Decoder : Mapper l'adresse IP avec le type de service

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit la procédure pour mapper une adresse IP à un type de service pour l'analyse de log.

Le Log Collector découvre le type de source d'événement de chaque message. Si l'analyseur n'est pas approprié à la source d'événement spécifiée, les messages qui sont communs entre les types de sources d'événements seront mal classés. Les messages mal identifiés ne renseignent pas les règles ni les alertes de service, et les rapports ne contiennent pas les informations appropriées. En outre, s'il y a plusieurs services associés à une adresse IP, il peut être difficile pour les analyseurs d'identifier le service exact à partir duquel le log est généré. 

Si vous mappez une adresse IP à ses services, le Log Decoder peut identifier le service à partir duquel le log est généré. Lorsque les messages sont dans le Log Decoder à partir d'un service mappé, les analyseurs affectés sont chargés de trouver les correspondances d'événements. 

Vous pouvez attribuer des types de services à la valeur du nom d'hôte, IPV4 et IPV6 de l'événement source. Vous pouvez également affecter plusieurs types de services à une seule adresse IP. Vous pouvez aussi utiliser CollectorID lorsque différents types de services avec la même adresse IP sont envoyés à différents collecteurs.

Procédure

Pour mapper une adresse IP à un type de service, procédez comme suit :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la vue Services, sélectionnez un Log Decoder, et dans la colonne Actions, sélectionnez Menu Actions détouré > Vue > Explorer.
  3. Accédez au nœud /decoder/parsers, cliquez avec le bouton droit sur parsers, puis sélectionnez Propriétés.
  4. Dans la vue Propriétés, spécifiez la commande ipdevice avec les paramètres suivants :
    op=edit entries="+/-ipaddress=service”reload=true (par exemple, op=edit entries="+10.100.201.300=ciscoasa" reload=true)
  5. Cliquez sur Envoyer.
    Parser_Properties_View.png

Commande IPdevice

Dans la commande ipdevice, deux opérations sont disponibles :

  • Edit : Vous pouvez utiliser cette opération pour ajouter et supprimer des entrées dans le mappage ipdevice.
    • Pour ajouter une entrée, spécifiez :
      +<IP value> = <service type>
    • Pour supprimer une entrée, spécifiez :
      -<IP value> = <service type>
  • Décrire : Cette opération renvoie les valeurs actuellement présentes dans le mappage ipdevice.

Commande reload

Vous devez recharger l'analyseur après avoir modifié le mappage  ipdevice à l'aide de la commande reload=true.  En revanche, cette opération ne doit pas être effectuée après chaque entrée, mais uniquement à la fin de la tâche. Vous pouvez également remplacer une configuration existante en modifiant la valeur. La nouvelle valeur prend effet après le rechargement de l'analyseur.

Résultat

Security Analytics mappe l'adresse IP aux types de services dans le Log Decoder.

Exemples 

Les exemples suivants fournissent différentes instances pour le mappage de l'adresse IP aux types de services :

  • Si vous souhaitez mapper deux entrées différentes avec des valeurs IPV4 et des types de services différents, saisissez le paramètre suivant dans la commande ipdevice, puis cliquez sur Envoyer.
    op=edit entries=”+10.5.245.9=ciscoasa +10.5.245.45=vmware_vcloud”
  • Si vous souhaitez supprimer une entrée pour une valeur IPV4 et un type de service uniques, saisissez le paramètre suivant dans la commande ipdevice, puis cliquez sur Envoyer.
    op=edit entries=”-10.5.245.9=ciscoasa” 
  • Si vous souhaitez créer une entrée unique pour une valeur IPV6 et un type de service, saisissez le paramètre suivant dans la commande ipdevice, puis cliquez sur Envoyer.
    op=edit entries=”+ 2001:0db8:85a3:0000:0000:8a2e:0370:7353=vmware_esx_esxi"
  • Si vous souhaitez créer une entrée unique pour une valeur IPV4 unique qui dispose de deux types de service, et si vous souhaitez envoyer chaque type de service à des collecteurs différents, saisissez le paramètre suivant dans la commande ipdevice, puis cliquez sur Envoyer.
    op=edit entries="+10.168.0.2,nwappliance20819=rhlinux +10.168.0.2,nwappliance3014=apache"
  • Si vous souhaitez créer une entrée pour un nom d'hôte unique avec deux types de service différents, et si vous souhaitez charger l'analyseur, saisissez le paramètre suivant dans la commande ipdevice, puis cliquez sur Envoyer.
    op=edit entries=”+RS214Server-2=rhlinux,apache” reload=true
You are here
Table of Contents > Procédures supplémentaires > Mapper l'adresse IP avec le type de service

Attachments

    Outcomes