En este tema se proporcionan instrucciones para configurar el uso de datos de RSA ECAT en Security Analytics para proporcionar alertas de ECAT mediante syslog a las sesiones de Log Decoder. Esto genera metadatos que se usan en Security Analytics Investigation, Alerts y Reporting Engine.
En el caso de las redes de Security Analytics que consumen registros, esta integración de ECAT con Security Analytics migra eventos de ECAT al Log Decoder a través de mensajes de syslog en formato de evento común (CEF) y genera metadatos que usa Security Analytics Investigation, Alerts y Reporting Engine. El caso de uso para esta integración es la integración de SIEM con el fin de permitir la administración centralizada de eventos, la correlación de eventos de ECAT con otros datos de Log Decoder, los informes de Security Analytics sobre eventos de ECAT y las alertas de Security Analytics relacionadas con eventos de ECAT.
Requisitos previos
Para esta integración se requiere lo siguiente:
- Interfaz del usuario de ECAT versión 4.0 o superior
- Versión del servidor de Security Analytics 10.4 o superior instalada.
- RSA Log Decoder y Concentrator versión 10.4 o superior conectados al servidor de Security Analytics en la red.
- Puerto 514 abierto desde el servidor de ECAT a Log Decoder en el firewall.
Procedimiento
Realice los siguientes pasos para configurar esta integración:
- Implemente el analizador requerido (CEF o ECAT) en Log Decoder, como se describe en el tema Administrar recursos de Live en Administración de servicios de Live.
Nota: Use solo uno de estos analizadores. Cuando se implementa el analizador de CEF, este reemplaza al analizador de ECAT y procesa todos los mensajes de CEF a Security Analytics. La activación de ambos analizadores es una carga innecesaria para el rendimiento.
- Configure ECAT para que envíe la salida de syslog a Security Analytics y genere alertas de ECAT para Log Decoder.
- (Opcional) Edite el mapeo de tablas en table-map-custom.xml y en index-concentrator-custom.xml para agregar campos de acuerdo con las preferencias del usuario para los metadatos que se mapearán a Security Analytics.
Configurar a ECAT para que envíe la salida de syslog a Security Analytics
Para agregar el Log Decoder como un componente externo de syslog y generar alertas de ECAT para Log Decoder:
Para ECAT versión 4.0
- Abra la interfaz del usuario de ECAT e inicie sesión con las credenciales apropiadas.
- En la barra de menú, seleccione Configurar > Monitoreo y componentes externos.
-
Haga clic con el botón secundario en el cuadro de diálogo y seleccione Agregar componente.En el cuadro de diálogo, complete los campos requeridos para activar la mensajería de syslog:
Tipo de componente = Syslog
Nombre único = Un nombre descriptivo para el Log Decoder
IP = La dirección IP de RSA Log Decoder
Puerto = 514 - Haga clic en Configuración.
- En el cuadro de diálogo Configurar syslog, seleccione UDP o TCP según corresponda para el servidor de syslog como el protocolo de transporte.
- Haga clic en Guardar dos veces para cerrar los cuadros de diálogo.
- Haga clic en la casilla de verificación Activar para activar el componente.
-
Haga clic en Cerrar para finalizar.
-
Haga clic en IOC instantáneos y cambie la configuración para que se puedan generar alertas para ellos.
Cuando se activan los IOC instantáneos, las alertas de syslog del servidor de ECAT se envían al Log Decoder. A continuación, las alertas de Log Decoder se agregan en Concentrator. Estos eventos se inyectarán en el Concentrator como metadatos.
Para ECAT versión 4.1
- Abra la interfaz del usuario de ECAT e inicie sesión con las credenciales apropiadas.
-
En la barra de menú, seleccione Configurar > Monitoreo y componentes externos.
Aparece el cuadro de diálogo Configuración de componentes externos.
-
En Servidor de SYSLOG, haga clic en +.
Se muestra el cuadro de diálogo Servidor de SYSLOG.
-
Complete los campos requeridos para activar la mensajería de syslog:
Activado= Un nombre descriptivo para el Log Decoder
Nombre de host/dirección IP del servidor = La dirección IP o el DNS del nombre de host de RSA Log Decoder
Puerto = 514
Protocolo de transporte = Seleccione UDP o TCP según corresponda a su servidor de syslog para el protocolo de transporte. - Haga clic en Guardar.
-
Haga clic en IOC instantáneos y cambie la configuración para que se puedan generar alertas para ellos.
Cuando se activan los IOC instantáneos, las alertas de syslog del servidor de ECAT se envían al Log Decoder. A continuación, las alertas de Log Decoder se agregan en Concentrator. Estos eventos se inyectarán en el Concentrator como metadatos.
Editar el mapeo de tablas en table-map-custom.xml
En table-map.xml de RSA predeterminado que proporciona RSA, las claves de metadatos del archivo table-map.xml están configuradas en Transient. Para ver las claves de metadatos en Investigation, estas se deben configurar en None. Para realizar cambios en el mapeo, debe crear una copia del archivo, denominada table-map-custom.xml, en Log Decoder y configurar las claves de metadatos en None.
Esta es la lista de claves de metadatos en table-map.xml.
Campos de ECAT | Mapeo de Security Analytics | Transitorio en Security Analytics |
---|---|---|
agentid | cliente | No |
CEF Header Hostname Field | alias.host | No |
CEF Header Product Version | version | Sí |
CEF Header Product Name | Producto | Sí |
CEF Header Severity | severity | Sí |
CEF Header Signature ID | event.type | No |
CEF Header Signature Name | event.desc | No |
destinationDnsDomain | ddomain | Sí |
deviceDnsDomain | dominio | Sí |
dhost | host.dst | No |
dst | ip.dst | No |
fin | endtime | Sí |
fileHash | checksum | Sí |
fname | filename | No |
fsize | filename.size | No |
gatewayip | gateway | Sí |
instantIOCLevel | threat.desc | No |
instantIOCName | threat.category | Sí |
machineOU | dn | Sí |
machineScore | risk.num | No |
md5sum | checksum | Sí |
os | SO | Sí |
port | ip.dstport | No |
protocol | protocol | Sí |
Raw Message | msg | Sí |
remoteip | stransaddr | Sí |
rt | alias.host | No |
sha256sum | checksum | Sí |
shost | host.src | No |
smac | eth.src | Sí |
src | ip.src | No |
start | starttime | Sí |
suser | -user|-u | No |
timezone | timezone | Sí |
totalreceived | rbytes | Sí |
totalsent | bytes.src | No |
useragent | user.agent | Sí |
userOU | org | Sí |
Estas siete claves no están en table-map.xml; para usarlas en Security Analytics, debe agregarlas a table-map-custom.xml y configurar los indicadores en None.
Campos de ECAT | Mapeo de Security Analytics | Transitorio en Security Analytics |
---|---|---|
moduleScore | cs.modulescore | Sí |
moduleSignature | cs.modulesign | Sí |
Target module | cs.targetmodule | Sí |
YARA result | cs.yararesult | Sí |
Source module | cs.sourcemodule | Sí |
OPSWATResult | cs.opswatresult | Sí |
ReputationResult | cs.reputationresult | Sí |
Las siguientes son las entradas que se deben agregar a table-map-custom.xml si es necesario.
<mapping envisionName="cs_reputationresult" nwName="cs.reputationresult" flags="None" envisionDisplayName="ReputationResult"/>
<mapping envisionName="cs_modulescore" nwName="cs.modulescore" format="Int32" flags="None" envisionDisplayName="ModuleScore"/>
<mapping envisionName="cs_modulesign" nwName="cs.modulesign" flags="None" envisionDisplayName="ModuleSignature"/>
<mapping envisionName="cs_opswatresult" nwName="cs.opswatresult" flags="None" envisionDisplayName="OpswatResult"/>
<mapping envisionName="cs_sourcemodule" nwName="cs.sourcemodule" flags="None" envisionDisplayName="SourceModule"/>
<mapping envisionName="cs_targetmodule" nwName="cs.targetmodule" flags="None" envisionDisplayName="TargetModule"/>
<mapping envisionName="cs_yararesult" nwName="cs.yararesult" flags="None" envisionDisplayName="YaraResult"/>
Nota: Reinicie Log Decoder o vuelva a cargar los analizadores de registros para que se apliquen los cambios.
Configurar el servicio Security Analytics Concentrator
- Inicie sesión en Security Analytics y navegue a Administration > Servicios.
- Seleccione un Concentrator en la lista y, a continuación, seleccione Ver > Configurar.
- Seleccione la pestaña Archivos y, en el menú desplegable Archivos para editar, seleccione index-concentrator-custom.xml.
- Agregue las claves de metadatos de ECAT al archivo y haga clic en Aplicar. Asegúrese de que este archivo incluya las secciones XML; si las líneas no se incluyen, agréguelas.
- Reinicie el Concentrator.
- Para agregar Concentrator como un origen de datos en Reporting Engine, en Administration > vista Servicios, seleccione el Reporting Engine y elija RE > Ver> Configuración > Orígenes.
Los metadatos de ECAT se completan en Reporting Engine y puede ejecutar informes mediante la selección de las claves de metadatos correspondientes.
Ejemplo
Nota: Las siguientes líneas son ejemplos; asegúrese de que los valores coincidan con su configuración y con los nombres de columna que incluyó en la definición del feed, donde:
description es el nombre de la clave de metadatos que desea mostrar en Security Analytics Investigation.
level es “IndexValues”
name es el nombre de clave de metadatos de ECAT de la siguiente tabla
<language>
<key description="Product" format="Text" level="IndexValues" name="product" valueMax="250000" defaultAction="Open"/>
<key description="Severity" format="Text" level="IndexValues" name="severity" valueMax="250000" defaultAction="Open"/>
<key description="Destination Dns Domain" format="Text" level="IndexValues" name="ddomain" valueMax="250000" defaultAction="Open"/>
<key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>
<key description="Destination Host" format="Text" level="IndexValues" name="host.dst" valueMax="250000" defaultAction="Open"/>
<key description="End Time" format="TimeT" level="IndexValues" name="endtime" valueMax="250000" defaultAction="Open"/>
<key description="Checksum" format="Text" level="IndexValues" name="checksum" valueMax="250000" defaultAction="Open"/>
<key description="Filename Size" format="Int64" level="IndexValues" name="filename.size" valueMax="250000" defaultAction="Open"/>
<key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
<key description="Distinguished Name" format="Text" level="IndexValues" name="dn" valueMax="250000" defaultAction="Open"/>
<key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
<key description="ReputationResult" format="Text" level="IndexValues" name="cs.reputationresults" valueMax="250000" defaultAction="Open"/>
<key description="Module Score" format="Text" level="IndexValues" name="cs.modulescore" valueMax="250000" defaultAction="Open"/>
<key description="Module Sign" format="Text" level="IndexValues" name="cs.modulesign" valueMax="250000" defaultAction="Open"/>
<key description="opswat result" format="Text" level="IndexValues" name="cs.opswatresult" valueMax="250000" defaultAction="Open"/>
<key description="source module" format="Text" level="IndexValues" name="cs.sourcemodule" valueMax="250000" defaultAction="Open"/>
<key description="Target Module" format="Text" level="IndexValues" name="cs.targetmodule" valueMax="250000" defaultAction="Open"/>
<key description="yara result" format="Text" level="IndexValues" name="cs.yararesult" valueMax="250000" defaultAction="Open"/>
<key description="Protocol" format="Text" level="IndexValues" name="protocol" valueMax="250000" defaultAction="Open"/>
<key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="250000" defaultAction="Open"/>
<key description="Source Host" format="Text" level="IndexValues" name="host.src" valueMax="250000" defaultAction="Open"/>
<key description="Start Time" format="TimeT" level="IndexValues" name="starttime" valueMax="250000" defaultAction="Open"/>
<key description="Timezone" format="Text" level="IndexValues" name="timezone" valueMax="250000" defaultAction="Open"/>
<key description="Received Bytes" format="UInt64" level="IndexValues" name="rbytes" valueMax="250000" defaultAction="Open"/>
<key description="Agent User" format="Text" level="IndexValues" name="user.agent" valueMax="250000" defaultAction="Open"/>
<key description="Source Bytes" format="UInt64" level="IndexValues" name="bytes.src" valueMax="250000" defaultAction="Open"/>
<key description="Strans Address" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
</language>
Claves de metadatos de ECAT
Estos son los nombres y las descripciones de las claves de metadatos de ECAT que se usan en el archivo de índice de ejemplo.
Nombre de clave de metadatos de Security Analytics | Usar | Clave de metadatos de ECAT (nombre) |
---|---|---|
MachineName | Nombre de host del agente de Windows | alias.host |
LocalIp | Dirección IPv4 | index |
RemoteIp | Dirección IP del extremo lejano como la ve el enrutador | stransaddr |
GatewayIp | Dirección IP del gateway | gateway |
MacAddress | Dirección MAC | eth.src |
OperatingSystem | Sistema operativo que usa el agente de Windows | SO |
AgentID | ID del agente del host (ID único asignado al agente) | cliente |
ConnectionUTCTime | Última vez que el agente se conectó al servidor de ECAT | ecat.ctime |
Source Domain | Dominio | domain.src |
ScanUTC time | Última vez que se escaneó el agente | ecat.stime |
Puntaje de la máquina | Puntaje del agente que indica el nivel sospechoso | risk.num |
Resultado
Los analistas pueden:
- Crear alertas de Security Analytics basadas en eventos de ECAT mediante la configuración de eventos de ECAT como un origen de enriquecimiento.
- Crear reglas de ESA mediante el uso de metadatos de ECAT, como se describe en el tema Agregar reglas a la Biblioteca de reglas de Alertas mediante ESA.
- Informar sobre eventos de ECAT mediante el uso de metadatos de ECAT, como se describe en el tema Trabajo con reglas de Reporting en Reporting.
- Ver alertas de ECAT en Incident Management, como se describe en el tema Vista Alertas en Incident Management.
- Ver claves de metadatos de ECAT en Investigation, junto con claves de metadatos de SA Core estándar, como se describe en el tema Realizar una investigación en Investigation and Malware Analysis.