NW Cfg: Unterstützte CEF-Metaschlüssel

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema werden die CEF (Common Event Format)-Metaschlüssel beschrieben, die NetWitness Suite globale Auditprotokollierung unterstützt. 

Globale Auditprotokollierungsvorlagen, die Sie für einen Log Decoder definieren, verwenden CEF (Common Event Format) und müssen die folgenden spezifischen Standardanforderungen erfüllen:

  • Die CEF-Header müssen in der Vorlage enthalten sein.
  • Es dürfen nur die Erweiterungen und angepassten Erweiterungen in einem (Schlüssel=Wert)-Format aus der untenstehenden Metaschlüsseltabelle verwendet werden.
  • Es muss sichergestellt werden, dass die Erweiterungen und benutzerdefinierten Erweiterungen das Format key=${string}<space>key=${string} haben. 

Für Syslog-Server von Drittanbietern können Sie Ihr eigenes Format (CEF oder Nicht-CEF) definieren.

Beschreibungen zu Verfahren im Zusammenhang mit dieser Tabelle finden Sie unter Definieren einer Vorlage für die globale Auditprotokollierung und Konfigurieren der globalen Auditprotokollierung.

Unterstützte CEF-Metaschlüssel

In der folgenden Tabelle werden die CEF-Syslog-Metaschlüssel beschrieben, die von der globalen Auditprotokollierung von NetWitness Suite unterstützt werden. Die Felder „Datum/Uhrzeit“ und „Hostname“ im Syslog-Präfix sind nicht konfigurierbar und in der Vorlage nicht enthalten, aber sie stehen standardmäßig am Anfang jeder Protokollmeldung. Der CEF-Header ist erforderlich, um den CEF-Standard zu erfüllen, und auch jeder CEF-Parser erfordert den CEF-Header. Die Erweiterungen und benutzerdefinierten Erweiterungen sind optional. Die Audit-CEF-Standardvorlage enthält viele der Felder in dieser Tabelle. Sie können jede der aufgeführten Erweiterungen und angepassten Erweiterungen der globalen Auditprotokollierungsvorlage, die Sie definieren, hinzufügen.

                                                                                                                                                                                                                                                                             
CEF-FeldZeichenfolgeBeschreibungNW-Metaschlüssel

Index in
Log Decoder

Syslog-Präfix     
Datum/UhrzeitNicht konfigurierbarSyslog-Header Datum/Uhrzeitevent.time.strVorübergehend
HostnameNicht konfigurierbarSyslog-Header Hostnamealias.hostKeiner
CEF-Header  Die Felder im CEF-Header sind erforderlich, um dem CEF-Standard zu entsprechen, und auch jeder CEF-Parser erfordert sie.   
CEF:VersionCEF:0CEF-Header--STATISCH---
DeviceVendor${deviceVendor}Der Anbieter des Produkts, RSA--
DeviceProduct${deviceProduct}Die Produktreihe. Dies ist immer NetWitness Suite Audit.ProduktVorübergehend
DeviceVersion${deviceVersion}Host-/Service-VersionversionVorübergehend
Signatur-ID${category}Kennung des Auditereignisses. Sie spezifiziert die Kategorie des Auditereignisses.event.typeKeiner
Name${operation}Beschreibung des Ereignissesevent.descKeiner
Schweregrad${severity}Schweregrad des AuditereignissesseverityVorübergehend
Erweiterungen     
deviceExternalId${deviceExternalId}Eindeutige ID des Hosts oder Services, der das Auditereignis erzeugthardware.idVorübergehend
deviceFacility${deviceFacility}Die Syslog-Facility, die verwendet wird, wenn das Ereignis auf den Syslog-Daemon geschrieben wird. Beispiel: authpriv.cs.devfacilityCustom
deviceProcessName${deviceProcessName}Name der ausführbaren Datei, die dvcpid entsprichtprocessKeiner
dpt${destinationPort}Zielportip.dstportKeiner
dst${destinationAddress}Ziel-IP-Adresseip.dstKeiner
dvcpid${deviceProcessId}ID des Prozesses, der das Ereignis erzeugt, d. h. die Prozess-ID des NetWitness Suite-Servicesprocess.idVorübergehend
msg${text}Freier Text, zusätzliche Information oder tatsächliche Beschreibung des EreignissesmsgVorübergehend
outcome${outcome}Ergebnis der durchgeführten Operation, die dem Auditereignis entsprichtresultVorübergehend
proto${transportProtocol}Verwendetes NetzwerkprotokollprotocolVorübergehend
requestClientApplication${userAgent}Browserinformationen zum Benutzer, der auf die Seite zugreiftuser.agentVorübergehend
rt${timestamp}Zeitpunkt, zu dem das Ereignis berichtet wirdevent.timeKeiner
sourceServiceName${sourceService}Der Service, der für die Erzeugung dieses Ereignisses verantwortlich istservice.nameVorübergehend
spt${sourcePort}Quellportip.srcportVorübergehend
spriv${userRole}Benutzerrollen-Berechtigungszuordnung. Zum Beispiel:
admin.owner, appliance.manage,
connections.manage, everyone, logs.manage, services.manage,
storedproc.execute,
storedproc.manage,
sys.manage, users.manage
BerechtigungVorübergehend
src${sourceAddress}Quell-IP-Adresseip.srcKeiner
suser${Identity}Identität des angemeldeten Benutzers, der für die Erzeugung des Auditereignisses verantwortlich istuser.dstKeiner
Benutzerdefinierte Erweiterungen     
deviceService${deviceService}Service, der für die Erzeugung des Ereignisses verantwortlich istcs.devserviceCustom
Parameter${parameters}API- und Operationsparameter, die spezifische Parameter über eine Frage erfassenIndex
 
Vorübergehend
 
paramKey${key}Ein Configuration-Item-Schlüssel. Das ist der Konfigurationsparameter, für den das Auditereignis erfasst wird.

Beispiel: /sys/config/stat.interval

cs.keyCustom
paramValue${value}Ein Konfigurationswert. Das ist der während der Aktualisierung erfasste Wert.cs.valueCustom
userGroup${userGroup}Rollenzuweisung. Beispiel:
Administratoren, Analysten, MalwareAnalysten,
Malware_Analysten, Operatoren,
PRIVILEGED_CONNECTION_
AUTHORITY,
SOC_Manager
GruppeKeiner
referrerURL${referrerUrl}Die übergeordnete URL, die sich auf die aktuelle URL beziehtURLVorübergehend
sessionId${sessionId}Sitzungs- oder Verbindungskennunglog.session.idVorübergehend

Hinweis: Verwenden Sie alle Erweiterungen im folgenden Format:
deviceProcessName=${deviceProcessName} outcome=${outcome}
Verwenden Sie ein <space> zwischen einem Wert und einem Tagnamen.

Standardmäßig werden keine Metaschlüssel indiziert. In der obigen Tabelle zeigt die Spalte Index in Log Decoder den Zustand des Schlüsselworts flags („Vorübergehend“, „Keine“ und „Benutzerdefiniert“). Wenn ein Schlüssel auf Transient eingestellt ist, wird er geparst, aber nicht in der Datenbank gespeichert. Wenn er auf None eingestellt ist, wird er indiziert und in der Datenbank gespeichert. Ein Schlüssel, der als „Benutzerdefiniert“ aufgeführt ist, existiert nicht in der Datei table-map.xml und wird daher gar nicht gespeichert oder geparst.

Anweisungen zum Überprüfen und Aktualisieren der Tabellenzuordnungen finden Sie unter „Pflegen der Tabellenzuordnungsdateien“. Informationen zum Aktualisieren der angepassten Indexdatei auf dem Concentrator finden Sie unter „Bearbeiten einer Serviceindexdatei“.

You are here
Table of Contents > Zusätzliche Verfahren > Unterstützte CEF-Metaschlüssel

Attachments

    Outcomes