Konfigurieren von Endpoint-Warnmeldungen über Syslog in einen Log Decoder

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

Sie können die Verwendung von RSA NetWitness Endpoint-Daten in RSA NetWitness Suite konfigurieren, um NetWitness Endpoint-Warnmeldungen über Syslog in Log Decoder-Sitzungen bereitzustellen. Dadurch werden Metadaten erzeugt, die von NetWitness Suite Investigation, von Warnmeldungen und der Reporting Engine verwendet werden.

In NetWitness Suite-Netzwerken, die Protokolle nutzen, werden mithilfe dieser Integration von NetWitness Endpoint in NetWitness Suite NetWitness Endpoint-Ereignisse an den Log Decoder gesendet. Dies geschieht unter Verwendung von Syslog-Meldungen im CEF-Format (Common Event Format) und es werden Metadaten erzeugt, die von NetWitness Suite Investigation, von Warnmeldungen und der Reporting Engine verwendet werden. Anwendungsbeispiel für diese Integration ist die SIEM-Integration, um zentralisiertes Ereignismanagement, Korrelation von NetWitness Endpoint-Ereignissen mit anderen Log Decoder-Daten, NetWitness Suite-Reporting für NetWitness Endpoint-Ereignisse sowie NetWitness Suite-Warnmeldungen für NetWitness Endpoint-Ereignisse zu ermöglichen.

Voraussetzungen

Folgendes ist für diese Integration erforderlich:

  • NetWitness Endpoint-Benutzeroberfläche der Version 4.3.0.4, 4.3.0.5 oder 4.4.
  • NetWitness-Server 11.0 Version ist installiert.
  • RSA Log Decoder und Concentrator Version 10.4 oder höher, die mit dem NetWitness-Server im Netzwerk verbunden sind.
  • Offener Port UDP- 514 oder TCP - 1514 vom NetWitness Endpoint-Server zum Log Decoder in der Firewall.

Verfahren

  1. Stellen Sie den erforderlichen Parser (CEF oder rsaecat) auf dem Log Decoder bereit, wie im Thema „Managen von Live-Ressourcen“ in Life-Services-Management beschrieben. Nachdem Sie den Parser bereitgestellt haben, stellen Sie sicher, dass der Parser aktiviert ist. Weitere Informationen finden Sie unter Ansicht „Services-Konfiguration“ – Registerkarte „Allgemein“.

Hinweis: Verwenden Sie nur einen dieser Parser. Wenn der CEF-Parser bereitgestellt wird, hat dieser Vorrang vor dem NetWitness Endpoint-Parser und alle CEF-Meldungen in NetWitness Suite werden vom CEF-Parser verarbeitet. Im Hinblick auf die Performance stellt die Aktivierung beider Parser eine unnötige Belastung dar.

  1. Konfigurieren Sie NetWitness Endpoint für das Senden von Syslog-Ausgaben an NetWitness Suite und Erzeugen von NetWitness Endpoint-Warnmeldungen für den Log Decoder.
  2. (Optional) Bearbeiten Sie die Tabellenzuordnung in table-map-custom.xml und index-concentrator-custom.xml, um Felder hinzuzufügen, die auf Benutzereinstellungen für Metadaten basieren, die NetWitness Suite zugeordnet werden sollen.

Konfigurieren von NetWitness Endpoint zum Senden von Syslog-Ausgaben an NetWitness Suite

So fügen Sie den Log Decoder als externe Syslog-Komponente hinzu und erzeugen NetWitness Endpoint-Warnmeldungen für den Log Decoder:

  1. Öffnen Sie die NetWitness Endpoint-Benutzeroberfläche und melden Sie sich mit den richtigen Anmeldedaten an.
  2. Wählen Sie in der Menüleiste Konfigurieren > Überwachung und externe Komponenten aus.

    Das Dialogfeld „Konfiguration externer Komponenten“ wird angezeigt.

  3. Klicken Sie in SYSLOG-Server auf Hinzufügen-Symbol.

    Das Dialogfeld „SYSLOG-Server“ wird angezeigt.

    Dialogfeld „Syslog-Server“

  4. Geben Sie im Bereich NetWitness Suite in Ein den beschreibenden Namen für den Log Decoder ein.
  5. Führen Sie im Bereich Syslog-Verbindung die folgenden Schritte aus, um Syslog-Meldungen zu aktivieren:

Hostname/IP des Servers = Hostnamens-DNS oder IP-Adresse des RSA Log Decoder
Port = 514
Transportprotokoll = Wählen Sie beim Transportprotokoll ihrem Syslog-Server entsprechend UDP oder TCP aus.

  1. Klicken Sie auf Speichern.
  2. Öffnen Sie das Fenster InstantIOCs in der NetWitness Endpoint-Benutzeroberfläche und klicken Sie in die Spalte Warnpflichtig, um jeden IIOC zu aktivieren, für den Warnmeldungen an den Log Decoder gesendet werden sollen.

    Instant IOCs Endpoint

Bei Auslösung der Instant-IOCs werden Syslog-Warnmeldungen vom NetWitness Endpoint-Server an den Log Decoder gesendet. Die Log Decoder-Warnmeldungen werden dann für den Concentrator aggregiert. Diese Ereignisse werden als Metadaten in den Concentrator eingefügt.

Bearbeiten der Tabellenzuordnung in table-map-custom.xml

In der in RSA bereitgestellten standardmäßigen XML-Zuordnungstabelle table-map.xml ist für die Metaschlüssel in der Datei table-map.xml der Wert Transient festgelegt. Um die Metaschlüssel in Investigation anzuzeigen, muss None festgelegt werden. Um die Zuordnung zu ändern, müssen Sie die Einträge der table-map-custom.xml auf dem Log Decoder hinzufügen.

Im Folgenden finden Sie eine Liste der Metaschlüssel in table-map.xml.

                                                                                                                                                                                                        
NetWitness Endpoint-FelderNetWitness Suite-ZuordnungVorübergehend in NetWitness Suite
agentidClientNein
CEF-Header für Hostnamensfeldalias.hostNein
CEF-Header für ProduktversionversionJa
CEF-Header für ProduktnameProduktJa
CEF-Header für SchweregradseverityJa
CEF-Header für Signatur-IDevent.typeNein
CEF-Header – Signaturnameevent.descNein
destinationDnsDomainddomainJa
deviceDnsDomaindomainJa
dhosthost.dstNein
dstip.dstNein
EndeendtimeJa
fileHashPrüfsummeJa
fnamefilenameNein
fsizefilename.sizeJa
gatewayipgatewayJa
instantIOCLevelthreat.descNein
instantIOCNamethreat.categoryNein
machineOUdnJa
machineScorerisk.numNein
md5sumPrüfsummeJa
BSBetriebssystemJa
portip.dstportNein
protocolprotocolJa
Nicht formatierte MeldungmsgJa
remoteipstransaddrJa
rtalias.hostNein
sha256sumPrüfsummeJa
shosthost.srcNein
smaceth.srcJa
srcip.srcNein
startstarttimeJa
suseruser.dstNein
timezonetimezoneJa
totalreceivedrbytesJa
totalsentbytes.srcNein
useragentuser.agentNein
userOUorgJa

Die folgenden sieben Schlüssel befinden sich nicht in table-map.xml. Um diese Schlüssel in NetWitness Suite zu verwenden, müssen Sie sie zu table-map-custom.xml hinzufügen und die Flags auf None festlegen.

                                                
NetWitness Endpoint-FelderNetWitness Suite-ZuordnungVorübergehend in NetWitness Suite
moduleScorecs.modulescoreJa
moduleSignaturecs.modulesignJa
Zielmodulcs.targetmoduleJa
YARA-Ergebniscs.yararesultJa
Quellmodulcs.sourcemoduleJa
OPSWATResultcs.opswatresultJa
ReputationResultcs.represultJa

Im Folgenden finden Sie die Einträge, die gegebenenfalls in table-map-custom.xml hinzuzufügen sind.

<mapping envisionName="cs_represult" nwName="cs.represult" flags="None" envisionDisplayName="ReputationResult"/>
<mapping envisionName="cs_modulescore" nwName="cs.modulescore" format="Int32" flags="None" envisionDisplayName="ModuleScore"/>
<mapping envisionName="cs_modulesign" nwName="cs.modulesign" flags="None" envisionDisplayName="ModuleSignature"/>
<mapping envisionName="cs_opswatresult" nwName="cs.opswatresult" flags="None" envisionDisplayName="OpswatResult"/>
<mapping envisionName="cs_sourcemodule" nwName="cs.sourcemodule" flags="None" envisionDisplayName="SourceModule"/>
<mapping envisionName="cs_targetmodule" nwName="cs.targetmodule" flags="None" envisionDisplayName="TargetModule"/>
<mapping envisionName="cs_yararesult" nwName="cs.yararesult" flags="None" envisionDisplayName="YaraResult"/>

Hinweis: Starten Sie den Log Decoder neu oder laden Sie die Protokollparser neu, damit die Änderungen wirksam werden.

Konfigurieren des NetWitness Suite Concentrator-Services

  1. Melden Sie sich bei NetWitness Suite an und wechseln Sie zu ADMIN > Services.
    1. Wählen Sie einen Concentrator aus der Liste aus und wählen Sie Ansicht > Konfiguration aus.
  2. Wählen Sie die Registerkarte Dateien aus und wählen Sie aus der Drop-down-Liste Zu bearbeitende Dateien die Datei index-concentrator-custom.xml aus.
  3. Fügen Sie die NetWitness Endpoint-Metaschlüssel der Datei hinzu und klicken Sie auf Anwenden. Stellen Sie sicher, dass diese Datei die XML-Abschnitte bereits enthält; wenn die Zeilen nicht enthalten sind, fügen Sie sie hinzu.
  4. Starten Sie den Concentrator.
  5. Um den Concentrator als Datenquelle in der Reporting Engine hinzuzufügen, wählen Sie in der Ansicht ADMIN > Services die Reporting Engine aus und wählen Sie Ansicht> Konfiguration > Quellen aus.
    NetWitness Endpoint-Metadaten werden in Reporting Engine geladen und Sie können durch Auswahl der entsprechenden Metaschlüssel Berichte ausführen.

Beispiel

Hinweis: Die folgenden Zeilen sind Beispiele. Stellen Sie sicher, dass die Werte Ihrer Konfiguration und den Spaltennamen entsprechen, die Sie der Feeddefinition hinzugefügt haben, wobei gilt:
Beschreibung ist der Name des Metaschlüssels, der in NetWitness Suite Investigation angezeigt werden soll.
level entspricht „IndexValues“
name ist der NetWitness Endpoint-Metaschlüsselname aus der Tabelle unten

<language>
<key description="Product" format="Text" level="IndexValues" name="product" valueMax="250000" defaultAction="Open"/>
<key description="Severity" format="Text" level="IndexValues" name="severity" valueMax="250000" defaultAction="Open"/>
<key description="Destination Dns Domain" format="Text" level="IndexValues" name="ddomain" valueMax="250000" defaultAction="Open"/>
<key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>
<key description="Destination Host" format="Text" level="IndexValues" name="host.dst" valueMax="250000" defaultAction="Open"/>
<key description="End Time" format="TimeT" level="IndexValues" name="endtime" valueMax="250000" defaultAction="Open"/>
<key description="Checksum" format="Text" level="IndexValues" name="checksum" valueMax="250000" defaultAction="Open"/>
<key description="Filename Size" format="Int64" level="IndexValues" name="filename.size" valueMax="250000" defaultAction="Open"/>
<key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
<key description="Distinguished Name" format="Text" level="IndexValues" name="dn" valueMax="250000" defaultAction="Open"/>
<key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
<key description="ReputationResult" format="Text" level="IndexValues" name="cs.represult" valueMax="250000" defaultAction="Open"/>
<key description="Module Score" format="Text" level="IndexValues" name="cs.modulescore" valueMax="250000" defaultAction="Open"/>
<key description="Module Sign" format="Text" level="IndexValues" name="cs.modulesign" valueMax="250000" defaultAction="Open"/>
<key description="opswat result" format="Text" level="IndexValues" name="cs.opswatresult" valueMax="250000" defaultAction="Open"/>
<key description="source module" format="Text" level="IndexValues" name="cs.sourcemodule" valueMax="250000" defaultAction="Open"/>
<key description="Target Module" format="Text" level="IndexValues" name="cs.targetmodule" valueMax="250000" defaultAction="Open"/>
<key description="yara result" format="Text" level="IndexValues" name="cs.yararesult" valueMax="250000" defaultAction="Open"/>
<key description="Protocol" format="Text" level="IndexValues" name="protocol" valueMax="250000" defaultAction="Open"/>
<key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="250000" defaultAction="Open"/>
<key description="Source Host" format="Text" level="IndexValues" name="host.src" valueMax="250000" defaultAction="Open"/>
<key description="Start Time" format="TimeT" level="IndexValues" name="starttime" valueMax="250000" defaultAction="Open"/>
<key description="Timezone" format="Text" level="IndexValues" name="timezone" valueMax="250000" defaultAction="Open"/>
<key description="Received Bytes" format="UInt64" level="IndexValues" name="rbytes" valueMax="250000" defaultAction="Open"/>
<key description="Agent User" format="Text" level="IndexValues" name="user.agent" valueMax="250000" defaultAction="Open"/>
<key description="Source Bytes" format="UInt64" level="IndexValues" name="bytes.src" valueMax="250000" defaultAction="Open"/>
<key description="Strans Address" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
</language>

Ergebnis

Analysten können:

  • NetWitness Suite-Warnmeldungen auf Basis von NetWitness Endpoint-Ereignissen erstellen, indem sie NetWitness Endpoint-Ereignisse als Erweiterungsquelle auswählen.
  • ESA-Regeln erstellen, indem sie NetWitness Endpoint-Metadaten wie im Thema „Hinzufügen von Regeln zur Regelbibliothek“ in Handbuch Versenden von Warnmeldungen mit ESA beschrieben, verwenden.
  • Berichte zu NetWitness Endpoint-Ereignissen mithilfe von NetWitness Endpoint-Metadaten erstellen, wie im Thema „Konfigurieren einer Regel“ im Reporting – Benutzerhandbuch beschrieben.
  • NetWitness Endpoint-Warnmeldungen in NetWitness Respond anzeigen, wie im Thema „Warnmeldungen anzeigen“ im NetWitness Respond – Benutzerhandbuch beschrieben.
  • NetWitness Endpoint-Metaschlüssel zusammen mit standardmäßigen NetWitness Suite Core-Metaschlüsseln in Investigation anzeigen, wie im Thema „Durchführen einer Ermittlung“ in Leitfaden Investigation und Malware Analysis beschrieben.
You are here
Table of Contents > Konfigurieren von Endpoint-Warnmeldungen über Syslog in einen Log Decoder

Attachments

    Outcomes