO DVD:

  • Hyper-V Server 2008 R2

  • Hardware senza sistema operativo installato

Per i requisiti hardware per EPS superiori o inferiori a 500 EPS, consultare Requisiti di sistema nella Guida alla configurazione e all'installazione di NetIQ Sentinel 7.0.1.

2.0 Installazione di Sentinel

È possibile installare Sentinel in modalità autonoma oppure come applicazione.

2.1 Installazione su dispositivo hardware

L'installazione standard di Sentinel prevede l'installazione di tutti i componenti di Sentinel su un computer. Se si desidera eseguire un'installazione di Sentinel personalizzata oppure come utente non root, consultare Installazione di Sentinel nella Guida alla configurazione e all'installazione di NetIQ Sentinel 7.0.1.

Per installare Sentinel:

  1. Scaricare il file di installazione di Sentinel dalla pagina Web dei download di Novell.

    1. Nel campo Product or Technology (Prodotto o tecnologia) sfogliare e selezionare SIEM-Sentinel.

    2. Fare clic su Cerca.

    3. Fare clic sul pulsante nella colonna Download in corrispondenza di Sentinel 7.0 Evaluation.

    4. Fare clic su proceed to download (procedi con il download), quindi specificare il nome e la password cliente.

    5. Fare clic su download per la versione di installazione compatibile con la piattaforma in uso.

  2. Utilizzare il seguente comando per estrarre il file di installazione:

    tar xfz <install_filename>

    Sostituire <nomefile_installazione> con il nome attuale del file di installazione.

  3. Utilizzare il seguente comando per eseguire lo script install-sentinel: 

    ./install-sentinel

  4. Specificare il numero relativo alla lingua di installazione desiderata, quindi premere INVIO.

    Il valore di default è 3 e corrisponde alla lingua inglese.

    Il contratto di licenza con l'utente finale viene visualizzato nella lingua selezionata.

  5. Premere la BARRA SPAZIATRICE per leggere il contratto di licenza.

  6. Immettere yes o y per accettare la licenza e continuare con l'installazione.

    Il completamento dell'installazione richiede alcuni minuti.

  7. Quando viene richiesto, immettere 1 per procedere con l'installazione standard di Sentinel 7.0.

  8. Specificare una password due volte per l'account admin di default che viene creato durante la configurazione.

Per informazioni dettagliate, consultare Installazione di Sentinel nella Guida alla configurazione e all'installazione di NetIQ Sentinel 7.0.1.

2.2 Installazione dell'applicazione

L'applicazione è disponibile per le piattaforme virtuali VMware ESX, Xen e Hyper-V. È anche possibile installare l'applicazione su dispositivi hardware. Le seguenti istruzioni sono relative al server VMware ESX. Per istruzioni relative ad altre piattaforme, consultare Installazione dell'applicazione nella Guida alla configurazione e all'installazione di NetIQ Sentinel 7.0.1.

  1. Effettuare il download del file di installazione dell'applicazione VMware.

    Il file corretto per l'applicazione VMware contiene vmx nel nome file.

  2. Stabilire un archivio dati ESX sul quale possa essere installata l'immagine dell'applicazione.

  3. Eseguire il login come amministratore al server in cui si desidera installare l'applicazione.

  4. Utilizzare il seguente comando per estrarre l'immagine compressa dell'applicazione dal computer in cui è installato VM Converter: 

    tar zxvf <install_file>

    Sostituire <file_installazione> con il nome effettivo del file.

  5. Per importare l'immagine di VMware al server ESX, utilizzare VMware Converter e seguire le istruzioni visualizzate sullo schermo durante l'installazione guidata.

  6. Eseguire il login nel computer del server ESX.

  7. Selezionare l'immagine VMware importata dell'applicazione e fare clic sull'icona Power On (Accensione).

  8. Selezionare la lingua che si desidera, quindi fare clic su Avanti.

  9. Selezionare il layout della tastiera, quindi fare clic su Avanti.

  10. Leggere e accettare il contratto di licenza del software Novell SUSE Linux Enterprise Server.

  11. Leggere e accettare il contratto di licenza con l'utente finale di NetIQ Sentinel.

  12. Nella schemata Nome host e nome dominio, specificare il nome host e il nome del dominio.

  13. Assicurarsi che l'opzione Assegnare il nome host all'IP di loopback sia selezionata.

  14. Selezionare Avanti. La configurazione del nome host è salvata.

  15. Effettuare una delle seguenti operazioni:

    • Per utilizzare le impostazioni di connessione alla rete attuali, selezionare Use the following configuration (Utilizza la configurazione seguente) nella schermata Network Configuration II (Configurazione di rete II).

    • Per modificare le impostazioni della connessione, selezionare Change (Modifica), quindi apportare le modifiche desiderate.

  16. Fare clic su Avanti per salvare le impostazioni della connessione di rete.

  17. Impostare la data e l'ora, fare clic su Avanti, quindi su Fine.

    Per modificare la configurazione NTP una volta completata l'installazione, utilizzare YaST dalla riga di comando dell'applicazione. WebYast può essere utilizzato per modificare l'ora e la data, ma non la configurazione NTP.

    Se immediatamente dopo aver completato l'installazione, l'ora visualizzata non è sincronizzata, eseguire il comando seguente e riavviare NTP:

    rcntp restart

  18. Impostare la password root di Novell SUSE Enterprise Server, quindi fare clic su Avanti.

  19. Impostare la password root, quindi fare clic su Avanti.

  20. Impostare la password admin e la password dbauser di Sentinel, quindi fare clic su Avanti.

  21. Fare clic su Avanti. Le impostazioni della connessione di rete sono salvate.

    Al termine dell'installazione, annotare l'indirizzo IP dell'applicazione mostrato nella console.

Per informazioni sulla configurazione post-installazione, consultare Configurazione dell'applicazione successiva all'installazione nella Guida alla configurazione e all'installazione di NetIQ Sentinel 7.0.1.

3.0 Accesso all'interfaccia Web di Sentinel

In seguito all'installazione di Sentinel, la fase successiva consiste nell'accedere all'interfaccia Web di Sentinel per eseguire attività di amministrazione e per configurare le impostazioni di raccolta dati di Sentinel.

Per accedere all'interfaccia Web, specificare il seguente URL nel browser Web:

https://<indirizzo_IP_server_Sentinel>:8443

Il valore di default per la porta è 8443.

4.0 Raccolta dei dati

La raccolta dei dati avviene mediante connettori e servizi di raccolta. Per default, Sentinel include alcuni connettori e servizi di raccolta già installati e configurati.

Per default, sono installati server syslog TCP, UDP e SSL sul server di Sentinel. Se si utilizza l'applicazione, i server syslog vengono automaticamente configurati nel momento in cui iniziano a ricevere eventi dal file syslog locale.

È possibile configurare i dispositivi syslog, come un server Linux, per l'invio di informazioni ai server syslog. Inoltre, è possibile configurare connettori aggiuntivi per consentire la raccolta di dati in Sentinel.

4.1 Configurazione di un server Linux per l'invio di informazioni syslog a Sentinel

Il server Sentinel contiene un server di origine eventi syslog preconfigurato in ascolto per nuove connessioni in entrata sulle seguenti porte:

  • TCP: 1468

  • UDP: 1514

  • SSL: 1443

Utilizzare le seguenti informazioni per configurare un server Linux per l'invio di eventi al server di origine eventi syslog TCP.

Per configurare il file syslog su Linux:

  1. Aprire il file /etc/syslog-ng/syslog-ng.conf.

  2. Aggiungere le seguenti righe di codice alla fine del file syslog-ng.conf.

    # Forward all messages to Sentinel:
#
destination d_slm { tcp("127.0.0.1" port(1468)); };
log { source(src); destination(d_slm); };

  3. Modificare il valore di TCP sostituendolo con l'indirizzo IP del server Linux.

  4. Salvare e chiudere il file.

  5. Riavviare il servizio syslog:

    /etc/init.d/syslog restart

Per i dettagli sulla configurazione dei dispositivi per l'invio di informazioni al connettore syslog, consultare la documentazione del connettore syslog disponibile nella pagina Web dei plug-in di Sentinel.

4.2 Configurazione della raccolta dati per Windows

Se si utilizza un sistema Windows da cui si desidera raccogliere dati, è necessario configurare un connettore (VMI) eventi di Windows. Il connettore eventi di Windows viene installato in Gestione servizi di raccolta e riceve gli eventi dal servizio di raccolta eventi di Windows installato sul server Windows.

Configurazione del connettore eventi di Windows

  1. Eseguire il login all'interfaccia Web di Sentinel.

    https://<indirizzo_IP_server_Sentinel>:8443

    La porta di default è la 8443.

  2. Fare clic su Applicazioni nella barra degli strumenti, quindi fare clic su Launch Control Center (Avvia Control Center).

  3. Eseguire il login a Sentinel Control Center con il nome utente e la password di amministratore, quindi fare clic su Login.

  4. Dalla barra degli strumenti, fare clic su Event Source Management (Gestione origine eventi) > Live View (Vista in tempo reale).

  5. Aggiungere un servizio di raccolta specifico di Windows in Gestione servizi di raccolta.

    Per aggiungere il connettore eventi di Windows, è necessario aver configurato un servizio di raccolta specifico di Windows.

    1. Fare clic con il pulsante destro del mouse su Gestione servizi di raccolta, quindi fare clic su Add Collector (Aggiungi servizio di raccolta).

    2. Selezionare Microsoft nella colonna Vendor (Fornitore), quindi selezionare la versione in uso di Windows o Active Directory nella colonnaVersione.

    3. Fare clic su Avanti.

    4. Selezionare gli script da visualizzare, quindi fare clic su Avanti.

    5. Modificare i parametri di configurazione desiderati, quindi fare clic su Avanti.

    6. Impostare eventuali parametri di configurazione aggiuntivi per il servizio di raccolta, quindi fare clic su Fine.

  6. Aggiungere il connettore eventi di Windows al servizio di raccolta creato in Passaggio 5:

    1. Fare clic con il pulsante destro del mouse sul servizio di raccolta, quindi fare clic su Add Connector (Aggiungi connettore).

    2. Selezionare il connettore eventi di Windows, quindi fare clic su Avanti.

    3. Configurare le impostazioni di rete per il server connettore eventi di Windows, quindi fare clic su Avanti.

    4. Configurare le impostazioni SSL e fare clic su Avanti.

    5. Selezionare la modalità di gestione del connettore eventi di Windows.

      • Manuale: selezionare questa opzione per gestire manualmente l'origine eventi.

      • Automatica: selezionare questa opzione per eseguire la sincronizzazione automatica con Active Directory

    6. Fare clic su Avanti.

    7. Specificare le credenziali utente utilizzate per la connessione al servizio di raccolta eventi di Windows e per la connessione all'origine eventi.

    8. Specificare i parametri di configurazione, quindi fare clic su Fine.

  7. Aggiungere un'origine eventi per i sistemi Windows in cui si desidera raccogliere i dati.

    1. Fare clic con il pulsante destro del mouse sul connettore eventi di Windows, quindi fare clic su Add Event Source (Aggiungi origine eventi).

    2. Specificare l'indirizzo IP o il nome host del sistema Windows

      oppure

      Selezionare un sistema Windows da Active Directory, quindi fare clic su Avanti.

    3. Selezionare una modalità di connessione per l'origine eventi, quindi fare clic su Avanti.

    4. Specificare i parametri di configurazione per l'origine eventi, quindi fare clic su Fine.

Installazione del servizio di raccolta eventi di Windows sul server Windows

  1. Verificare di aver creato un account utente sul server Windows con i diritti appropriati per eseguire il servizio di raccolta eventi di Windows e per eseguire la raccolta di eventi dai log degli eventi di Windows dei sistemi Windows remoti. I diritti sono:

    • Autorizzazione all'accesso ai log degli eventi di Windows

    • Autorizzazioni WMI

    • Autorizzazioni DOCM

    • È necessario aver assegnato i diritti di lettura, scrittura ed eliminazione ACL al gruppo Distributed COM Users per tutti i tipi di log degli eventi.

    • Autorizzazione in lettura per il log degli eventi di protezione

    • Per installare l'agente di Windows è necessario disporre dei privilegi di amministratore.

    • Gli utenti devono disporre del diritto Accedi come servizio.

    Per ulteriori informazioni, consultare la documentazione relativa al connettore eventi di Windows nella pagina Web dei plug-in di Sentinel. Le informazioni sulle autorizzazioni si trovano nei capitoli 4 e 5.

  2. Copiare il file WindowsEvent-CollectionService.msi dal file .zip del connettore eventi di Windows sul server Windows in cui si desidera installare il servizio di raccolta eventi di Windows.

  3. Fare doppio clic sul file WindowsEvent-CollectionService.msi per avviare l'installazione guidata del servizio di raccolta eventi di Windows.

  4. Nella schermata di benvenuto, fare clic su Avanti.

  5. (Condizionale) Leggere l'avviso sulla limitazione del supporto e fare clic su Avanti.

  6. Accettare la licenza utente, quindi fare clic su Avanti.

  7. Utilizzare le informazioni seguenti per personalizzare la configurazione del servizio di raccolta eventi di Windows

    Funzioni aggiuntive: Selezionare le funzionalità da installare. Non tutte le funzionalità vengono installate di default. Le funzionalità disponibili sono le seguenti.

    • Servizio di raccolta: consente di installare il servizio di raccolta eventi di Windows che comunica con Sentinel.

    • Documentazione: consente di installare la documentazione fornita con il connettore.

    Ubicazione: (facoltativo) consente di modificare l'ubicazione di default dell'installazione facendo clic su Sfogliatura e selezionando una nuova ubicazione. L'ubicazione di installazione di default è Programmi\Novell\SentinelWECS.

    Utilizzo di spazio disco: (facoltativo) Fare clic su Utilizzo di spazio disco per stabilire se è disponibile spazio sufficiente sul disco per installare il servizio di raccolta eventi di Windows.

  8. Fare clic su Avanti.

  9. Definire l'account del servizio utilizzato dal servizio di raccolta eventi di Windows per eseguire la connessione alle origini eventi esterne di Windows.

    Account del sistema locale: selezionare questa opzione per eseguire il servizio di raccolta eventi di Windows come utente account del sistema locale. Se si seleziona questa opzione, è necessario specificare le credenziali utente durante la distribuzione del connettore eventi di Windows su Gestione servizi di raccolta.

    Questo nome account: selezionare questa opzione per eseguire il servizio di raccolta eventi di Windows come utente specifico o utente di dominio. Utilizzare le credenziali dell'utente con i diritti per eseguire il servizio di raccolta eventi di Windows.

    Il sistema di raccolta eventi di Windows deve avere accesso in lettura al log degli eventi di Windows su ciascun sistema di origine eventi da monitorare. Di conseguenza, gli utenti creati devono disporre delle autorizzazioni appropriate assegnate su ciascun sistema di origine eventi.

    Avvia il servizio una volta installato: selezionare questa opzione per impostare l'avvio del servizio di raccolta eventi di Windows al termine dell'installazione.

  10. Fare clic su Avanti.

  11. Fare clic su Installa per installare il servizio di raccolta eventi di Windows.

  12. Fare clic su Fine per chiudere la configurazione guidata.

Al termine dell'installazione del servizio di raccolta eventi di Windows, è necessario configurarlo.

Configurazione del servizio di raccolta eventi di Windows

  1. Aprire il file eventManagement.config utilizzando un editor di file.

    L'ubicazione di default del file è Programmi\Novell\SentinelWECS.

  2. Nella sezione <client>, copiare la riga endPoint address e incollarla sotto alla riga esistente. Sostituire l'indirizzo IP esistente con l'indirizzo IP del server (Gestione servizi di raccolta) a cui si collega il servizio di raccolta eventi di Windows e il numero della porta utilizzata per la comunicazione con il connettore.

    Ad esempio:

    <client>
    <!-- Additional collectors/plugins can be added with different host/
port configurations -->
    <!-- <endPoint address="tcp://127.0.0.1:1024" 
behaviorConfiguration="localhost" />-->
    <endPoint address="tcp://<IP_address_Sentinel_server:<port_number>" 
behaviorConfiguration="localhost" />-->
  </client>

  3. è possibile configurare tutti i connettori desiderati ripetendo quanto descritto in Passaggio 2. È possibile configurare un agente per più connettori o un agente per un singolo connettore.

  4. Salvare e chiudere il file eventManagement.config.

  5. Aprire la finestra Servizio per avviare il servizio di raccolta eventi di Windows.

    1. Fare clic su Start > Esegui per aprire la finestra di dialogo Esegui.

    2. Digitare services.msc e fare clic su OK.

  6. Selezionare Sentinel Windows Event Connection Service, quindi fare clic con il pulsante destro del mouse e selezionare Avvia per avviare il servizio di raccolta eventi di Windows.

  7. Chiudere la finestra Servizio.

Per ulteriori informazioni su Microsoft Active Directory, sul servizio di raccolta di Windows e sul connettore (VMI) eventi di Windows, consultare la pagina dei plug-in di Sentinel.

4.3 Configurazione di connettori e servizi di raccolta aggiuntivi

I connettori e i servizi di raccolta aggiuntivi vengono installati sul server Sentinel durante l'installazione di Sentinel. Tuttavia, sono spesso disponibili nuovi connettori e servizi di raccolta aggiornati.

Verificare la pagina Web dei plug-in di Sentinel per le versioni aggiornate dei connettori e dei servizi di raccolta.

Se è necessario configurare un connettore o un servizio di raccolta non configurato di default, consultare Aggiunta di ulteriori componenti di Sentinel nella Guida alla configurazione e all'installazione di NetIQ Sentinel 7.0.1.

5.0 Operazione successiva

A questo punto, Sentinel è installato. Per la configurazione di Sentinel sono disponibili due guide: la NetIQ Sentinel 7.0.1 Administration Guide (Guida all'amministrazione di NetIQ Sentinel 7.0.1) e la NetIQ Sentinel 7.0 User Guide (Guida per l'utente di NetIQ Sentinel 7.0.1).

La guida all'amministrazione contiene informazioni sulla configurazione per attività che solo gli utenti amministratori sono autorizzati ad eseguire. Ad esempio:

Per ulteriori informazioni relative a questi e ad altri task amministrativi, consultare la NetIQ Sentinel 7.0.1 Administration Guide (Guida all'amministrazione di NetIQ Sentinel 7.0.1).

La guida per l'utente contiene istruzioni per l'esecuzione di attività utente in Sentinel. Ad esempio:

Per ulteriori informazioni relative a questi e ad altri task dell'utente, consultare la NetIQ Sentinel 7.0.1 User Guide (Guida per l'utente di NetIQ Sentinel 7.0.1).

È possibile configurare Sentinel per l'analisi degli eventi, per l'aggiunta di dati mediante regole di correlazione, per l'impostazione delle linee di base, per la configurazione dei flussi di lavoro che intervengono sulle informazioni e per altre funzioni ancora. Per configurare queste funzioni di Sentinel utilizzare le istruzioni contenute nella NetIQ Sentinel 7.0.1 Administration Guide (Guida all'amministrazione di NetIQ Sentinel 7.0).

6.0 Note legali:

NetIQ Corporation ("NetIQ") non rilascia alcuna dichiarazione e non fornisce alcuna garanzia in merito al contenuto o uso di questa documentazione e, in modo specifico, non riconosce alcuna garanzia, espressa o implicita, di commerciabilità o idoneità per un fine particolare. NetIQ, inoltre, si riserva il diritto di aggiornare la presente pubblicazione e di modificarne il contenuto in qualsiasi momento, senza alcun obbligo di notificare tali revisioni o modifiche a qualsiasi persona fisica o giuridica. NetIQ non rilascia alcuna dichiarazione e non fornisce alcuna garanzia in merito ad alcun software e, in modo specifico, non riconosce alcuna garanzia, espressa o implicita, di commerciabilità o idoneità per un fine particolare. NetIQ, inoltre, si riserva il diritto di modificare qualsiasi parte del software in qualsiasi momento, senza alcun obbligo di notificare tali modifiche a qualsiasi persona fisica o giuridica. Qualsiasi informazione tecnica o prodotto fornito in base a questo Contratto può essere soggetto ai controlli statunitensi relativi alle esportazioni e alla normativa sui marchi di fabbrica in vigore in altri paesi. L'utente si impegna a rispettare la normativa relativa al controllo delle esportazioni e a ottenere qualsiasi licenza o autorizzazione necessaria per esportare, riesportare o importare prodotti finali. L'utente si impegna inoltre a non esportare o riesportare verso entità incluse negli elenchi di esclusione delle esportazioni statunitensi o a qualsiasi paese sottoposto a embargo o che sostiene movimenti terroristici, come specificato nella legislazione statunitense in materia di esportazioni. L'utente accetta infine di non utilizzare i prodotti a fini proibiti correlati all'uso di armi nucleari, missilistiche o biochimiche. NetIQ non si assume alcuna responsabilità per il mancato rilascio delle autorizzazioni necessarie all'esportazione da parte dei clienti. Copyright © 2012 Novell, Inc. Tutti i diritti riservati. È vietato riprodurre, fotocopiare, memorizzare su un sistema di recupero o trasmettere la presente pubblicazione o parti di essa senza l'espresso consenso scritto dell'editore. Tutti i marchi di fabbrica di terze parti appartengono ai rispettivi proprietari. Per ulteriori informazioni, contattare NetIQ all'indirizzo: 1233 West Loop South, Houston, Texas 77027 Stati Uniti www.netiq.com.