Cfg de NW : Métaclés CEF prises en charge

Document created by RSA Information Design and Development on Apr 24, 2018Last modified by RSA Information Design and Development on May 11, 2018
Version 2Show Document
  • Comment0
  • View in full screen mode
 

Cette section décrit les métaclés Common Event Format (CEF) prises en charge par la fonctionnalité de consignation globale des audits de NetWitness Suite. 

Les modèles de consignation globale des audits que vous définissez pour un Log Decoder utilisent le format Common Event Format (CEF) et doivent répondre aux exigences standard spécifiques suivantes :

  • Contient les en-têtes CEF dans le modèle.
  • Utilisez uniquement les extensions et les extensions personnalisées présentant un format (Clé=Valeur) issues du tableau des métaclés ci-dessous.
  • Assurez-vous que les extensions et extensions personnalisées sont au format key=${string}<space>key=${string}

Pour les serveurs Syslog tiers, vous pouvez définir votre propre format (CEF ou non-CEF).

Les procédures relatives à ce tableau sont décrites dans les sections Définir un modèle pour la consignation globale des audits et Configurer la consignation globale des audits.

Métaclés Common Event Format (CEF) prises en charge

Le tableau suivant décrit les métaclés CEF Syslog prises en charge par la consignation globale des audits NetWitness Suite. Les champs Date/heure et Nom d'hôte du préfixe Syslog ne sont pas configurables ni inclus dans le modèle, mais ils sont ajoutés au début de chaque message de log par défaut. L'en-tête CEF est requis pour se conformer à la norme CEF ou pour tout parser CEF. Les extensions et extensions personnalisées sont facultatives. Le modèle CEF d'audit par défaut contient bon nombre des champs de ce tableau. Vous pouvez ajouter les extensions et les extensions personnalisées répertoriées de votre choix au modèle de consignation globale des audits que vous définissez.

                                                                                                                                                                                                                                                                             
Champ CEFStringDescriptionMétaclés NW

Index dans
Log Decoder

Préfixe Syslog     
DatetimeNon configurableDate/heure d'en-tête Syslogevent.time.strTransient
Nom de l'hôteNon configurableNom d'hôte d'en-tête Syslogalias.hostAucun
En-tête CEF  Les champs d'en-tête CEF sont requis pour se conformer à la norme CEF ou pour tout parser CEF.   
CEF:VersionCEF:0En-tête CEF--STATIQUE--s.o.
DeviceVendor${deviceVendor}Fournisseur du produit, RSA-s.o.
DeviceProduct${deviceProduct}Gamme de produits Il s'agit toujours de NetWitness Suite Audit.productTransient
DeviceVersion${deviceVersion}Version de l'hôte/du serviceversionTransient
Signature ID${category}Identifiant de l'événement d'audit. Il indique la catégorie de l'événement d'audit.event.typeAucune
Name${operation}Description de l'événementevent.descAucune
Gravité${severity}Gravité de l'événement d'auditseverityTransient
Extensions     
deviceExternalId${deviceExternalId}ID unique de l'hôte ou du service générant l'événement d'audithardware.idTransient
deviceFacility${deviceFacility}Fonction Syslog utilisée lors de l'écriture de l'événement dans le processus Syslog. Par exemple, authpriv.cs.devfacilityCustom
deviceProcessName${deviceProcessName}Nom du fichier exécutable correspondant à dvcpidprocessAucune
dpt${destinationPort}Port de destinationip.dstportAucune
dst${destinationAddress}Adresse IP de destinationip.dstAucune
dvcpid${deviceProcessId}ID du processus générant l'événement, qui est l'ID de processus du service NetWitness Suiteprocess.idTransient
msg${text}Texte libre, informations supplémentaires ou description réelle de l'événementmsgTransient
outcome${outcome}Résultat de l'opération effectuée correspondant à l'événement d'auditresultTransient
proto${transportProtocol}protocole réseau utilisé.protocolTransient
requestClientApplication${userAgent}Détails du navigateur de l'utilisateur accédant à la pageuser.agentTransient
rt${timestamp}Heure à laquelle l'événement est signaléevent.timeAucune
sourceServiceName${sourceService}Service chargé de la génération de cet événementservice.nameTransient
spt${sourcePort}Port sourceip.srcportTransient
spriv${userRole}Attribution des autorisations du rôle d'utilisateur. Par exemple :
admin.owner, appliance.manage,
connections.manage, everyone, logs.manage, services.manage,
storedproc.execute,
storedproc.manage,
sys.manage, users.manage		privilegeTransient
src${sourceAddress}Adresse IP d'origineip.srcNone
suser${identity}Identité de l'utilisateur connecté chargé de la génération de l'événement d'audituser.dstAucun
Extensions personnalisées     
deviceService${deviceService}Service chargé de la génération de l'événementcs.devserviceCustom
paramètres${parameters}Paramètres API et Operation qui permettent de capturer les paramètres spécifiques d'une requêteindex
 		Transient
 
paramKey${key}Clé d'élément de configuration. Il s'agit d'un paramètre de configuration pour lequel l'événement d'audit est capturé.

Par exemple : /sys/config/stat.interval

cs.keyCustom
paramValue${value}Valeur de configuration. Il s'agit de la valeur capturée lors de la mise à jour.cs.valueCustom
userGroup${userGroup}Attribution de rôle. Par exemple :
Administrateurs, Analystes, Analystesdumalware,
Analystes_du_malware, Opérateurs,
PRIVILEGED_CONNECTION_
AUTHORITY,
Responsables_du_SOC		groupNone
referrerURL${referrerUrl}URL parente faisant référence à l'URL actuelleurlTransient
sessionId${sessionId}Identifiant de session ou de connexionlog.session.idTransient

Remarque : Utilisez toutes les extensions au format suivant : 
deviceProcessName=${deviceProcessName} outcome=${outcome}
Insérez un <space> entre une valeur et un nom de balise.

Par défaut, les métaclés ne sont pas toutes indexées. Dans le tableau ci-dessus, la colonne Index dans Log Decoder affiche l'état du mot clé flags (Transient, None et Custom). Si une clé est définie sur Transient, elle est analysée, mais elle n'est pas stockée dans la base de données. Si elle est définie sur None, elle est indexée et stockée dans la base de données. Une clé répertoriée avec le type « Personnalisé » n'existe pas dans le fichier table-map.xml et n'est donc pas stockée ni analysée du tout.

La rubrique « Maintenir les fichiers de mappage des tables » fournit des instructions pour vérifier et mettre à jour les mappages des tables. La section « Modifier un fichier d'index de service » fournit des informations sur la mise à jour du fichier d'index personnalisé sur le Concentrator.

You are here
Table of Contents > Procédures additionnelles > Métaclés CEF prises en charge

Attachments

    Outcomes