Log DecoderへのSyslog経由のECATアラートの構成

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security AnalyticsでRSA ECATデータを使用する方法を構成し、Syslog経由でECATアラートをLog Decoderセッションに提供するための手順について説明します。これにより、Security Analytics Investigation、Alerts、Reporting Engineで使用するメタデータが生成されます。

ログを収集および集計しているSecurity Analyticsネットワーク環境において、ECATとSecurity Analyticsとを統合し、ECATイベントをCEF(Common Event Format)形式のSyslogメッセージとしてLog Decoderにプッシュし、Security Analytics Investigation、Alerts、Reporting Engineで使用可能なメタデータを生成できます。このユースケースはSIEM環境の統合です。イベントの一元管理を実現し、ECATイベントと他のLog Decoderデータとの相関分析、ECATイベントに関するSecurity Analyticsレポート作成、ECATイベントに関するSecurity Analyticsアラートの発行などが可能になります。

前提条件

この統合の要件を次に示します。

  • バージョン4.0以降のECAT UI
  • Security Analyticsサーバ バージョン10.4以降がインストールされている
  • バージョン10.4以降のRSA Log DecoderおよびConcentratorがインストールされている
  • ECATサーバからLog Decoderに対してポート514でアクセスできるようファイアウォールが構成されている

手順

この統合を構成するには、次のステップを実行します。

  1. 必要なParser(CEFまたはECAT)をLog Decoderに導入します(「Liveサービス管理」の「Liveリソースの管理」トピックを参照してください)。

注:Parserは1種類のみ使用します。CEF Parserが導入されている場合は、ECAT Parserより優先されます。Security Analyticsに送られるすべてのCEFメッセージがCEF Parserによって処理されます。両方のParserを有効にすると、パフォーマンスに不要な負荷がかかります。

  1. ECAT側で、Syslog出力を構成し、ECATアラートを生成してLog Decoderに送信するよう設定します。
  2. (オプション)table-map-custom.xmlindex-concentrator-custom.xmlでテーブル マッピングを編集し、Security Analyticsに割り当てるメタデータを必要に応じて追加します。

Syslog出力をSecurity Analyticsに送信するためのECATの構成

Log DecoderをSyslog外部コンポーネントとして追加し、ECATアラートを生成してLog Decoderに送信するには、次の手順を実行します。

ECATバージョン4.0の場合

  1. ECATのユーザー インタフェースを開き、適切な認証情報を使用してログオンします。
  2. メニュー バーから[Configure]>[Monitoring and External Components]を選択します。
  3. ダイアログ ボックス内を右クリックして、[Add Component]を選択します。ダイアログ ボックスで、Syslogメッセージを有効にするために必要なフィールドに値を入力します。

    Component Type = Syslog
    Unique Name = Log Decoderの記述名
    IP = RSA Log DecoderのIPアドレス
    Port = 514

  4. Settings]をクリックします。
  5. Configure Syslog]ダイアログ ボックスで、Syslogサーバのトランスポート プロトコルとして[UDP]または[TCP]を選択します。
  6. Save]を2回クリックしてダイアログ ボックスを閉じます。
  7. Enable]チェックボックスをオンにしてコンポーネントを有効にします。
  8. Close]をクリックして終了します。

  9. Instant IOCs]をクリックして、アラート対象のIOCを設定します。

インスタントIOCがトリガーされると、SyslogアラートがECATサーバからLog Decoderに送信されます。その後で、Log DecoderアラートがConcentratorで集計されます。これらのイベントはConcentratorにメタデータとして挿入されます。

ECATバージョン4.1の場合

  1. ECATのユーザー インタフェースを開き、適切な認証情報を使用してログオンします。
  2. メニュー バーから[Configure]>[Monitoring and External Components]を選択します。

    [External Components Configuration]ダイアログが表示されます。

  3. SYSLOG Server]で、[+]をクリックします。

    [SYSLOG Serve]ダイアログが表示されます。

    syslog-svr.png

  4. Syslogメッセージを有効にするために必要なフィールドに値を入力します。

    On = Log Decoderの記述名
    Server Hostname/IP = RSA Log Decoderのホスト名またはIPアドレス
    Port = 514
    Transport Protocol=Syslogサーバの転送プロトコルとして[UDP]または[TCP]を選択します。

  5. Saveをクリックします。
  6. Instant IOCs]をクリックして、アラート対象のIOCを設定します。

    instant-iocs-ecat.png

インスタントIOCがトリガーされると、SyslogアラートがECATサーバからLog Decoderに送信されます。その後で、Log DecoderアラートがConcentratorで集計されます。これらのイベントはConcentratorにメタデータとして挿入されます。

table-map-custom.xmlでのテーブル マッピングの編集

RSAが提供するデフォルトのtable-map.xmlファイルでは、メタ キーはTransientに設定されています。メタ キーをInvestigationで表示するには、キーがNoneに設定されている必要があります。マッピングに変更を加えるには、Log Decoderでtable-map-custom.xmlという名前でファイルのコピーを作成して、メタ キーをNoneに設定する必要があります。

以下は、table-map.xml内のメタ キーのリストです。

                                                                                                                                                                                                        
ECATフィールドSecurity AnalyticsのマッピングSecurity AnalyticsのTransient設定
agentidclient×
CEF Header Hostname Fieldalias.host×
CEF Header Product Versionversion
CEF Header Product Nameproduct
CEF Header SeveritySeverity
CEF Header Signature IDevent.type×
CEF Header Signature Nameevent.desc×
destinationDnsDomainddomain
deviceDnsDomainDOMAIN
dhosthost.dst×
dstip.dst×
endendtime
fileHashchecksum
fnamefilename×
fsizefilename.size×
gatewayipgateway
instantIOCLevelthreat.desc×
instantIOCNamethreat.category
machineOUdn
machineScorerisk.num×
md5sumchecksum
osOS
portip.dstport×
protocolprotocol
Raw Messagemsg
remoteipstransaddr
rtalias.host×
sha256sumchecksum
shosthost.src×
smaceth.src
srcip.src×
startstarttime
suseruser.dst×
timezonetimezone
totalreceivedrbytes
totalsentbytes.src×
useragentuser.agent
userOUorg

以下の7個のキーはtable-map.xmlに含まれていません。これらのキーをSecurity Analyticsで使用するには、キーをtable-map-custom.xmlに追加して、フラグをNoneに設定する必要があります。

                                             
ECATフィールドSecurity AnalyticsのマッピングSecurity AnalyticsのTransient設定
moduleScorecs.modulescore
moduleSignaturecs.modulesign
Target modulecs.targetmodule
YARA resultcs.yararesult
Source modulecs.sourcemodule
OPSWATResultcs.opswatresult
ReputationResultcs.reputationresult

必要な場合は、以下のエントリーをtable-map-custom.xmlに追加します。

<mapping envisionName="cs_reputationresult" nwName="cs.reputationresult" flags="None" envisionDisplayName="ReputationResult"/>
<mapping envisionName="cs_modulescore" nwName="cs.modulescore" format="Int32" flags="None" envisionDisplayName="ModuleScore"/>
<mapping envisionName="cs_modulesign" nwName="cs.modulesign" flags="None" envisionDisplayName="ModuleSignature"/>
<mapping envisionName="cs_opswatresult" nwName="cs.opswatresult" flags="None" envisionDisplayName="OpswatResult"/>
<mapping envisionName="cs_sourcemodule" nwName="cs.sourcemodule" flags="None" envisionDisplayName="SourceModule"/>
<mapping envisionName="cs_targetmodule" nwName="cs.targetmodule" flags="None" envisionDisplayName="TargetModule"/>
<mapping envisionName="cs_yararesult" nwName="cs.yararesult" flags="None" envisionDisplayName="YaraResult"/>

注:Log Decoderを再起動するか、ログParserを再ロードすることによって、変更を有効にします。

Security Analytics Concentratorサービスの構成

  1. Security Analyticsにログオンし、[Administration]>[サービス]に移動します。
  2. リストからConcentratorを選択して、[表示]>[構成]を選択します。
  3. ファイル]タブを選択し、[編集するファイル]プルダウン メニューから、index-concentrator-custom.xmlを選択します。
  4. ECATメタ キーをファイルに追加して、[適用]をクリックします。このファイルにはXMLセクションがすでに含まれることに注意してください。
  5. Concentratorを再起動します。
  6. Reporting Engineのデータ ソースとしてConcentratorを追加するには、[Administration]>[サービス]ビューで、[Reporting Engine]>[表示]>[構成]>[ソース]を選択します。
    ECATのメタがReporting Engineに提供されるため、適切なメタ キーを選択して、レポートを実行できます。

注:以下に示す行は、です。使用環境に合わせて値を調整してください。各項目の意味は次のとおりです。
descriptionは、Security Analytics Investigationで表示されるメタ キー名です。
levelは「IndexValues」です。
nameは、下の表に示されるECATメタ キー名です。

<language>
<key description="Product" format="Text" level="IndexValues" name="product" valueMax="250000" defaultAction="Open"/>
<key description="Severity" format="Text" level="IndexValues" name="severity" valueMax="250000" defaultAction="Open"/>
<key description="Destination Dns Domain" format="Text" level="IndexValues" name="ddomain" valueMax="250000" defaultAction="Open"/>
<key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>
<key description="Destination Host" format="Text" level="IndexValues" name="host.dst" valueMax="250000" defaultAction="Open"/>
<key description="End Time" format="TimeT" level="IndexValues" name="endtime" valueMax="250000" defaultAction="Open"/>
<key description="Checksum" format="Text" level="IndexValues" name="checksum" valueMax="250000" defaultAction="Open"/>
<key description="Filename Size" format="Int64" level="IndexValues" name="filename.size" valueMax="250000" defaultAction="Open"/>
<key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
<key description="Distinguished Name" format="Text" level="IndexValues" name="dn" valueMax="250000" defaultAction="Open"/>
<key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
<key description="ReputationResult" format="Text" level="IndexValues" name="cs.reputationresults" valueMax="250000" defaultAction="Open"/>
<key description="Module Score" format="Text" level="IndexValues" name="cs.modulescore" valueMax="250000" defaultAction="Open"/>
<key description="Module Sign" format="Text" level="IndexValues" name="cs.modulesign" valueMax="250000" defaultAction="Open"/>
<key description="opswat result" format="Text" level="IndexValues" name="cs.opswatresult" valueMax="250000" defaultAction="Open"/>
<key description="source module" format="Text" level="IndexValues" name="cs.sourcemodule" valueMax="250000" defaultAction="Open"/>
<key description="Target Module" format="Text" level="IndexValues" name="cs.targetmodule" valueMax="250000" defaultAction="Open"/>
<key description="yara result" format="Text" level="IndexValues" name="cs.yararesult" valueMax="250000" defaultAction="Open"/>
<key description="Protocol" format="Text" level="IndexValues" name="protocol" valueMax="250000" defaultAction="Open"/>
<key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="250000" defaultAction="Open"/>
<key description="Source Host" format="Text" level="IndexValues" name="host.src" valueMax="250000" defaultAction="Open"/>
<key description="Start Time" format="TimeT" level="IndexValues" name="starttime" valueMax="250000" defaultAction="Open"/>
<key description="Timezone" format="Text" level="IndexValues" name="timezone" valueMax="250000" defaultAction="Open"/>
<key description="Received Bytes" format="UInt64" level="IndexValues" name="rbytes" valueMax="250000" defaultAction="Open"/>
<key description="Agent User" format="Text" level="IndexValues" name="user.agent" valueMax="250000" defaultAction="Open"/>
<key description="Source Bytes" format="UInt64" level="IndexValues" name="bytes.src" valueMax="250000" defaultAction="Open"/>
<key description="Strans Address" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
</language>

ECATメタ キー

以下は、サンプル インデックス ファイルで使用されるECATメタ キー名と説明です。

                                                                 
Security Analyticsのメタ キー名意味ECATメタ キー(名前)
MachineNameWindowsエージェントのホスト名alias.host
LocalIpIPv4アドレスindex
RemoteIpルーターで検出されるリモートIPstransaddr
GatewayIpゲートウェイIPgateway
MacAddressMACアドレスeth.src
OperatingSystemWindowsエージェントで使用されているオペレーティング システムOS
AgentIDホストのAgent ID(Agentに割り当てられた一意のID)client
ConnectionUTCTimeエージェントが前回ECATサーバに接続した時刻ecat.ctime
Source DomainDomaindomain.src
ScanUTC timeエージェントが前回スキャンされた時刻ecat.stime
Machine Scoreエージェントがどの程度疑わしいかを示すスコアrisk.num

結果

アナリストは次の操作を実行できます。

  • ECATイベントをエンリッチメント ソースとして構成することにより、ECATイベントに基づいてSecurity Analyticsアラートを作成する。
  • ECATメタを使用してESAルールを作成する(「ESAを使用したアラート」の「ルール ライブラリへのルールの追加」トピックを参照)。
  • ECATメタを使用してECATイベントに関するレポートを作成する(「レポート作成」の「レポート ルールの使用」トピックを参照)。
  • ECATアラートをIncident Managementで表示する(「Incident Management」の「[アラート]ビュー」トピックを参照)。
  • 標準のSAメタ キーとともにECATメタ キーをInvestigationで表示する(「InvestigationおよびMalware Analysis」の「調査の実施」トピックを参照)。
You are here
Table of Contents > Log DecoderへのSyslog経由のECATアラートの構成

Attachments

    Outcomes