Decoder:サービス タイプへのIPアドレスのマッピング

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ログのパースのためにサービス タイプにIPアドレスをマッピングする手順について説明します。

Log Collectorは、メッセージごとにイベント ソース タイプを検出します。イベント ソースに対応する正しいParserを使用していないと、複数のイベント ソース タイプに共通するメッセージが誤って分類される可能性があります。メッセージが誤って識別されると、サービスのルールやアラートにメッセージが入力されず、レポートに適切な情報が含まれなくなります。また、IPアドレスに複数のサービスが関連付けられている場合、Parserはログが生成されたサービスを厳密に特定するのが難しいことがあります。 

IPアドレスをサービスにマッピングすると、Log Decoderはログが生成されたサービスを特定できます。マッピングされたサービスからメッセージを収集すると、Log Decoderは、割り当てられたParserを読み込み、一致するイベントを探します。 

サービス タイプはIPV4、IPV6、イベント ソースのホスト名の値に割り当てられます。また、複数のサービス タイプを単一のIPアドレスに割り当てることもできます。同じIPアドレスの異なるサービス タイプから別々のCollectorにメッセージが送信される場合は、CollectorIDを使用することもできます。

手順

IPアドレスをサービス タイプにマッピングするには、次を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]ビューでLog Decoderを選択し、[アクション]列でActions menu cropped>[表示]>[エクスプローラ]を選択します。
  3. /decoder/parsersノードにアクセスし、[parsers]を右クリックして、[プロパティ]を選択します。
  4. プロパティ]ビューで、ipdeviceコマンドを選択し、次のパラメータを指定します。
    op=edit entries="+/-ipaddress=service”reload=true(例:op=edit entries="+10.100.201.300=ciscoasa" reload=true
  5. 送信]をクリックします。
    Parser_Properties_View.png

IPdeviceコマンド

ipdeviceコマンドでは、2つの操作が可能です。

  • Edit:この操作を使って、ipdeviceマップのエントリーの追加と削除を行えます。
    • エントリーを追加するには次を指定します。
      +<IP value> = <service type>
    • エントリーを削除するには次を指定します。
      -<IP value> = <service type>
  • Describe:この操作は、ipdeviceマップに設定されている値を返します。

Reloadコマンド

ipdeviceマップを編集した後、reload=trueコマンドを使用してParserを再ロードする必要があります。ただし、これはエントリーごとに行うのではなく、タスクの最後にのみ行います。また、値を編集して既存の構成をオーバーライドすることもできます。新しい設定は、Parserを再ロードした後に有効になります。

結果

Security Analyticsは、Log DecoderでIPアドレスをサービス タイプにマッピングします。

次の例は、IPアドレスをサービス タイプにマッピングする様々なパターンを示しています。

  • 異なるIPV4の値とサービス タイプを持つ2つの個別のエントリーをマッピングするには、次のパラメータをipdeviceコマンドに入力して、[送信]をクリックします。
    op=edit entries=”+10.5.245.9=ciscoasa +10.5.245.45=vmware_vcloud”
  • 単一のIPV4の値とサービス タイプを持つエントリーを削除するには、次のパラメータをipdeviceコマンドに入力して、[送信]をクリックします。
    op=edit entries=”-10.5.245.9=ciscoasa” 
  • IPV6の値とサービス タイプを持つ単一のエントリーを作成するには、次のパラメータをipdeviceコマンドに入力して、[送信]をクリックします。
    op=edit entries=”+ 2001:0db8:85a3:0000:0000:8a2e:0370:7353=vmware_esx_esxi"
  • 単一のIPV4の値と2つのサービス タイプを持つ単一のエントリーを作成し、それぞれのサービス タイプを異なるCollectorに送信する場合は、次のパラメータをipdeviceコマンドに入力して、[送信]をクリックします。
    op=edit entries="+10.168.0.2,nwappliance20819=rhlinux +10.168.0.2,nwappliance3014=apache"
  • 単一のホスト名と2つの異なるサービス タイプを持つエントリーを作成してParserをロードするには、次のパラメータをipdeviceコマンドに入力して、[送信]をクリックします。
    op=edit entries=”+RS214Server-2=rhlinux,apache” reload=true
You are here
Table of Contents > 追加の手順 > サービス タイプへのIPアドレスのマッピング

Attachments

    Outcomes