Configurar alertas de ECAT mediante syslog en un Log Decoder

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para configurar el uso de datos de RSA ECAT en Security Analytics para proporcionar alertas de ECAT mediante syslog a las sesiones de Log Decoder. Esto genera metadatos que se usan en Security Analytics Investigation, Alerts y Reporting Engine.

En el caso de las redes de Security Analytics que consumen registros, esta integración de ECAT con Security Analytics migra eventos de ECAT al Log Decoder a través de mensajes de syslog en formato de evento común (CEF) y genera metadatos que usa Security Analytics Investigation, Alerts y Reporting Engine. El caso de uso para esta integración es la integración de SIEM con el fin de permitir la administración centralizada de eventos, la correlación de eventos de ECAT con otros datos de Log Decoder, los informes de Security Analytics sobre eventos de ECAT y las alertas de Security Analytics relacionadas con eventos de ECAT.

Requisitos previos

Para esta integración se requiere lo siguiente:

  • Interfaz del usuario de ECAT versión 4.0 o superior
  • Versión del servidor de Security Analytics 10.4 o superior instalada.
  • RSA Log Decoder y Concentrator versión 10.4 o superior conectados al servidor de Security Analytics en la red.
  • Puerto 514 abierto desde el servidor de ECAT a Log Decoder en el firewall.

Procedimiento

Realice los siguientes pasos para configurar esta integración:

  1. Implemente el analizador requerido (CEF o ECAT) en Log Decoder, como se describe en el tema Administrar recursos de Live en Administración de servicios de Live.

Nota: Use solo uno de estos analizadores. Cuando se implementa el analizador de CEF, este reemplaza al analizador de ECAT y procesa todos los mensajes de CEF a Security Analytics. La activación de ambos analizadores es una carga innecesaria para el rendimiento.

  1. Configure ECAT para que envíe la salida de syslog a Security Analytics y genere alertas de ECAT para Log Decoder.
  2. (Opcional) Edite el mapeo de tablas en table-map-custom.xml y en index-concentrator-custom.xml para agregar campos de acuerdo con las preferencias del usuario para los metadatos que se mapearán a Security Analytics.

Configurar a ECAT para que envíe la salida de syslog a Security Analytics

Para agregar el Log Decoder como un componente externo de syslog y generar alertas de ECAT para Log Decoder:

Para ECAT versión 4.0

  1. Abra la interfaz del usuario de ECAT e inicie sesión con las credenciales apropiadas.
  2. En la barra de menú, seleccione Configurar > Monitoreo y componentes externos.
  3. Haga clic con el botón secundario en el cuadro de diálogo y seleccione Agregar componente.En el cuadro de diálogo, complete los campos requeridos para activar la mensajería de syslog:

    Tipo de componente = Syslog
    Nombre único = Un nombre descriptivo para el Log Decoder
    IP = La dirección IP de RSA Log Decoder
    Puerto = 514

  4. Haga clic en Configuración.
  5. En el cuadro de diálogo Configurar syslog, seleccione UDP o TCP según corresponda para el servidor de syslog como el protocolo de transporte.
  6. Haga clic en Guardar dos veces para cerrar los cuadros de diálogo.
  7. Haga clic en la casilla de verificación Activar para activar el componente.
  8. Haga clic en Cerrar para finalizar.

  9. Haga clic en IOC instantáneos y cambie la configuración para que se puedan generar alertas para ellos.

Cuando se activan los IOC instantáneos, las alertas de syslog del servidor de ECAT se envían al Log Decoder. A continuación, las alertas de Log Decoder se agregan en Concentrator. Estos eventos se inyectarán en el Concentrator como metadatos.

Para ECAT versión 4.1

  1. Abra la interfaz del usuario de ECAT e inicie sesión con las credenciales apropiadas.
  2. En la barra de menú, seleccione Configurar > Monitoreo y componentes externos.

    Aparece el cuadro de diálogo Configuración de componentes externos.

  3. En Servidor de SYSLOG, haga clic en +.

    Se muestra el cuadro de diálogo Servidor de SYSLOG.

    syslog-svr.png

  4. Complete los campos requeridos para activar la mensajería de syslog:

    Activado= Un nombre descriptivo para el Log Decoder
    Nombre de host/dirección IP del servidor = La dirección IP o el DNS del nombre de host de RSA Log Decoder
    Puerto = 514
    Protocolo de transporte = Seleccione UDP o TCP según corresponda a su servidor de syslog para el protocolo de transporte.

  5. Haga clic en Guardar.
  6. Haga clic en IOC instantáneos y cambie la configuración para que se puedan generar alertas para ellos.

    instant-iocs-ecat.png

Cuando se activan los IOC instantáneos, las alertas de syslog del servidor de ECAT se envían al Log Decoder. A continuación, las alertas de Log Decoder se agregan en Concentrator. Estos eventos se inyectarán en el Concentrator como metadatos.

Editar el mapeo de tablas en table-map-custom.xml

En table-map.xml de RSA predeterminado que proporciona RSA, las claves de metadatos del archivo table-map.xml están configuradas en Transient. Para ver las claves de metadatos en Investigation, estas se deben configurar en None. Para realizar cambios en el mapeo, debe crear una copia del archivo, denominada table-map-custom.xml, en Log Decoder y configurar las claves de metadatos en None.

Esta es la lista de claves de metadatos en table-map.xml.

                                                                                                                                                                                                        
Campos de ECATMapeo de Security AnalyticsTransitorio en Security Analytics
agentidclienteNo
CEF Header Hostname Fieldalias.hostNo
CEF Header Product Versionversion
CEF Header Product NameProducto
CEF Header Severityseverity
CEF Header Signature IDevent.typeNo
CEF Header Signature Nameevent.descNo
destinationDnsDomainddomain
deviceDnsDomaindominio
dhosthost.dstNo
dstip.dstNo
finendtime
fileHashchecksum
fnamefilenameNo
fsizefilename.sizeNo
gatewayipgateway
instantIOCLevelthreat.descNo
instantIOCNamethreat.category
machineOUdn
machineScorerisk.numNo
md5sumchecksum
osSO
portip.dstportNo
protocolprotocol
Raw Messagemsg
remoteipstransaddr
rtalias.hostNo
sha256sumchecksum
shosthost.srcNo
smaceth.src
srcip.srcNo
startstarttime
suser-user|-uNo
timezonetimezone
totalreceivedrbytes
totalsentbytes.srcNo
useragentuser.agent
userOUorg

Estas siete claves no están en table-map.xml; para usarlas en Security Analytics, debe agregarlas a table-map-custom.xml y configurar los indicadores en None.

                                             
Campos de ECATMapeo de Security AnalyticsTransitorio en Security Analytics
moduleScorecs.modulescore
moduleSignaturecs.modulesign
Target modulecs.targetmodule
YARA resultcs.yararesult
Source modulecs.sourcemodule
OPSWATResultcs.opswatresult
ReputationResultcs.reputationresult

Las siguientes son las entradas que se deben agregar a table-map-custom.xml si es necesario.

<mapping envisionName="cs_reputationresult" nwName="cs.reputationresult" flags="None" envisionDisplayName="ReputationResult"/>
<mapping envisionName="cs_modulescore" nwName="cs.modulescore" format="Int32" flags="None" envisionDisplayName="ModuleScore"/>
<mapping envisionName="cs_modulesign" nwName="cs.modulesign" flags="None" envisionDisplayName="ModuleSignature"/>
<mapping envisionName="cs_opswatresult" nwName="cs.opswatresult" flags="None" envisionDisplayName="OpswatResult"/>
<mapping envisionName="cs_sourcemodule" nwName="cs.sourcemodule" flags="None" envisionDisplayName="SourceModule"/>
<mapping envisionName="cs_targetmodule" nwName="cs.targetmodule" flags="None" envisionDisplayName="TargetModule"/>
<mapping envisionName="cs_yararesult" nwName="cs.yararesult" flags="None" envisionDisplayName="YaraResult"/>

Nota: Reinicie Log Decoder o vuelva a cargar los analizadores de registros para que se apliquen los cambios.

Configurar el servicio Security Analytics Concentrator

  1. Inicie sesión en Security Analytics y navegue a Administration > Servicios.
  2. Seleccione un Concentrator en la lista y, a continuación, seleccione Ver > Configurar.
  3. Seleccione la pestaña Archivos y, en el menú desplegable Archivos para editar, seleccione index-concentrator-custom.xml.
  4. Agregue las claves de metadatos de ECAT al archivo y haga clic en Aplicar. Asegúrese de que este archivo incluya las secciones XML; si las líneas no se incluyen, agréguelas.
  5. Reinicie el Concentrator.
  6. Para agregar Concentrator como un origen de datos en Reporting Engine, en Administration > vista Servicios, seleccione el Reporting Engine y elija RE > Ver> Configuración > Orígenes.
    Los metadatos de ECAT se completan en Reporting Engine y puede ejecutar informes mediante la selección de las claves de metadatos correspondientes.

Ejemplo

Nota: Las siguientes líneas son ejemplos; asegúrese de que los valores coincidan con su configuración y con los nombres de columna que incluyó en la definición del feed, donde:
description es el nombre de la clave de metadatos que desea mostrar en Security Analytics Investigation.
level es “IndexValues”
name es el nombre de clave de metadatos de ECAT de la siguiente tabla

<language>
<key description="Product" format="Text" level="IndexValues" name="product" valueMax="250000" defaultAction="Open"/>
<key description="Severity" format="Text" level="IndexValues" name="severity" valueMax="250000" defaultAction="Open"/>
<key description="Destination Dns Domain" format="Text" level="IndexValues" name="ddomain" valueMax="250000" defaultAction="Open"/>
<key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>
<key description="Destination Host" format="Text" level="IndexValues" name="host.dst" valueMax="250000" defaultAction="Open"/>
<key description="End Time" format="TimeT" level="IndexValues" name="endtime" valueMax="250000" defaultAction="Open"/>
<key description="Checksum" format="Text" level="IndexValues" name="checksum" valueMax="250000" defaultAction="Open"/>
<key description="Filename Size" format="Int64" level="IndexValues" name="filename.size" valueMax="250000" defaultAction="Open"/>
<key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
<key description="Distinguished Name" format="Text" level="IndexValues" name="dn" valueMax="250000" defaultAction="Open"/>
<key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
<key description="ReputationResult" format="Text" level="IndexValues" name="cs.reputationresults" valueMax="250000" defaultAction="Open"/>
<key description="Module Score" format="Text" level="IndexValues" name="cs.modulescore" valueMax="250000" defaultAction="Open"/>
<key description="Module Sign" format="Text" level="IndexValues" name="cs.modulesign" valueMax="250000" defaultAction="Open"/>
<key description="opswat result" format="Text" level="IndexValues" name="cs.opswatresult" valueMax="250000" defaultAction="Open"/>
<key description="source module" format="Text" level="IndexValues" name="cs.sourcemodule" valueMax="250000" defaultAction="Open"/>
<key description="Target Module" format="Text" level="IndexValues" name="cs.targetmodule" valueMax="250000" defaultAction="Open"/>
<key description="yara result" format="Text" level="IndexValues" name="cs.yararesult" valueMax="250000" defaultAction="Open"/>
<key description="Protocol" format="Text" level="IndexValues" name="protocol" valueMax="250000" defaultAction="Open"/>
<key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="250000" defaultAction="Open"/>
<key description="Source Host" format="Text" level="IndexValues" name="host.src" valueMax="250000" defaultAction="Open"/>
<key description="Start Time" format="TimeT" level="IndexValues" name="starttime" valueMax="250000" defaultAction="Open"/>
<key description="Timezone" format="Text" level="IndexValues" name="timezone" valueMax="250000" defaultAction="Open"/>
<key description="Received Bytes" format="UInt64" level="IndexValues" name="rbytes" valueMax="250000" defaultAction="Open"/>
<key description="Agent User" format="Text" level="IndexValues" name="user.agent" valueMax="250000" defaultAction="Open"/>
<key description="Source Bytes" format="UInt64" level="IndexValues" name="bytes.src" valueMax="250000" defaultAction="Open"/>
<key description="Strans Address" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
</language>

Claves de metadatos de ECAT

Estos son los nombres y las descripciones de las claves de metadatos de ECAT que se usan en el archivo de índice de ejemplo.

                                                                 
Nombre de clave de metadatos de Security AnalyticsUsarClave de metadatos de ECAT (nombre)
MachineNameNombre de host del agente de Windowsalias.host
LocalIpDirección IPv4index
RemoteIpDirección IP del extremo lejano como la ve el enrutadorstransaddr
GatewayIpDirección IP del gatewaygateway
MacAddressDirección MACeth.src
OperatingSystemSistema operativo que usa el agente de WindowsSO
AgentIDID del agente del host (ID único asignado al agente)cliente
ConnectionUTCTimeÚltima vez que el agente se conectó al servidor de ECATecat.ctime
Source DomainDominiodomain.src
ScanUTC timeÚltima vez que se escaneó el agenteecat.stime
Puntaje de la máquinaPuntaje del agente que indica el nivel sospechosorisk.num

Resultado

Los analistas pueden:

  • Crear alertas de Security Analytics basadas en eventos de ECAT mediante la configuración de eventos de ECAT como un origen de enriquecimiento.
  • Crear reglas de ESA mediante el uso de metadatos de ECAT, como se describe en el tema Agregar reglas a la Biblioteca de reglas de Alertas mediante ESA.
  • Informar sobre eventos de ECAT mediante el uso de metadatos de ECAT, como se describe en el tema Trabajo con reglas de Reporting en Reporting.
  • Ver alertas de ECAT en Incident Management, como se describe en el tema Vista Alertas en Incident Management.
  • Ver claves de metadatos de ECAT en Investigation, junto con claves de metadatos de SA Core estándar, como se describe en el tema Realizar una investigación en Investigation and Malware Analysis.
You are here
Table of Contents > Configurar alertas de ECAT mediante syslog en un Log Decoder

Attachments

    Outcomes