Decoder:カスタムFeedを使用したカスタム メタ キーの作成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Log DecoderでカスタムFeedを使用してカスタム メタ キーを追加する方法について説明します。

カスタム メタ キーを作成すると、データを取得し、ログとパケットの調査と分析を行うことができます。カスタム メタ キーを使用すると、ログおよびパケット データにエンリッチメント コンテキストを追加できます。このドキュメントでは、Concentrator、ESA、Archiver、Warehouse Connector、Reporting Engineのスキーマでカスタム メタ キーを反映するための構成の変更を中心に説明します。

ここでは、Log Decoderでカスタム メタ キーを使用する例を紹介します。このシナリオでは、組織がプリンターなどの資産の場所を追跡するとします。そこで、資産の場所を示すカスタム メタ キーsource locationを導入します。たとえば、Printer1は「Fifth Floor A wing」にあります。 

注:カスタム メタ キーは、Decoderでも作成できます。Decoderでカスタム メタを作成するときは必ずindex.decoder.xmlファイルを選択してください。

手順

Log Decoderでのカスタム メタ キーの追加

カスタムFeedを使用してカスタム メタ キーを追加するには、次の手順に従います。

  1. Security Analytics]メニューで、Administration]>サービス]>[Log Decoderを選択します。
  2. サービスを選択し、ic-actns.png>[表示>[構成]>[ファイル]タブ>[index-logdecoder-custom.xml]をクリックします。

<Language>
 <?xml version="1.0" encoding="utf-8"?>
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexNone" name="location.src" format="Text"/>
</Language>

  1. Log Decoderサービスを再起動します。[サービス]ビューで、ic-actns.png>[再起動]をクリックします。

LiveでのFeedの導入

ライブ環境でFeedを導入するには、次の手順に従います。

  1. Security Analyticsメニューで、[Live]>[Feed]を選択します。
  2. ツールバーでをクリックします。
    [Feedの構成]ダイアログが表示されます。

add_custom_feed_1051.png

  1. Feedのタイプを選択するには、[カスタムFeed]をクリックし、[次へ]をクリックします。
    カスタムFeedの構成ウィザードが表示され、[Feedの定義]フォームが開きます。
    名前を入力し、Feed CSVファイルをアップロードします。define_feed.png
  2. 次へ]をクリックします。
  3. Feedをアップロードする必要があるLog Decoderサービスを選択します。log_decoder_service.png
  4. [インデックスの定義]セクションで、インデックス タイプ、インデックス列、コールバック キーを選択します。[値の定義]セクションでカスタム メタ キーを入力します。
    Feedウィザードに.csvファイルの内容が表示されます。このケースでは、最初の列に資産のホスト名が表示され、2番目の列に資産の場所が示されます。

注:ip.srcとip.dstはIPv4形式のため、ソースIPはタイプを[IP]として選択してインデックス作成する必要があります。 

define_customs.png

このシナリオでは、カスタム メタ キーlocation.src(場所ソース)はホスト名(alias.host)のインデックスを作成することで追加されます。この例では、プリンターのホスト名がメタ キー「alias.host」に取り込まれます。そのため、次に示すように、Feedウィザードで、コールバック キーとして「alias.host」を、インデックス タイプを[IP以外]として選択します。[値の定義]セクションでは、ドロップダウン メニューから、カスタム メタ キーを選択します。

  1. 次へ]をクリックします。
  2. 完了をクリックします。

Feedウィザードの詳細については、「ウィザードを使用したカスタムFeedの作成と導入」を参照してください。

Concentratorのインデックス ファイルへのカスタム メタ エントリーの追加

Concentratorのインデックス ファイルにカスタム メタ エントリーを追加するには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]>[Concentrator]を選択します。
  2. ic-actns.png>[表示]>[構成]>[ファイル]タブ>[index-concentrator-custom.xml]をクリックします。
  3. Concentratorのインデックス ファイルにカスタム メタ エントリーを追加します。

 <Language>
  <?xml version="1.0" encoding="utf-8"?>
  <Language level="IndexNone" defaultAction="Auto">
  <!-- Reserved Meta key for Feed -->
  <Key description="Source Location"  level="IndexValues" name="location.src" format="Text"                 valueMax="10000" defaultAction="Open"/>
 </Language>

  1. Concentratorサービスを再起動します。[サービス]ビューで、ic-actns.png>[再起動]をクリックします。

注:Brokerの場合、Brokerが集計するConcentratorからインデックスが作成されます。このため、Brokerでカスタム メタを作成する必要はありません。Concentratorでメタ キーのインデックスを作成していない場合、BrokerはInvestigationに表示されません。

Investigate 

注:Investigationでカスタム メタ キーを表示するには、Security Analyticsユーザー インターフェイスからログアウトしてログインしていることを確認してください。

カスタム メタ キーを調査するには、次の手順に従います。 

  1. Security Analyticsメニューで、[Investigation]>[ナビゲート]を選択します。
  2. Concentratorサービスを選択します。
  3. ナビゲート]をクリックします。 

    investigation_output_10501.png

Concentratorで実行されるレポートの例を次に示します。

Concentrator_Output.png

追加の手順

Warehouse Connector、Archiver、Reporting Engine、ESAを構成している場合、次の手順を実行する必要があります。

ESAでのスキーマの更新 

ESAでスキーマを更新する前に、Concentratorでカスタム メタ キーにインデックスを作成する必要があります。

スキーマのESAルールを更新し、新しいカスタム メタ キーを使用できるようにするには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]>[ESA- Event Stream Analysis]>[表示]>[構成]を選択します。
  2. Concentratorデータソースを編集します。
  3. 接続のテスト]をクリックします。

ESA_test_connection_1051.png

  1. 正常に接続できたら、[保存]をクリックします。
  2. 適用]をクリックします。
  3. アラート]>[構成]>[設定]に移動します。

ESA_settings_1051.png

  1. 検索]タブをクリックし、カスタム メタ キーの名前を検索します。
    カスタム メタ キーの名前とタイプが表示されます。

ESA_display_1051.png

Archiverでのスキーマの更新

新しいカスタム メタ キーを使用してSecurity Analytics Archiver を構成する場合は、Reporting EngineでArchiverスキーマを更新する必要があります。

Reporting EngineでArchiverスキーマを更新するには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]>[Archiver]を選択します。
  2. >>[表示]>[構成]>[ファイル]>[index-archiver-custom.xml]をクリックします。
  3. Archiverのインデックス ファイルにカスタム メタ エントリーを追加します。

<Language>
 <?xml version="1.0" encoding="utf-8"?> 
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexValues" name="location.src" format="Text"
 valueMax="10000" defaultAction="Open"/>
</Language>

  1. Archiverサービスを再起動します。ic-actns.png>[再起動]をクリックします。
    Archiverスキーマは、カスタム メタ キーを使用して更新されます。

Warehouse Connectorでのスキーマの更新

Security Analytics Warehouseでカスタム メタを構成し、Warehouseレポートで使用する場合は、Reporting EngineでWarehouseスキーマを更新する必要があります。

カスタム メタ キーを追加するLog DecoderまたはDecoderがWarehouse Connectorストリームのソースの1つである場合は、WarehouseConnectorでスキーマを更新する必要があります。

Reporting EngineでWarehouseスキーマを更新するには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]>[Warehouse Connector]を選択します。
  2. ic-actns.png>[表示]>[構成]>[ファイル]タブ>[index-logdecoder-custom.xml]をクリックします。
  3. ストリームを選択し、[再ロード]をクリックします。
    Warehouse Connectorは、ダウンストリーム デバイス(Log DecoderまたはDecoder)からスキーマを取得します。warehouse_connector_streams_1051.png

ストリームの詳細については、「Warehouse Connector構成ガイド」の「ストリームの構成」トピックを参照してください。

Reporting Engineでのスキーマの更新

Reporting Engineでスキーマを更新するには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]>[Reporting Engine]を選択します。
  2. ic-actns.png>[再起動]をクリックします。

注:Reporting Engineを再起動するか、スキーマが更新されるまで30分間待機します。

カスタム メタ キーを表示するには、次の手順に従います。

  1. レポート]>[ルール]に移動します。
  2. ツールバーでをクリックします。
  3. [Warehouse DB]を選択します。
  4. [ルールのビルド]ページで、ページの右側のパネルからカスタム メタを検索します。
    カスタム メタ キーが表示されます。

RE_schema_10501.png

Previous Topic:Syslog転送の構成
You are here
Table of Contents > 追加の手順 > カスタムFeedを使用したカスタム メタ キーの作成

Attachments

    Outcomes