Log DecoderへのSyslog経由のEndpointアラートの構成

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode
 

RSA NetWitness SuiteでRSA NetWitness Endpoint データの使用を構成してSyslog経由でNetWitness EndpointアラートをLog Decoderセッションに提供します。これにより、NetWitness Suite Investigation、Alerts、Reporting Engineで使用するメタデータが生成されます。

ログを収集および集計しているNetWitness Suiteネットワーク環境において、NetWitness EndpointとNetWitness Suiteとを統合し、NetWitness EndpointイベントをCEF(Common Event Format)形式のSyslogメッセージでLog Decoderにプッシュし、NetWitness Suite Investigation、Alerts、Reporting Engineで使用可能なメタデータを生成できます。この統合のユースケースはSIEM環境の統合と言えます。この統合によってイベントの一元管理が実現され、NetWitness Endpointイベントと他のLog Decoderデータとの相関付け、NetWitness Endpointイベントに関するNetWitness Suiteレポート作成、NetWitness Endpointイベントに関するNetWitness Suiteアラートの発行などが可能になります。

前提条件

この統合の要件を次に示します。

  • バージョン4.3.0.4、4.3.0.5、または4.4のNetWitness Endpoint UIであること。
  • NetWitnessサーババージョン11.0がインストールされていること。
  • バージョン10.4以降のRSA Log DecoderおよびConcentratorがネットワーク内のNetWitnessサーバに接続されていること。
  • NetWitness EndpointサーバからLog Decoderに対してポートUDP 514またはTCP 1514でアクセスできるようファイアウォールが構成されていること。

手順

  1. 必要なParser(CEFまたはrsaecat)をLog Decoderに導入します(「Liveサービス管理」の「Liveリソースの管理」トピックを参照してください)。Parserを導入した後、Parserが有効になっていることを確認します。詳細については、「サービスの[構成]ビュー:[全般]タブ」を参照してください。

注:Parserは1種類のみ使用します。CEF Parserが導入されている場合は、それがNetWitness Endpoint Parserより優先され、NetWitness Suiteに送られるすべてのCEFメッセージがCEF Parserによって処理されます。両方のParserを有効にすると、パフォーマンスに不要な負荷がかかります。

  1. NetWitness Endpointを構成して、Syslog出力をNetWitness Suiteに送信し、Log Decoderに対するNetWitness Endpointアラートを生成するよう設定します。
  2. (オプション)table-map-custom.xmlindex-concentrator-custom.xmlでテーブル マッピングを編集し、NetWitness Suiteに割り当てるメタデータを必要に応じて追加します。

NetWitness SuiteへのSyslog出力を送信するNetWitness Endpointの構成

Log DecoderをSyslog外部コンポーネントとして追加し、NetWitness Endpointアラートを生成してLog Decoderに送信するには、次の手順を実行します。

  1. NetWitness Endpointのユーザ インタフェースを開き、適切な認証情報を使用してログオンします。
  2. メニュー バーから[構成]>[監視と外部コンポーネント]を選択します。

    [外部コンポーネントの構成]ダイアログが表示されます。

  3. SYSLOG Server]で、[追加]アイコンをクリックします。

    [SYSLOG Serve]ダイアログが表示されます。

    [Syslog Server]ダイアログ

  4. NetWitness Suiteパネルの[オン]で、Log Decoderの分かりやすい名前を入力します。
  5. Syslog接続]パネルで、次を実行してSyslogメッセージを有効にします。

サーバ ホスト名/IP] = RSA Log Decoderのホスト名DNSまたはIPアドレス
ポート] = 514
トランスポート プロトコル] = Syslogサーバのトランスポート プロトコルとして[UDP]または[TCP]を選択します。

  1. 保存]をクリックします。
  2. NetWitness Endpoint UIで[InstantIOCs]ウィンドウを開き、[アラート対象]列で、Log Decoderにアラートを送信する各IIOCをクリックして有効にします。

    インスタントIOCエンドポイント

インスタントIOCがトリガーされると、NetWitness EndpointサーバからのSyslogアラートがLog Decoderに送信されます。その後で、Log DecoderアラートがConcentratorで集計されます。これらのイベントはConcentratorにメタデータとして挿入されます。

table-map-custom.xmlでのテーブル マッピングの編集

RSAが提供するデフォルトのtable-map.xmlファイルでは、メタ キーはTransientに設定されています。メタ キーをInvestigationで表示するには、キーがNoneに設定されている必要があります。マッピングを変更するには、エントリーをLog Decoderのtable-map-custom.xmlに追加する必要があります。

以下は、table-map.xml内のメタ キーのリストです。

                                                                                                                                                                                                        
NetWitness EndpointのフィールドNetWitness SuiteのマッピングNetWitness SuiteのTransient設定
agentidclientなし
CEF Header Hostname Fieldalias.hostなし
CEF Header Product Versionversionあり
CEF Header Product Nameproductあり
CEF Header SeveritySeverityあり
CEF Header Signature IDevent.typeなし
CEF Header Signature Nameevent.descなし
destinationDnsDomainddomainあり
deviceDnsDomainDOMAINあり
dhosthost.dstなし
dstip.dstなし
endendtimeあり
fileHashchecksumあり
fnamefilenameなし
fsizefilename.sizeあり
gatewayipgatewayあり
instantIOCLevelthreat.descなし
instantIOCNamethreat.categoryなし
machineOUdnあり
machineScorerisk.numなし
md5sumchecksumあり
osOSあり
portip.dstportなし
protocolprotocolあり
Raw Messagemsgあり
remoteipstransaddrあり
rtalias.hostなし
sha256sumchecksumあり
shosthost.srcなし
smaceth.srcあり
srcip.srcなし
startstarttimeあり
suseruser.dstなし
timezonetimezoneあり
totalreceivedrbytesあり
totalsentbytes.srcなし
useragentuser.agentなし
userOUorgあり

以下の7個のキーはtable-map.xmlに含まれていません。これらのキーをNetWitness Suiteで使用するには、キーをtable-map-custom.xmlに追加して、フラグをNoneに設定する必要があります。

                                                
NetWitness EndpointのフィールドNetWitness SuiteのマッピングNetWitness SuiteのTransient設定
moduleScorecs.modulescoreあり
moduleSignaturecs.modulesignあり
Target modulecs.targetmoduleあり
YARA resultcs.yararesultあり
Source modulecs.sourcemoduleあり
OPSWATResultcs.opswatresultあり
ReputationResultcs.represultあり

必要な場合は、以下のエントリーをtable-map-custom.xmlに追加します。

<mapping envisionName="cs_represult" nwName="cs.represult" flags="None" envisionDisplayName="ReputationResult"/>
<mapping envisionName="cs_modulescore" nwName="cs.modulescore" format="Int32" flags="None" envisionDisplayName="ModuleScore"/>
<mapping envisionName="cs_modulesign" nwName="cs.modulesign" flags="None" envisionDisplayName="ModuleSignature"/>
<mapping envisionName="cs_opswatresult" nwName="cs.opswatresult" flags="None" envisionDisplayName="OpswatResult"/>
<mapping envisionName="cs_sourcemodule" nwName="cs.sourcemodule" flags="None" envisionDisplayName="SourceModule"/>
<mapping envisionName="cs_targetmodule" nwName="cs.targetmodule" flags="None" envisionDisplayName="TargetModule"/>
<mapping envisionName="cs_yararesult" nwName="cs.yararesult" flags="None" envisionDisplayName="YaraResult"/>

注:Log Decoderを再起動するか、ログParserを再ロードすることによって、変更を有効にします。

NetWitness Suite Concentratorサービスの構成

  1. NetWitness Suiteにログオンし、[管理]>[サービス]に移動します。
    1. リストからConcentratorを選択して、[表示]>[構成]を選択します。
  2. ファイル]タブを選択し、[編集するファイル]ドロップダウン リストから、index-concentrator-custom.xmlを選択します。
  3. NetWitness Endpointメタ キーをファイルに追加して、[適用]をクリックします。このファイルにはXMLセクションがすでに含まれることに注意してください。
  4. Concentratorを再起動します。
  5. Reporting Engineのデータ ソースとしてConcentratorを追加するには、[管理]>[サービス]ビューでReporting Engineを選択し、[表示]>[構成]>[ソース]を選択します。
    NetWitness EndpointメタはReporting Engineに取り込まれ、適切なメタ キーを選択してレポートを実行できます。

注:以下の行はです。使用環境やFeed定義に含める列名に合わせて値を調整してください。各項目の意味は以下のとおりです。
descriptionは、NetWitness Suite Investigationで表示されるメタ キー名になります。
levelは「IndexValues」です。
nameは以下の表のNetWitness Endpointメタ キー名です。

<language>
<key description="Product" format="Text" level="IndexValues" name="product" valueMax="250000" defaultAction="Open"/>
<key description="Severity" format="Text" level="IndexValues" name="severity" valueMax="250000" defaultAction="Open"/>
<key description="Destination Dns Domain" format="Text" level="IndexValues" name="ddomain" valueMax="250000" defaultAction="Open"/>
<key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>
<key description="Destination Host" format="Text" level="IndexValues" name="host.dst" valueMax="250000" defaultAction="Open"/>
<key description="End Time" format="TimeT" level="IndexValues" name="endtime" valueMax="250000" defaultAction="Open"/>
<key description="Checksum" format="Text" level="IndexValues" name="checksum" valueMax="250000" defaultAction="Open"/>
<key description="Filename Size" format="Int64" level="IndexValues" name="filename.size" valueMax="250000" defaultAction="Open"/>
<key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
<key description="Distinguished Name" format="Text" level="IndexValues" name="dn" valueMax="250000" defaultAction="Open"/>
<key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
<key description="ReputationResult" format="Text" level="IndexValues" name="cs.represult" valueMax="250000" defaultAction="Open"/>
<key description="Module Score" format="Text" level="IndexValues" name="cs.modulescore" valueMax="250000" defaultAction="Open"/>
<key description="Module Sign" format="Text" level="IndexValues" name="cs.modulesign" valueMax="250000" defaultAction="Open"/>
<key description="opswat result" format="Text" level="IndexValues" name="cs.opswatresult" valueMax="250000" defaultAction="Open"/>
<key description="source module" format="Text" level="IndexValues" name="cs.sourcemodule" valueMax="250000" defaultAction="Open"/>
<key description="Target Module" format="Text" level="IndexValues" name="cs.targetmodule" valueMax="250000" defaultAction="Open"/>
<key description="yara result" format="Text" level="IndexValues" name="cs.yararesult" valueMax="250000" defaultAction="Open"/>
<key description="Protocol" format="Text" level="IndexValues" name="protocol" valueMax="250000" defaultAction="Open"/>
<key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="250000" defaultAction="Open"/>
<key description="Source Host" format="Text" level="IndexValues" name="host.src" valueMax="250000" defaultAction="Open"/>
<key description="Start Time" format="TimeT" level="IndexValues" name="starttime" valueMax="250000" defaultAction="Open"/>
<key description="Timezone" format="Text" level="IndexValues" name="timezone" valueMax="250000" defaultAction="Open"/>
<key description="Received Bytes" format="UInt64" level="IndexValues" name="rbytes" valueMax="250000" defaultAction="Open"/>
<key description="Agent User" format="Text" level="IndexValues" name="user.agent" valueMax="250000" defaultAction="Open"/>
<key description="Source Bytes" format="UInt64" level="IndexValues" name="bytes.src" valueMax="250000" defaultAction="Open"/>
<key description="Strans Address" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
</language>

結果

アナリストは次の操作を実行できます。

  • NetWitness Endpointイベントをエンリッチメント ソースとして構成することにより、NetWitness Endpointイベントに基づいてNetWitness Suiteアラートを作成する。
  • NetWitness Endpointメタを使用してESAルールを作成する(「ESAを使用したアラート ガイド」の「ルール ライブラリへのルールの追加」トピックを参照)。
  • NetWitness Endpointメタを使用してNetWitness Endpointイベントに関するレポートを作成する(「レポート ガイド」の「ルールの構成」トピックを参照)。
  • NetWitness RespondにNetWitness Endpointアラートを表示する(「NetWitness インシデント対応ユーザ ガイド」の「アラートの表示」トピックを参照)。
  • 標準のNetWitness Suiteコア キーとともにNetWitness Endpointメタ キーをInvestigationで表示する(「調査およびマルウェア解析ユーザ ガイド」の「調査の実施」トピックを参照)。
You are here
Table of Contents > Log DecoderへのSyslog経由のEndpointアラートの構成

Attachments

    Outcomes