Configurer des alertes de point de terminaison via Syslog dans un Log Decoder

Document created by RSA Information Design and Development on Apr 24, 2018
Version 1Show Document
  • View in full screen mode
 

Vous pouvez configurer l’utilisation de données RSA NetWitness Endpoint dans RSA NetWitness Suite pour fournir des alertes NetWitness Endpoint via Syslog dans des sessions de Log Decoder. Cette configuration génère des métadonnées utilisées par les services Investigation, Alertes et Reporting Engine de NetWitness Suite.

Pour les réseaux NetWitness Suite qui consomment des logs, l'intégration de NetWitness Endpoint avec NetWitness Suite transmet les événements NetWitness Endpoint vers le Log Decoder via des messages syslog au format CEF (Common Event Format) et génère des métadonnées utilisées par les services Investigation, Alertes et Reporting Engine de NetWitness Suite. Le cas d'utilisation pour cette intégration est l'intégration SIEM qui permet la gestion centralisée des événements, la corrélation entre des événements NetWitness Endpoint et d'autres données Log Decoder, le reporting NetWitness Suite sur les événements NetWitness Endpoint, et les alertes NetWitness Suite sur les événements NetWitness Endpoint.

Conditions préalables

Cette intégration requiert ce qui suit :

  • Version d’interface utilisateur NetWitness Endpoint 4.3.0.4, 4.3.0.5 ou 4.4.
  • Serveur NetWitness version 11.0 installée.
  • RSA Log Decoder et Concentrator version 10.4 ou supérieure connectés au serveur Serveur NetWitness sur le réseau.
  • Port UDP- 514 ou TCP - 1514 ouvert entre le serveur NetWitness Endpoint et Log Decoder derrière le pare-feu.

Procédure

  1. Déployez le parser requis (CEF ou rsaecat) vers le Log Decoder, comme décrit dans la rubrique « Gérer les ressources Live » dans Gestion des services Live. Une fois que vous déployez le parser, assurez-vous que le parser est activé. Pour plus d’informations, reportez-vous à la Vue Configuration des Services - Onglet Général.

Remarque : N'utilisez qu'un seul de ces parsers. Lorsque le parser CEF est déployé, il prévaut sur le parser NetWitness Endpoint, et tous les messages CEF dans NetWitness Suite sont traités par le parser CEF. L'activation des deux parsers est un fardeau inutile sur les performances.

  1. Configurez NetWitness Endpoint afin qu'il envoie le résultat syslog vers NetWitness Suite et qu'il génère des alertes NetWitness Endpoint dans le Log Decoder.
  2. (Facultatif) Modifiez le mappage de table dans table-map-custom.xml et dans index-concentrator-custom.xml pour ajouter des champs en fonction des préférences utilisateur pour les métadonnées devant être mappées dans NetWitness Suite.

Configurer le point de terminaison NetWitness pour l’envoi du résultat Syslog vers NetWitness Suite

Pour ajouter le Log Decoder en tant que composant externe Syslog et générer des alertes NetWitness Endpoint vers Log Decoder :

  1. Ouvrez l'interface utilisateur NetWitness Endpoint et connectez-vous en utilisant les informations d'identification adéquates.
  2. Dans la barre du menu, sélectionnez Configurer > Composants de surveillance et externes.

    La boîte de dialogue Configuration des composants externes s'affiche.

  3. Dans Serveur SYSLOG, cliquez sur Icône Ajouter.

    La boîte de dialogue SYSLOG Server s'affiche.

    Boîte de dialogue serveur Syslog

  4. Dans le panneau NetWitness Suite, dans Sur, saisissez le nom descriptif pour le Log Decoder.
  5. Dans le panneau Connexion Syslog, procédez comme suit pour activer les messages Syslog :

Nom d'hôte/IP du serveur = le nom d’hôte DNS ou l’adresse IP du Log Decoder RSA
Port = 514
Protocole de transport = sélectionnez UDP ou TCP comme protocole de transport de votre serveur Syslog.

  1. Cliquez sur Enregistrer.
  2. Ouvrez la fenêtreInstantIOCs dans l’interface utilisateur du point de terminaison NetWitness et, dans la colonne Alertable, cliquez pour activer chaque IIOC pour lequel vous souhaitez que les alertes soient envoyées vers le Log Decoder.

    Point de terminaison IOC instantané

Lorsque les IOC instantanés sont déclenchés, les alertes Syslog du serveur NetWitness Endpoint sont envoyées au Log Decoder. Les alertes Log Decoder sont alors ajoutées au Concentrator. Ces événements sont alors injectés au Concentrator comme métadonnées.

Modifiez le mappage de table dans table-map-custom.xml

Dans le fichier table-map.xml fourni par RSA par défaut, les clés méta du fichier table-map.xml sont définies sur Transient. Dans le but d'afficher les clés méta dans Investigation, les clés doivent être définies sur None. Pour modifier le mappage, vous devez ajouter des entrées à table-map-custom.xml dans le Log Decoder.

Voici la liste des clés méta dans table-map.xml.

                                                                                                                                                                                                        
Champs NetWitness EndpointMappage NetWitness SuiteTransitoire dans NetWitness Suite
agentidclientNon
CEF Header Hostname Fieldalias.hostNon
CEF Header Product VersionversionOui
CEF Header Product NameProduitOui
CEF Header SeverityseverityOui
CEF Header Signature IDevent.typeNon
CEF Header Signature Nameevent.descNon
destinationDnsDomainddomainOui
deviceDnsDomaindomainOui
dhosthost.dstNon
dstip.dstNon
FinendtimeOui
fileHashchecksumOui
fnamefilenameNon
fsizefilename.sizeOui
gatewayipgatewayOui
instantIOCLevelthreat.descNon
instantIOCNamethreat.categoryNon
machineOUdnOui
machineScorerisk.numNon
md5sumchecksumOui
osSystème d’exploitationOui
portip.dstportNon
protocolprotocolOui
Raw MessagemsgOui
remoteipstransaddrOui
rtalias.hostNon
sha256sumchecksumOui
shosthost.srcNon
smaceth.srcOui
srcip.srcNon
startstarttimeOui
suseruser.dstNon
timezonetimezoneOui
totalreceivedrbytesOui
totalsentbytes.srcNon
useragentuser.agentNon
userOUorgOui

Ces sept clés ne sont pas dans table-map.xml. Pour utiliser ces clés dans NetWitness Suite, vous devez les ajouter à table-map-custom.xml et définir les balises sur None.

                                                
Champs NetWitness EndpointMappage NetWitness SuiteTransitoire dans NetWitness Suite
moduleScorecs.modulescoreOui
moduleSignaturecs.modulesignOui
Target modulecs.targetmoduleOui
YARA resultcs.yararesultOui
Source modulecs.sourcemoduleOui
OPSWATResultcs.opswatresultOui
ReputationResultcs.represultOui

Voici les entrées à ajouter à table-map-custom.xml si nécessaire.

<mapping envisionName="cs_represult" nwName="cs.represult" flags="None" envisionDisplayName="ReputationResult"/>
<mapping envisionName="cs_modulescore" nwName="cs.modulescore" format="Int32" flags="None" envisionDisplayName="ModuleScore"/>
<mapping envisionName="cs_modulesign" nwName="cs.modulesign" flags="None" envisionDisplayName="ModuleSignature"/>
<mapping envisionName="cs_opswatresult" nwName="cs.opswatresult" flags="None" envisionDisplayName="OpswatResult"/>
<mapping envisionName="cs_sourcemodule" nwName="cs.sourcemodule" flags="None" envisionDisplayName="SourceModule"/>
<mapping envisionName="cs_targetmodule" nwName="cs.targetmodule" flags="None" envisionDisplayName="TargetModule"/>
<mapping envisionName="cs_yararesult" nwName="cs.yararesult" flags="None" envisionDisplayName="YaraResult"/>

Remarque : Redémarrez le Log Decoder ou rechargez les parsers de logs afin que les changements prennent effet.

Configurer le Service de Concentrator NetWitness Suite

  1. Connectez-vous à NetWitness Suite et accédez à ADMIN > Services.
    1. Sélectionnez un Concentrator dans la liste, puis sélectionnez Vue > Config.
  2. Sélectionnez l'onglet Fichiers, et dans le menu déroulant Fichiers à modifier, sélectionnez index-concentrator-custom.xml.
  3. Ajoutez les clés méta NetWitness Endpoint au fichier et cliquez sur Appliquer. Vérifiez que ce fichier contient déjà les rubriques XML et si ce n'est pas le cas, ajoutez-les.
  4. Redémarrez le Concentrator.
  5. Pour ajouter le Concentrator comme source de données dans Reporting Engine, dans la vue ADMIN > Services, sélectionnez le Reporting Engine, puis sélectionnez Vue> Config > Sources. Les métadonnées
    NetWitness Endpoint sont renseignées dans le Reporting Engine, et vous pouvez exécuter des rapports en sélectionnant les clés méta appropriées.

Exemple

Remarque : Les lignes suivantes sont des exemples ; assurez-vous que les valeurs correspondent à votre configuration et aux noms de colonne que vous avez inclus dans la définition du flux, où :
description est le nom de la clé méta que vous souhaitez afficher dans l’investigation NetWitness Suite.
niveau est « IndexValues »
. nom est le nom de clé méta NetWitness Endpoint dans le tableau ci-dessous.

<language>
<key description="Product" format="Text" level="IndexValues" name="product" valueMax="250000" defaultAction="Open"/>
<key description="Severity" format="Text" level="IndexValues" name="severity" valueMax="250000" defaultAction="Open"/>
<key description="Destination Dns Domain" format="Text" level="IndexValues" name="ddomain" valueMax="250000" defaultAction="Open"/>
<key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>
<key description="Destination Host" format="Text" level="IndexValues" name="host.dst" valueMax="250000" defaultAction="Open"/>
<key description="End Time" format="TimeT" level="IndexValues" name="endtime" valueMax="250000" defaultAction="Open"/>
<key description="Checksum" format="Text" level="IndexValues" name="checksum" valueMax="250000" defaultAction="Open"/>
<key description="Filename Size" format="Int64" level="IndexValues" name="filename.size" valueMax="250000" defaultAction="Open"/>
<key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
<key description="Distinguished Name" format="Text" level="IndexValues" name="dn" valueMax="250000" defaultAction="Open"/>
<key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
<key description="ReputationResult" format="Text" level="IndexValues" name="cs.represult" valueMax="250000" defaultAction="Open"/>
<key description="Module Score" format="Text" level="IndexValues" name="cs.modulescore" valueMax="250000" defaultAction="Open"/>
<key description="Module Sign" format="Text" level="IndexValues" name="cs.modulesign" valueMax="250000" defaultAction="Open"/>
<key description="opswat result" format="Text" level="IndexValues" name="cs.opswatresult" valueMax="250000" defaultAction="Open"/>
<key description="source module" format="Text" level="IndexValues" name="cs.sourcemodule" valueMax="250000" defaultAction="Open"/>
<key description="Target Module" format="Text" level="IndexValues" name="cs.targetmodule" valueMax="250000" defaultAction="Open"/>
<key description="yara result" format="Text" level="IndexValues" name="cs.yararesult" valueMax="250000" defaultAction="Open"/>
<key description="Protocol" format="Text" level="IndexValues" name="protocol" valueMax="250000" defaultAction="Open"/>
<key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="250000" defaultAction="Open"/>
<key description="Source Host" format="Text" level="IndexValues" name="host.src" valueMax="250000" defaultAction="Open"/>
<key description="Start Time" format="TimeT" level="IndexValues" name="starttime" valueMax="250000" defaultAction="Open"/>
<key description="Timezone" format="Text" level="IndexValues" name="timezone" valueMax="250000" defaultAction="Open"/>
<key description="Received Bytes" format="UInt64" level="IndexValues" name="rbytes" valueMax="250000" defaultAction="Open"/>
<key description="Agent User" format="Text" level="IndexValues" name="user.agent" valueMax="250000" defaultAction="Open"/>
<key description="Source Bytes" format="UInt64" level="IndexValues" name="bytes.src" valueMax="250000" defaultAction="Open"/>
<key description="Strans Address" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
</language>

Résultat

Les analystes peuvent :

  • Créer des alertes NetWitness Suite en fonction des événements NetWitness Endpoint en configurant des événements NetWitness Endpoint comme source d'enrichissement.
  • Créer des règles ESA en utilisant des méta NetWitness Endpoint comme décrit dans la rubrique « Ajouter des règles à la bibliothèque de règles » dans le Guide des alertes basées sur ESA.
  • Générer des rapports sur des événements NetWitness Endpoint à l’aide de métadonnées NetWitness Endpoint, comme décrit dans la rubrique « Configurer une règle » dans le Guide de Reporting.
  • Afficher les alertes NetWitness Endpoint dans NetWitness Respond, comme décrit dans la rubrique « Afficher les alertes » dans le Guide d’utilisation de NetWitness Respond.
  • Afficher les clés méta NetWitness Endpoint dans Investigation avec les clés méta standard NetWitness Suite Core comme décrit dans la rubrique « Mener une investigation » dans le Guide d’utilisation Investigation et Malware Analysis.
You are here
Table of Contents > Configurer des alertes Endpoint via Syslog dans un Log Decoder

Attachments

    Outcomes