Cfg de SA : Métaclés CEF prises en charge

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit les métaclés Common Event Format (CEF) prises en charge par la fonctionnalité de consignation globale des audits de Security Analytics. 

Les modèles de consignation globale des audits que vous définissez pour un Log Decoder utilisent le format Common Event Format (CEF) et doivent répondre aux exigences standard spécifiques suivantes :

  • Contient les en-têtes CEF dans le modèle.
  • Utilisez uniquement les extensions et les extensions personnalisées présentant un format (Clé=Valeur) issues du tableau des métaclés ci-dessous.
  • Assurez-vous que les extensions et extensions personnalisées sont au format key=${string}<space>key=${string}

Pour les serveurs Syslog tiers, vous pouvez définir votre propre format (CEF ou non-CEF).

Les procédures liées à ce tableau sont décrites dans la rubrique Définir un modèle pour la consignation globale des audits et Configurer la consignation globale des audits.

Métaclés Common Event Format (CEF) prises en charge

Le tableau suivant décrit les métaclés CEF Syslog prises en charge par la consignation globale des audits Security Analytics. Les champs Date/heure et Nom d'hôte du préfixe Syslog ne sont pas configurables ni inclus dans le modèle, mais ils sont ajoutés au début de chaque message de log par défaut. L'en-tête CEF est requis pour se conformer à la norme CEF ou pour tout parser CEF. Les extensions et extensions personnalisées sont facultatives. Le modèle CEF d'audit par défaut 10.5 contient bon nombre des champs de ce tableau. Vous pouvez ajouter les extensions et les extensions personnalisées répertoriées de votre choix au modèle de consignation globale des audits que vous définissez. 

                                                                                                                                                                                                                                                                             
Champ CEFStringDescription :Métaclés SA

Index dans Log Decoder

Préfixe Syslog    
Date et heureNon configurableDate/heure d'en-tête Syslogevent.time.strTransient
Nom de l'hôteNon configurableNom d'hôte d'en-tête Syslogalias.hostAucune
En-tête CEF Les champs d'en-tête CEF sont requis pour se conformer à la norme CEF ou pour tout parser CEF.   
CEF:VersionCEF:0En-tête CEF--STATIQUE--s.o.
DeviceVendor${deviceVendor}Fournisseur du produit, RSA-s.o.
DeviceProduct${deviceProduct}Gamme de produits Il s'agit toujours de Security Analytics Audit.productTransient
DeviceVersion${deviceVersion}Version de l'hôte/du serviceversionTransient
Signature ID${category}Identifiant de l'événement d'audit. Il indique la catégorie de l'événement d'audit.event.typeAucune
Name${operation}Description de l'événementevent.descAucune
Gravité${severity}Gravité de l'événement d'auditseverityTransient
Extensions    
deviceExternalId${deviceExternalId}ID unique de l'hôte ou du service générant l'événement d'audithardware.idTransient
deviceFacility${deviceFacility}Fonction Syslog utilisée lors de l'écriture de l'événement dans le processus Syslog. Par exemple, authpriv.cs.devfacilityCustom
deviceProcessName${deviceProcessName}Nom du fichier exécutable correspondant à dvcpidprocessAucune
dpt${destinationPort}Port de destinationip.dstportAucune
dst${destinationAddress}Adresse IP de destinationip.dstAucune
dvcpid${deviceProcessId}ID du processus générant l'événement, qui est l'ID de processus du service Security Analyticsprocess.idTransient
msg${text}Texte libre, informations supplémentaires ou description réelle de l'événementmsgTransient
outcome${outcome}Résultat de l'opération effectuée correspondant à l'événement d'auditresultTransient
proto${transportProtocol}protocole réseau utilisé.protocolTransient
requestClientApplication${userAgent}Détails du navigateur de l'utilisateur accédant à la pageuser.agentTransient
rt${timestamp}Heure à laquelle l'événement est signaléevent.timeAucune
sourceServiceName${sourceService}Service chargé de la génération de cet événementservice.nameTransient
spt${sourcePort}Port sourceip.srcportTransient
spriv${userRole}Attribution des autorisations du rôle d'utilisateur. Par exemple :
admin.owner, appliance.manage,
connections.manage, everyone, logs.manage, services.manage,
storedproc.execute,
storedproc.manage,
sys.manage, users.manage
privilegeTransient
src${sourceAddress}Adresse IP d'origineip.srcNone
suser${identity}Identité de l'utilisateur connecté chargé de la génération de l'événement d'audituser.dstNone
Extensions personnalisées    
deviceService${deviceService}Service chargé de la génération de l'événementcs.devserviceCustom
paramètres${parameters}Paramètres API et Operation qui permettent de capturer les paramètres spécifiques d'une requêteindex
 
Transient
 
paramKey${key}Clé d'élément de configuration. Il s'agit d'un paramètre de configuration pour lequel l'événement d'audit est capturé.

Par exemple : /sys/config/stat.interval

cs.keyCustom
paramValue${value}Valeur de configuration. Il s'agit de la valeur capturée lors de la mise à jour.cs.valueCustom
userGroup${userGroup}Attribution de rôle. Par exemple :
Administrators, Analysts, MalwareAnalysts,
Malware_Analysts, Operators,
PRIVILEGED_CONNECTION_
AUTHORITY,
SOC_Managers (Responsables de SOC)
groupNone
referrerURL${referrerUrl}URL parente faisant référence à l'URL actuelleurlTransient
sessionId${sessionId}Identifiant de session ou de connexionlog.session.idTransient

Remarque : Utilisez toutes les extensions au format suivant : 
deviceProcessName=${deviceProcessName} outcome=${outcome}
Insérez un <space> entre une valeur et un nom de balise.

Par défaut, les métaclés ne sont pas toutes indexées. Dans le tableau ci-dessus, la colonne Index dans Log Decoder affiche l'état du mot clé flags (Transient, None et Custom). Si une clé est définie sur Transient, elle est analysée, mais elle n'est pas stockée dans la base de données. Si elle est définie sur None, elle est indexée et stockée dans la base de données. Une clé répertoriée avec le type « Personnalisé » n'existe pas dans le fichier table-map.xml et n'est donc pas stockée ni analysée du tout.

La rubrique « Maintenir les fichiers de mappage des tables » fournit des instructions pour vérifier et mettre à jour les mappages des tables. La rubrique « Modifier un fichier d'index de service » fournit des informations sur la mise à jour du fichier d'index personnalisé sur le Concentrator.

You are here
Table of Contents > Références > Panneau Configuration de la consignation globale des audits > Métaclés CEF prises en charge

Attachments

    Outcomes