Decoder : Créer des clés méta personnalisées à l'aide d'un feed personnalisé

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des informations sur la façon d'ajouter des clés méta personnalisées à l'aide d'un feed personnalisé au service Log Decoder.

Vous pouvez créer des clés méta personnalisées pour récupérer des données, rechercher et analyser les logs et les paquets. Les clés méta personnalisées vous permettent d'ajouter un contexte d'enrichissement pour les données des logs et des paquets. Ce document met en évidence les changements de configuration pour refléter les clés méta personnalisées dans le schéma des services Concentrator, ESA, Archiver, Warehouse Connector et Reporting Engine.

Voici un exemple de création de clé méta personnalisée dans le service Log Decoder. Dans ce scénario, une organisation veut suivre l'emplacement d'une ressource, telle qu'une imprimante. Donc, une clé méta personnalisée source locationest introduite pour désigner l'emplacement de la ressource, par exemple l'Imprimante1, qui est située au « 5ème étage - Aile A ». 

Remarque : Les clés méta personnalisées peuvent également être créées dans le service Decoder. Veillez à sélectionner le fichier index.decoder.xml lorsque vous créez un méta personnalisé dans le service Decoder.

Procédure

Ajouter une clé méta personnalisée au service Log Decoder

Pour ajouter des clés méta personnalisées à l'aide du feed personnalisé :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services > Log Decoder.
  2. Sélectionnez un service, puis cliquez sur ic-actns.png> Vue > Config > onglet Fichiers  > index-logdecoder-custom.xml.

<Language>
 <?xml version="1.0" encoding="utf-8"?>
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexNone" name="location.src" format="Text"/>
</Language>

  1. Redémarrez le service Log Decoder. Dans la vue Services, cliquez sur ic-actns.png > Redémarrer.

Déployer des ressources dans Live

Pour déployer le feed dans l'environnement Live :

  1. Dans le menu Security Analytics, sélectionnez Live > Feed.
  2. Dans la barre d’outils, cliquez sur Icon-Add.png.
    La boîte de dialogue Configurer le feed s'affiche.

add_custom_feed_1051.png

  1. Pour sélectionner le type de feed, cliquez sur Feed personnalisé puis sur Suivant.
    Le panneau Configurer un feed personnalisé s'affiche avec le formulaire Définir le feed ouvert.
    Saisissez le nom et téléchargez le fichier CSV du feed.define_feed.png
  2. Cliquez sur Suivant.
  3. Sélectionnez le service Log Decoder, où le feed doit être téléchargé.log_decoder_service.png
  4. Dans la section Définir l'index, sélectionnez le type d'index, la colonne de l'index et la clé de rappel. Dans la section Définir les valeurs, saisissez la clé méta personnalisée.
    Le contenu du fichier .csv s'affiche dans l'assistant de configuration d'un feed. Dans ce cas, la première colonne indique le nom d'hôte de la ressource et la deuxième colonne indique l'emplacement de la ressource.

Remarque : L'adresse IP source doit être indexée en sélectionnant le type 'IP' car  ip.src. et ip.dst sont au format IPv4. 

define_customs.png

Dans ce scénario, une clé méta personnalisée location.src (source de localisation) est ajoutée par l'indexation du nom d'hôte (alias.host). Dans cet exemple, le nom d'hôte de l'imprimante est renseigné dans la clé méta 'alias.host'. Par conséquent, sélectionnez 'alias.host' comme clé de rappel et le type d’index comme 'Non IP' dans l’Assistant Feed, comme indiqué ci-dessous. Dans la section Définir les valeurs, sélectionnez la clé méta personnalisée dans le menu déroulant.

  1. Cliquez sur Suivant.
  2. Cliquez sur Terminé.

Pour plus d'informations sur l'assistant de configuration des feeds, reportez-vous à la rubrique Créer et déployer un Feed personnalisé à l'aide de l'assistant.

Ajouter l'entrée méta personnalisée au fichier d'index du service Concentrator

Pour ajouter l'entrée méta personnalisée au fichier d'index du service Concentrator :

  1. Dans le menu Security Analytics, sélectionnez Administration Services > Concentrator.
  2. Cliquez sur ic-actns.png > Vue > Config > onglet Fichiers > index-concentrator-custom.xml.
  3. Ajouter l'entrée méta personnalisée au fichier d'index du service Concentrator.

 <Language>
  <?xml version="1.0" encoding="utf-8"?>
  <Language level="IndexNone" defaultAction="Auto">
  <!-- Reserved Meta key for Feed -->
  <Key description="Source Location"  level="IndexValues" name="location.src" format="Text"                 valueMax="10000" defaultAction="Open"/>
 </Language>

  1. Redémarrez les services Concentrator. Dans la vue Services, cliquez sur ic-actns.png > Redémarrer.

Remarque : Dans le cas du service Broker, ce dernier récupère son index du service Concentrator à partir duquel il effectue l'agrégation. Vous n'avez donc pas besoin de créer un méta personnalisé dans le service Broker. Si vous n'avez pas indexé la clé méta dans le service Concentrator, le service Broker ne sera pas affiché sous Investigation.

Rechercher 

Remarque : Veillez à vous déconnecter et vous reconnecter à partir de l'interface utilisateur de Security Analytics, pour pouvoir afficher la clé méta personnalisée dans Investigation.

Pour effectuer la recherche de la clé méta personnalisée : 

  1. Dans le menu Security Analytics, sélectionnez Investigation > Naviguer.
  2. Sélectionnez un service Concentrator.
  3. Cliquez sur Naviguer

    investigation_output_10501.png

Voici un exemple de rapport exécuté sur le service Concentrator.

Concentrator_Output.png

Procédures supplémentaires

Les procédures suivantes doivent être exécutées si vous avez configuré les services Warehouse Connector, Archiver, Reporting Engine et ESA.

Mettre à jour le schéma dans ESA 

Avant de mettre à jour le schéma dans ESA, la clé méta personnalisée doit être indexée dans le service Concentrator.

Pour mettre à jour les règles ESA du schéma et pouvoir utiliser les nouvelles clés méta personnalisées :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services> ESA- Event Stream Analysis > Vue > Config.
  2. Modifiez la source de données Concentrator.
  3. Cliquez sur Tester la connexion.

ESA_test_connection_1051.png

  1. Cliquez sur Enregistrer une fois la connexion établie.
  2. Cliquez sur Appliquer.
  3. Accédez à Alertes > Configurer Paramètres.

ESA_settings_1051.png

  1. Cliquez sur l'onglet Rechercher , puis recherchez le nom de la clé méta personnalisée.
    Le nom et le type de la clé méta personnalisée apparaissent.

ESA_display_1051.png

Mettre à jour le schéma dans Archiver

Si vous souhaitez configurer Security Analytics Archiver, à l'aide des clés méta personnalisées, vous devez mettre à jour le schéma Archiver dans le Reporting Engine.

Pour mettre à jour le schéma Archiver dans Reporting Engine :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services > Archiver.
  2. Cliquez sur ic-actns.png> Vue > Config > Fichiers > index-archiver-custom.xml.
  3. Ajoutez l'entrée méta personnalisée dans le fichier d'index Archiver.

<Language>
 <?xml version="1.0" encoding="utf-8"?> 
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexValues" name="location.src" format="Text"
 valueMax="10000" defaultAction="Open"/>
</Language>

  1. Redémarrez le service Archiver. Cliquez sur ic-actns.pngRedémarrer.
    Le schéma Archiver est mis à jour avec la clé méta personnalisée.

Mettre à jour le schéma dans Warehouse Connector

Si vous souhaitez configurer Security Analytics Warehouse avec le méta personnalisé et l'utiliser dans le rapport Warehouse, vous devez mettre à jour le schéma Warehouse dans le Reporting Engine.

Si le service Log Decoder ou Decoder, où la clé méta personnalisée est ajoutée, représente l'une des sources du flux Warehouse Connector, vous devrez mettre à jour le schéma dans Warehouse Connector.

Pour mettre à jour le schéma Warehouse dans Reporting Engine :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services > Warehouse Connector.
  2. Cliquez sur ic-actns.png > Vue > Config > onglet Fichiers  > index-logdecoder-custom.xml.
  3. Sélectionnez le flux, puis cliquez sur Recharger.
    Le service Warehouse Connector extrait le schéma des périphériques en aval (Log Decoder/Decoder).warehouse_connector_streams_1051.png

Pour plus d’informations sur les flux, reportez-vous à la rubrique Configurer les flux dans le Guide de configuration de Warehouse Connector.

Mettre à jour le schéma dans Reporting Engine

Pour mettre à jour le schéma dans Reporting Engine :

  1. Dans le menu Security Analytics, sélectionnez Administration> Services Reporting Engine.
  2. Cliquez sur  ic-actns.png > Redémarrer.

Remarque : Redémarrez le Reporting Engine ou patientez trente minutes pour que le schéma se mette à jour.

Pour afficher la clé méta personnalisée :

  1. Accédez à Rapports > Règles.
  2. Dans la barre d’outils, cliquez sur Icon-Add.png.
  3. Sélectionnez Base de données Warehouse.
  4. Dans la page Élaborer une règle, recherchez le méta personnalisé dans le panneau droit de la page.
    La clé méta personnalisée s'affiche.

RE_schema_10501.png

You are here
Table of Contents > Procédures supplémentaires > Créez des clés méta personnalisées à l'aide d'un feed personnalisé

Attachments

    Outcomes