Configurer des alertes ECAT via Syslog dans un Log Decoder

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit les instructions permettant de configurer l'utilisation des données RSA ECAT dans Security Analytics pour fournir des alertes ECAT via Syslog dans les sessions Log Decoder. Cela génère des métadonnées qui sont utilisées par les modules Investigation, Alertes et Reporting Engine de Security Analytics.

Pour les réseaux Security Analytics qui consomment des logs, l'intégration d'ECAT avec Security Analytics transmet les événements ECAT vers Log Decoder via des messages syslog au format CEF (Common Event Format) et génère des métadonnées utilisées par Security Analytics Investigation, Alerts et Reporting Engine. Le cas d'utilisation pour cette intégration est l'intégration SIEM pour permettre la gestion centralisée des événements, la corrélation entre des événements ECAT et d'autres données Log Decoder, le reporting Security Analytics sur les événements ECAT, et les alertes Security Analytics sur les événements ECAT.

Conditions préalables

Cette intégration requiert ce qui suit :

  • Interface utilisateur ECAT Version 4.0 ou supérieure
  • Serveur Security Analytics version 10.4 ou supérieure installée.
  • RSA Log Decoder et Concentrator version 10.4 ou supérieure connectés au serveur Security Analytics sur le réseau.
  • Port 514 ouvert entre le serveur ECAT et Log Decoder derrière le pare-feu.

Procédure

Pour configurer cette intégration, effectuez les étapes suivantes :

  1. Déployez le parser requis (CEF ou ECAT) vers le Log Decoder, comme décrit dans la rubrique Gérer les ressources Live de la Gestion des services Live.

Remarque : N'utilisez qu'un seul de ces parsers. Lorsque le parser CEF est déployé, il prévaut sur le parser ECAT, et tous les messages CEF dans Security Analytics sont traités par le parser CEF. L'activation des deux parsers est un fardeau inutile sur les performances.

  1. Configurez ECAT afin qu'il envoie la sortie syslog vers Security Analytics et qu'il génère des alertes eCAT dans Log Decoder.
  2. (Facultatif) Modifiez le mappage de table dans table-map-custom.xml et index-concentrator-custom.xml pour ajouter des champs en fonction des préférences utilisateur pour les métadonnées devant être mappées dans Security Analytics.

Configurez ECAT pour envoyer la sortie Syslog vers Security Analytics

Pour ajouter Log Decoder en tant que composant externe Syslog et générer des alertes ECAT vers Log Decoder :

Pour ECAT version 4.0

  1. Ouvrez l'interface utilisateur ECAT et connectez-vous en utilisant les informations d'identification adéquates.
  2. Dans la barre du menu, sélectionnez Configurer > Composants de surveillance et externes.
  3. Cliquez avec le bouton droit sur la boîte de dialogue, puis sélectionnez Ajouter un composant.Dans la boîte de dialogue, renseignez les champs requis pour activer les messages Syslog :

    Type de composant = Syslog
    Nom unique = Nom descriptif pour le Log Decoder
    IP = Adresse IP de RSA Log Decoder
    Port = 514

  4. Cliquez sur Paramètres.
  5. Dans la boîte de dialogue Configurer Syslog, sélectionnez UDP ou TCP selon les besoins de votre serveur syslog comme protocole de transport.
  6. Cliquez deux fois sur Enregistrer pour fermer les boîtes de dialogue.
  7. Cochez la case Activer pour activer le composant.
  8. Cliquez sur Fermer pour terminer.

  9. Cliquez sur IOC instantanés et modifiez les paramètres afin que des alertes puissent se déclencher.

Lorsque les IOC instantanés sont déclenchés, les alertes Syslog du serveur ECAT sont envoyées au Log Decoder. Les alertes Log Decoder sont alors ajoutées au Concentrator. Ces événements sont alors injectés au Concentrator comme métadonnées.

Pour ECAT version 4.1

  1. Ouvrez l'interface utilisateur ECAT et connectez-vous en utilisant les informations d'identification adéquates.
  2. Dans la barre du menu, sélectionnez Configurer > Composants de surveillance et externes.

    La boîte de dialogue Configuration des composants externes s'affiche.

  3. Dans SYSLOG Server, cliquez sur +.

    La boîte de dialogue SYSLOG Server s'affiche.

    syslog-svr.png

  4. Renseignez les champs obligatoires pour activer les messages Syslog :

    Sur = Nom descriptif pour le Log Decoder
    Nom d’hôte/adresse IP du serveur = Adresse IP ou nom d'hôte DNS de RSA Log Decoder
    Port = 514
    Protocole de transport = Sélectionnez UDP ou TCP en fonction de votre SyslogServer pour le protocole de transport.

  5. Cliquez sur Enregistrer.
  6. Cliquez sur IOC instantanés et modifiez les paramètres afin que des alertes puissent se déclencher.

    instant-iocs-ecat.png

Lorsque les IOC instantanés sont déclenchés, les alertes Syslog du serveur ECAT sont envoyées au Log Decoder. Les alertes Log Decoder sont alors ajoutées au Concentrator. Ces événements sont alors injectés au Concentrator comme métadonnées.

Modifiez le mappage de table dans table-map-custom.xml

Dans le fichier table-map.xml fourni par RSA par défaut, les clés méta du fichier table-map.xml sont définies sur Transient. Dans le but d'afficher les clés méta dans Investigation, les clés doivent être définies sur None. Pour modifier le mappage, vous devez créer une copie du fichier nommé table-map-custom.xml dans le Log Decoder et définir les clés méta sur None.

Voici la liste des clés méta dans table-map.xml.

                                                                                                                                                                                                        
Champs ECATMappage Security AnalyticsTransitoire dans Security Analytics
agentidclientNon
CEF Header Hostname Fieldalias.hostNon
CEF Header Product VersionversionOui
CEF Header Product NameProduitOui
CEF Header SeverityseverityOui
CEF Header Signature IDevent.typeNon
CEF Header Signature Nameevent.descNon
destinationDnsDomainddomainOui
deviceDnsDomaindomainOui
dhosthost.dstNon
dstip.dstNon
FinendtimeOui
fileHashchecksumOui
fnamefilenameNon
fsizefilename.sizeNon
gatewayipgatewayOui
instantIOCLevelthreat.descNon
instantIOCNamethreat.categoryOui
machineOUdnOui
machineScorerisk.numNon
md5sumchecksumOui
osSystème d’exploitationOui
portip.dstportNon
protocolprotocolOui
Raw MessagemsgOui
remoteipstransaddrOui
rtalias.hostNon
sha256sumchecksumOui
shosthost.srcNon
smaceth.srcOui
srcip.srcNon
startstarttimeOui
suseruser.dstNon
timezonetimezoneOui
totalreceivedrbytesOui
totalsentbytes.srcNon
useragentuser.agentOui
userOUorgOui

Ces sept clés ne sont pas dans table-map.xml. Pour utiliser ces clés dans Security Analytics, vous devez les ajouter à table-map-custom.xml et définir les balises sur None.

                                             
Champs ECATMappage Security AnalyticsTransitoire dans Security Analytics
moduleScorecs.modulescoreOui
moduleSignaturecs.modulesignOui
Target modulecs.targetmoduleOui
YARA resultcs.yararesultOui
Source modulecs.sourcemoduleOui
OPSWATResultcs.opswatresultOui
ReputationResultcs.reputationresultOui

Voici les entrées à ajouter à table-map-custom.xml si nécessaire.

<mapping envisionName="cs_reputationresult" nwName="cs.reputationresult" flags="None" envisionDisplayName="ReputationResult"/>
<mapping envisionName="cs_modulescore" nwName="cs.modulescore" format="Int32" flags="None" envisionDisplayName="ModuleScore"/>
<mapping envisionName="cs_modulesign" nwName="cs.modulesign" flags="None" envisionDisplayName="ModuleSignature"/>
<mapping envisionName="cs_opswatresult" nwName="cs.opswatresult" flags="None" envisionDisplayName="OpswatResult"/>
<mapping envisionName="cs_sourcemodule" nwName="cs.sourcemodule" flags="None" envisionDisplayName="SourceModule"/>
<mapping envisionName="cs_targetmodule" nwName="cs.targetmodule" flags="None" envisionDisplayName="TargetModule"/>
<mapping envisionName="cs_yararesult" nwName="cs.yararesult" flags="None" envisionDisplayName="YaraResult"/>

Remarque : Redémarrez le Log Decoder ou rechargez les parsers de logs afin que les changements prennent effet.

Configurer le service Security Analytics Concentrator

  1. Connectez-vous à Security Analytics et accédez à Administration > Services.
  2. Sélectionnez un concentrateur dans la liste, puis sélectionnez Vue > Config.
  3. Sélectionnez l'onglet Fichiers , et dans le menu déroulant Fichiers à modifier, sélectionnez index-concentrator-custom.xml.
  4. Ajoutez les clés méta ECAT au fichier et cliquez sur Appliquer. Vérifiez que ce fichier contient déjà les sections XML et si ce n'est pas le cas, ajoutez-les.
  5. Redémarrez le Concentrator.
  6. Pour ajouter le service Concentrator comme source de données dans le Reporting Engine, dans la vue Administration > Services, sélectionnez Reporting Engine et RE > Vue> Config > Sources.
    Les méta ECAT sont renseignées dans Reporting Engine, et vous pouvez exécuter des rapports en sélectionnant les clés méta appropriées.

Exemple 

Remarque : Les lignes suivantes sont données à titre d'exemple. Assurez-vous que les valeurs sont adaptées à votre configuration et que les noms de colonnes compris dans la définition de feed sont :
description est le nom de la clé méta que vous souhaitez afficher dans Security Analytics Investigation.
level correspond au nom IndexValues
name est le nom de la métaclé ECAT dans le tableau ci-dessous

<language>
<key description="Product" format="Text" level="IndexValues" name="product" valueMax="250000" defaultAction="Open"/>
<key description="Severity" format="Text" level="IndexValues" name="severity" valueMax="250000" defaultAction="Open"/>
<key description="Destination Dns Domain" format="Text" level="IndexValues" name="ddomain" valueMax="250000" defaultAction="Open"/>
<key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>
<key description="Destination Host" format="Text" level="IndexValues" name="host.dst" valueMax="250000" defaultAction="Open"/>
<key description="End Time" format="TimeT" level="IndexValues" name="endtime" valueMax="250000" defaultAction="Open"/>
<key description="Checksum" format="Text" level="IndexValues" name="checksum" valueMax="250000" defaultAction="Open"/>
<key description="Filename Size" format="Int64" level="IndexValues" name="filename.size" valueMax="250000" defaultAction="Open"/>
<key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
<key description="Distinguished Name" format="Text" level="IndexValues" name="dn" valueMax="250000" defaultAction="Open"/>
<key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
<key description="ReputationResult" format="Text" level="IndexValues" name="cs.reputationresults" valueMax="250000" defaultAction="Open"/>
<key description="Module Score" format="Text" level="IndexValues" name="cs.modulescore" valueMax="250000" defaultAction="Open"/>
<key description="Module Sign" format="Text" level="IndexValues" name="cs.modulesign" valueMax="250000" defaultAction="Open"/>
<key description="opswat result" format="Text" level="IndexValues" name="cs.opswatresult" valueMax="250000" defaultAction="Open"/>
<key description="source module" format="Text" level="IndexValues" name="cs.sourcemodule" valueMax="250000" defaultAction="Open"/>
<key description="Target Module" format="Text" level="IndexValues" name="cs.targetmodule" valueMax="250000" defaultAction="Open"/>
<key description="yara result" format="Text" level="IndexValues" name="cs.yararesult" valueMax="250000" defaultAction="Open"/>
<key description="Protocol" format="Text" level="IndexValues" name="protocol" valueMax="250000" defaultAction="Open"/>
<key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="250000" defaultAction="Open"/>
<key description="Source Host" format="Text" level="IndexValues" name="host.src" valueMax="250000" defaultAction="Open"/>
<key description="Start Time" format="TimeT" level="IndexValues" name="starttime" valueMax="250000" defaultAction="Open"/>
<key description="Timezone" format="Text" level="IndexValues" name="timezone" valueMax="250000" defaultAction="Open"/>
<key description="Received Bytes" format="UInt64" level="IndexValues" name="rbytes" valueMax="250000" defaultAction="Open"/>
<key description="Agent User" format="Text" level="IndexValues" name="user.agent" valueMax="250000" defaultAction="Open"/>
<key description="Source Bytes" format="UInt64" level="IndexValues" name="bytes.src" valueMax="250000" defaultAction="Open"/>
<key description="Strans Address" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
</language>

Clés méta ECAT

Voici les noms et descriptions pour les clés méta utilisées dans l'exemple de fichier d'index.

                                                                 
Nom de la clé méta Security AnalyticsUtilisationClé méta ECAT (nom)
MachineNameNom d'hôte de l'agent Windowsalias.host
LocalIpAdresse IPv4index
RemoteIpAdresse IP distante telle qu'elle est vue par le routeurstransaddr
GatewayIpAdresse IP de la passerellegateway
MacAddressAdresse MACeth.src
OperatingSystemSystème d'exploitation utilisé par l'agent WindowsSystème d’exploitation
AgentIDID d'agent de l'hôte (ID unique attribué à l'agent)client
ConnectionUTCTimeLa dernière fois que l'agent s'est connecté au serveur ECATecat.ctime
Domaine sourceDomainedomain.src
ScanUTC timeLa dernière fois que l'agent a été analyséecat.stime
Note de l'ordinateurScore de l'agent indiquant le niveau de suspicionrisk.num

Résultat

Les analystes peuvent :

  • Créer des alertes Security Analytics en fonction des événements ECAT en configurant des événements ECAT comme source d'enrichissement.
  • Créer des règles ESA en utilisant les méta ECAT comme décrit dans la rubrique Ajouter des règles à la Bibliothèque de règles dans Alertes basées sur ESA.
  • Générer des rapports sur les événements ECAT en utilisant les méta ECAT comme décrit dans la rubrique Utilisation des règles de Reporting dans Création de rapports.
  • Afficher des alertes ECAT dans Incident Management comme décrit dans la rubrique Vue Alertes d'Incident Management.
  • Afficher les clés méta ECAT dans Investigation avec les clés méta standard SA Core comme décrit dans la rubrique Mener une procédure d'enquête dans Investigation et Malware Analysis.
You are here
Table of Contents > Configurer des alertes ECAT via Syslog dans un Log Decoder

Attachments

    Outcomes