MA: (Optional) Konfigurieren des Auditing auf dem Malware Analysis-Host

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

In diesem Thema werden die konfigurierbaren Funktionen des Auditing-Protokolls von Malware Analysis eingeführt und Verfahren zur Konfiguration der Funktionen erläutert. Malware Analysis kann basierend auf konfigurierten Bewertungsmodulschwellenwerten Auditingwarnmeldungen erzeugen. Wenn die Analysebewertung für eine Datei in einer Analysesitzung den oder die konfigurierten Schwellenwerte erreicht oder überschreitet, wird eine Auditing-Warnmeldung erzeugt. Durch diese Schwellenwerte können Sitzungen und Dateien, deren Bewertung hoch genug ist, um auf mögliche Schadsoftware hinzuweisen, automatisch eine Warnmeldung erzeugen.

Warnmeldungen können so konfiguriert werden, dass sie als SNMP-, Syslog- oder Datei-Einträge formatiert werden. Durch die Unterstützung verschiedener Auditformate können externe Systeme Auditing-Ereignisse in einer Form erhalten, in der sie die unterstützten Formate analysieren können.

Neben Auditing-Analysesitzungen lösen auch die folgenden Ereignisse eine Audit-Warnmeldung aus:

  • Erfolgreiche und fehlgeschlagene Benutzeranmeldungen
  • Änderungen an den Systemkonfigurationseinstellungen
  • Serverneustart
  • Upgrade und Installation von Serverversionen

Die Konfigurationseinstellungen für das Auditing für Malware Analysis befinden sich in der Ansicht „Service-Konfiguration“ in der Registerkarte „Auditing“.

Konfigurieren des Auditing-Schwellenwerts

Der alleinige Zweck der Schwellenwerte besteht in der Angabe von Kriterien, die erreicht werden müssen, bevor eine Warnmeldung für eine analysierte Sitzung/Datei erzeugt wird. Wenn Auditing aktiviert ist, wird jede bewertete Datei/Sitzung untersucht, um festzustellen, ob die Bewertung in einem Bewertungsmodul den konfigurierte Auditing-Schwellenwert erreicht oder überschreitet. Wenn das der Fall ist, wird eine Warnmeldung im konfigurierten Audit-Warnmeldungsformat erzeugt (z. B. SNMP, Syslog oder Datei). Wenn Sie z B. SNMP konfigurieren und den Communityschwellenwert auf 90 setzen, erzeugen alle Sitzungen/Dateien, die im Communitybewertungsmodul mit 90 oder höher bewertet werden, ein SNMP-Trap. Wenn alle Schwellenwerte auf 90 eingestellt werden, wird erst dann eine Warnmeldung erzeugt, wenn eine Sitzung/Datei in den Netzwerk-, Community- und Sandbox-Bewertungsmodulen sowie im statischen Bewertungsmodul 90 oder höher erreicht.

So konfigurieren Sie den Auditing-Schwellenwert:

  1. Wählen Sie im Hauptmenü die Optionen ADMIN > Services aus.
  2. Wählen Sie einen Malware Analysis-Service und anschließend  > Ansicht > Konfiguration aus.
  3. Klicken Sie in der Ansicht Service-Konfiguration auf die Registerkarte Auditing.
  4. Im Abschnitt Auditing-Schwellenwerte:

    1. Stellen Sie Communityschwellenwert, Statischer Schwellenwert, Netzwerkschwellenwert und Sandbox-Schwellenwert ein, indem Sie für jedes Bewertungsmodul einen der folgenden Schritte ausführen:

      • Klicken Sie im Schieberegler auf den Griff und ziehen Sie ihn in eine der beiden Richtungen.
      • Geben Sie im Feld Wert eine Zahl zwischen 0 und 100 ein.
    2. (Optional für 10.3 SP2) Wählen Sie einen oder mehrere Auslöser aus, um eine Nachricht aufzuzeichnen und durch alle aktivierten Auditing-Methoden zuzustellen.
    3. Klicken Sie auf Anwenden.

      • Die Schwellenwerteinstellung tritt sofort für alle aktivierten Auditing-Methoden in Kraft: SNMP, Datei und Syslog.
      • Die aufgezeichneten Nachrichten werden über alle aktivierten Auditing-Methoden gesendet: SNMP, Datei und Syslog.

Konfigurieren von Warnmeldungen für Incident Management

Bei Aktivierung kann Incident Management Warnmeldungen in Malware Analysis überwachen und in den Incident Management-Workflow einspeisen.

  1. Wählen Sie im Hauptmenü die Optionen ADMIN > Services aus.
  2. Wählen Sie einen Malware Analysis Service und anschließend > Ansicht > Konfiguration aus.
  3. Wählen Sie in der Ansicht Service-Konfiguration die Registerkarte Auditing aus.
  4. Aktivieren Sie im Abschnitt Incident-Management Alerting das Kontrollkästchen „Aktiviert“ und klicken Sie auf „Anwenden“.
    Alerting tritt sofort in Kraft.

Konfigurieren des SNMP-Auditing

SNMP (Simple Network Management Protocol) ist ein Internetstandardprotokoll zum Managen von Services in IP-Netzwerken. Wenn das SNMP-Auditing aktiviert ist, kann Malware Analysis ein Auditereignis als SNMP-Trap an einen konfigurierten SNMP-Trap-Host senden. Neben Bewertung und Ereignis-ID umfasst die Warnmeldung alle Sitzungsmetadaten sowie erzeugte Metadaten. Dies ist für Benutzer hilfreich, die Ereignisdaten in Drittanbietersysteme eingeben möchten.

So konfigurieren Sie SNMP-Auditing:

  1. Wählen Sie im Hauptmenü die Optionen ADMIN > Services aus.
  2. Wählen Sie einen Malware Analysis-Service und  > Ansicht > Konfiguration aus.
  3. Wählen Sie in der Ansicht Service-Konfiguration die Registerkarte Auditing aus.
  4. Klicken Sie im Abschnitt SNMP-Auditing auf das Kontrollkästchen, um SNMP-Auditing zu aktivieren.
  5. Konfigurieren Sie den SNMP-Servernamen und Port.
  6. Konfigurieren Sie die SNMP-Version und die Trap-OID zum Senden von Traps.
  7. Konfigurieren Sie die Malware Analysis-Community und die Parameter für erneute Versuche und Timeout beim Senden von Traps.
  8. Klicken Sie auf Anwenden.
    Die SNMP-Auditing-Einstellungen treten sofort in Kraft.

Konfigurieren von Dateiaudit-Einstellungen

Wenn das Dateiauditing aktiviert ist, wird die Auditprotokolldatei im Stammverzeichnis von Malware Analysis hinterlegt. Der Standardspeicherort für die folgenden Protokolldateien lautet:

/var/lib/netwitness/malware-analytics-server/spectrum/logs/audit/audit.log.

Wenn ein Protokoll die maximale Dateigröße erreicht, wird es archiviert und ein neues Protokoll wird erstellt. Sowohl die Größe als auch die Anzahl dieser Auditprotokolle sind konfigurierbar.

Achtung: Vermeiden Sie es, die maximale Dateigröße und die Archivdateianzahl zu hoch einzustellen, da dadurch der verfügbare Festplattenspeicher auf der Malware Analysis-Appliance beeinträchtigt werden kann.

So konfigurieren Sie die Dateiaudit-Einstellungen:

  1. Wählen Sie im Hauptmenü die Optionen ADMIN > Services aus.
  2. Wählen Sie einen Malware Analysis-Service und anschließend  > Ansicht > Konfiguration aus.
  3. Wählen Sie in der Ansicht Service-Konfiguration die Registerkarte Auditing aus.
  4. Klicken Sie im Abschnitt Dateiaudit auf das Kontrollkästchen, um Dateiaudit zu aktivieren.
  5. (Optional) Legen Sie die Anzahl Archivdateien und die maximale Dateigröße fest.
  6. Klicken Sie auf Anwenden.
    Die Dateiaudit-Einstellungen treten sofort in Kraft.

Konfigurieren von Syslog-Auditing-Einstellungen

Wenn diese Funktion aktiviert ist, wird das Auditing von Syslog über das Syslog-Protokoll RFC 5424 bereitgestellt. Gemäß Vorschriften wie SOX, PCI DSS, HIPAA und vielen anderen müssen Unternehmen umfassende Sicherheitsmaßnahmen implementieren. Dies umfasst häufig das Sammeln und Analysieren von Protokollen aus vielen unterschiedlichen Quellen. Da es für Syslog zahlreiche systemeigene und Open-Source-Tools für das Reporting und Analysen gibt, hat sich Syslog als effektives Format zur Konsolidierung von Protokollen erwiesen.

Neben Bewertung und Ereignis-ID umfasst das Syslog alle Sitzungsmetadaten sowie erzeugte Metadaten. Dies ist für Benutzer hilfreich, die Ereignisdaten in Drittanbietersysteme eingeben möchten.

So konfigurieren Sie die Syslog-Auditing-Einstellungen:

  1. Wählen Sie im Hauptmenü die Optionen ADMIN > Services aus.
  2. Wählen Sie einen Malware Analysis-Service und anschließend  > Ansicht > Konfiguration aus.
  3. Wählen Sie in der Ansicht Service-Konfiguration die Registerkarte Auditing aus.
  4. Klicken Sie im Abschnitt Syslog-Auditing auf das Kontrollkästchen, um Syslog-Auditing zu aktivieren.
  5. Konfigurieren Sie den Host, auf dem der Syslog-Zielprozess ausgeführt wird, und den Port auf dem Host, den der Syslog-Prozess abhört.
  6. Konfigurieren Sie Einrichtung, Codierung, Format, maximale Länge und Zeitstempel für die ausgehenden Syslog-Nachrichten.

Hinweis: (Optional) Konfigurieren Sie die Identitätszeichenfolge, die am Anfang der Syslog-Warnmeldungen eingefügt werden soll.
Zusätzliche Erwägungen zum CEF-Format finden Sie unter Erstellen angepasster Warnmeldungen im CEF-Format.

  1. Klicken Sie auf Anwenden.

    Die Syslog-Auditing-Einstellungen treten sofort in Kraft.

You are here
Table of Contents > Konfiguration von Malware Analysis > Schritt 7. (Optional) Konfigurieren des Auditing auf dem Malware Analysis-Host

Attachments

    Outcomes