Config. de SA : Définir un modèle pour la consignation globale des audits

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions sur la manière de définir un modèle de consignation d'audits à utiliser dans le cadre de la consignation globale des audits. Avant de configurer la consignation globale des audits, configurez un serveur de notification Syslog et sélectionnez un modèle de consignation d'audit. Vous pouvez choisir d'utiliser un modèle de consignation d'audit par défaut ou vous pouvez définir votre propre modèle. 

Security Analytics version 10.5 comprend deux modèles de consignation d'audit par défaut :

  • Modèle CEF d'audit par défaut 10.5 : Vous pouvez utiliser ce modèle pour les serveurs Syslog tiers et Log Decoders.
  • Format lisible d'audit par défaut 10.5 : Vous pouvez utiliser ce modèle uniquement pour les serveurs Syslog tiers. Ne transférez pas les messages de ce modèle vers un Log Decoder.

La première procédure fournit les instructions permettant de définir un modèle de consignation d'audit pour un Log Decoder. Le modèle de consignation d'audit définit les champs format et message des logs d'audit envoyés au serveur Syslog tiers ou Log Decoder.

Les modèles de consignation globale des audits que vous définissez pour un Log Decoder utilisent le format Common Event Format (CEF) et doivent répondre aux exigences standard spécifiques suivantes :

  • Contient les en-têtes CEF dans le modèle.
  • Utilisez uniquement les extensions (Key=Value) répertoriées dans le tableau Métaclés CEF prises en charge .
  • Assurez-vous que les extensions sont au format key=${string}<space>key=${string}

La deuxième procédure fournit des instructions sur la façon de définir un modèle personnalisé de consignation globale des audits au format lisible par l'homme pour un serveur Syslog tiers. Pour les serveurs Syslog tiers, vous pouvez définir votre propre format (CEF ou non-CEF).

Définir un modèle de consignation globale des audits pour un Log Decoder

Vous pouvez utiliser le modèle CEF d'audit par défaut 10.5 pour envoyer des logs d'audit globaux à un Log Decoder. Pour définir votre propre modèle, suivez cette procédure.

  1. Dans le menu Security Analytics, sélectionnez Administration> > Système.
  2. Dans le panneau des options, sélectionnez Notifications globales.
  3. Cliquez sur l'onglet Modèles.
  4. Cliquez sur  pour configurer un modèle.
  5. Dans la boîte de dialogue Définir un modèle, fournissez les informations suivantes :
    1. Dans le champ Nom, saisissez un nom pour le modèle.
    2. Dans le champ Type de modèle, sélectionnez le type de modèle Consignation des audits.
    3. Dans le champ Description, saisissez une petite description du modèle.
    4. Dans le champ Modèle, saisissez le format du modèle de consignation globale des audits.
      Le format suivant est un modèle personnalisé fourni à titre d'exemple. Il se distingue du modèle CEF par défaut.
       CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  
      L'en-tête Syslog CEF mis en surbrillance doit se conformer à la norme CEF et constitue une exigence pour l'analyseur CEF dans le Decoder Log. Les autres clés sont facultatives, mais vous pouvez les configurer. Reportez-vous aux clés méta prises en charge par l'analyseur CEF du Log Decoder dans le tableau Métaclés CEF prises en charge .

Remarque : Utilisez toutes les extensions au format suivant : 
deviceProcessName=${deviceProcessName} outcome=${outcome}
Ajoutez un <space> entre chaque paire key=${string} dans la section des clés d'extension. 

  1. Cliquez sur Save.

Après avoir défini le modèle de consignation des audits CEF, vérifiez que vous avez déployé et activé la dernière version de l'analyseur CEF (Common Event Format) de Live. Les rubriques « Rechercher et déployer des ressouces Live » et « Activer et désactiver les analyseurs de logs » fournissent des instructions. 

Remarque : Si vous avez besoin d'utiliser une clé méta spécifique pour les procédures d'enquête et le reporting, assurez-vous que les clés méta que vous avez sélectionnées sont indexées dans le fichier table-map.xml dans le Log Decoder. Si ce n'est pas le cas, suivez la procédure Maintenir les fichiers de mappage des tables dans le Guide de mise en route des hôtes et des services pour mettre à jour les mappages des tables. Assurez-vous que les clés méta sont également indexées dans index-concentrator.xml sur le Concentrator. La rubrique Modifier un fichier d’index de service du Guide de mise en route des hôtes et des services fournit des informations supplémentaires.

Définir un modèle personnalisé de consignation globale des audits

Pour les serveurs Syslog tiers, vous pouvez définir votre propre format de modèle (CEF ou non-CEF). Vous pouvez utiliser le format lisible d'audit par défaut 10.5 pour envoyer des logs d'audit globaux à un serveur Syslog tiers dans un format qui est plus facile à lire que le format CEF. Si vous souhaitez définir votre propre modèle dans un format lisible, suivez cette procédure.

Pour les Log Decoders, vous devez utiliser un modèle CEF avec certaines exigences spécifiques. La procédure Définir un modèle de consignation globale des audits pour un Log Decoder présentée ci-dessus fournit des instructions pour la création d'un modèle au format CEF.

Pour définir un modèle global personnalisé de consignation d'audit dans un format lisible :

  1. Dans le menu Security Analytics, sélectionnez Administration> > Système.
  2. Dans le volet de navigation de gauche, sélectionnez Notifications.
  3. Cliquez sur l'onglet Modèles.
  4. Cliquez sur  pour configurer un modèle.
  5. Dans la boîte de dialogue Définir un modèle, fournissez les informations suivantes :
    1. Dans le champ Nom, saisissez un nom pour le modèle.
    2. Dans le champ Type de modèle, sélectionnez le type de modèle Consignation des audits.
    3. Dans le champ Description, saisissez une petite description du modèle.
    4. Dans le champ Modèle, saisissez le format du modèle de consignation globale des audits. L'exemple suivant est dans un format lisible avec des variables de clés méta sélectionnées.
       ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  
      Vous pouvez utiliser l'une des variables de clés méta qui sont prises en charge par la consignation globale des audits indiquée dans le tableau Variables de métaclés prises en charge pour la consignation globale des audits .
  6. Cliquez sur Save.

L'exemple suivant montre les logs d'audit globaux dans un format lisible correspondant à ce modèle :

06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 SA_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Étape suivante

Définir une configuration de consignation globale des audits fournit les instructions permettant de configurer la consignation globale des audits pour Security Analytics.

You are here
Table of Contents > Procédures standard > Configurer la consignation globale des audits > Définir un modèle pour la consignation globale des audits

Attachments

    Outcomes