OSSIM ログを解析するためのシンプルなプラグインを作成する

この資料は、OSSIMシステムに興味のある初心者の管理者に役立ちます。
システムのインストールはすでにハブで詳細に説明されているので、この時点で停止しません。
この記事では、リモートマシンで実行されているアプリケーションからsyslogプロトコルを使用して、OSSIMシステムが受信したイベントログを処理するためのプラグインを作成する手順について説明します。 ここでは、このアプリケーションはOSSIMでサポートされていないことに注意してください。 したがって、この手順は、syslogプロトコルを使用してイベントログを送信するアプリケーションのプラグインを開発するのに適しています。
ベンダーの文書が基礎として使用されました。
Alienvault コレクタープラグインの構築
Alienvault データソースプラグインを作成する方法

1.ソースデータ

1.1アーキテクチャ

IPアドレスが192.168.0.111で名前がalienvaultの、OSSIMがインストールされたサーバー（以降、OSSIMサーバーと呼びます）。
IPアドレスが192.168.0.54、名前がcnc-2のCentOS 6.6を実行しているサーバー（以下、サーバーと呼びます）。 サーバーにアプリケーションをインストールし（bw_listsと呼びましょう）、syslogプロトコルを介してリアルタイムでイベントログをOSSIMサーバーに送信します。
アプリケーションは、ユーザーが入力したコマンドのフィルタリングを実行する標準シェルの一種の修正です。

図1-ソリューションアーキテクチャ

1.2イベントの構造の説明

イベント形式：
<syslog形式の日付> <ホスト名> bw_lists [<セッション番号>]：ユーザー：<ユーザー名> ip：<サーバーIP> ip_tko：<ターゲットシステムのIP> IN：<ユーザー実行コマンド> OUT：Res：<レポート実行または失敗> <コマンドテキスト> <ターゲットシステム出力>
syslogを介して送信されるすべてのイベントには、アプリケーションが含まれます。
1）ユーザーセッション番号（bw_listsの直後の角括弧内）
2）コマンドを実行したユーザーの名前
3）このコマンドが機能するサーバーとターゲットシステムのIPアドレス
4）ユーザーが実行するコマンド（たとえば、「端末の構成」）
5）ユーザーが発行したコマンドの実行または拒否に関するレポート（ACCEPTまたはDENY）
6）コンソールで受信した出力（たとえば、「構成コマンドを1行に1つずつ入力してください。CNTL/ Zで終了」）
アプリケーションから受信したイベントの例：

Nov 20 14:15:33 cnc-2 bw_lists[19025]: user:oper1 ip:192.168.0.54 ip_tko:192.168.1.104 IN: configure terminal OUT: Res: ACCEPT configure terminal Enter configuration commands, one per line. End with CNTL/Z. Nov 20 14:15:39 cnc-2 bw_lists[19025]: user:oper1 ip:192.168.0.54 ip_tko:192.168.1.104 IN: interface Gi0/1 OUT: Res: ACCEPT interface Gi0/1 ^ % Invalid input detected at '^' marker. Nov 20 14:16:29 cnc-2 bw_lists[19025]: user:oper1 ip:192.168.0.54 ip_tko:192.168.1.104 IN: exit OUT: Res: ACCEPT exit 

2.タスク

1）サーバーからsyslogプロトコルを使用してイベントログを受信し、ファイルに書き込むようにOSSIMサーバーで設定します。
2）OSSIMシステムで受信したイベントログの解析を設定します。 それらから次の情報を抽出する必要があります。

• ユーザーセッション番号（「bw_lists」という語の直後の角括弧内）;
• コマンドを実行したユーザーの名前（「user：」の後）。
• サーバーのIPアドレス（「ip：」の後）およびこのコマンドが機能するターゲットシステム（「ip_tko：」の後）。
• ユーザーが実行するコマンド（「IN：」の後、「端末の設定」など）。
• ユーザーが指定したコマンド（「Res：」の後）の実行または拒否のレポート（ACCEPTまたはDENY）。

3.決定

3.1サーバーからイベントログを受信するためのOSSIMサーバーの構成

このタスクの一環として、syslogプロトコルを使用してサーバーから送信されるイベントログを受信するように、rsyslogがOSSIMサーバーで構成されます。
これを行うには、ファイル/etc/rsyslog.confを編集して、次の行を追加します。

 if $programname contains 'bw_lists' then -/var/log/SR/bw-list-log.log 

rsyslogを再起動して、変更を有効にします。

 /etc/init.d/rsyslog restart 

したがって、OSSIMサーバーがサーバーから受信した「bw_lists」を含むイベントは、/ var / log / SR / bw-list-log.logファイルに書き込まれます。 次に、OSSIM自体によってこのファイルからのイベントの分析を構成します。

3.2 OSSIMでの受信イベントの解析および表示の構成

OSSIMでイベント解析を構成するプロセスは、2つの段階に分けられます。

• イベントログの構成ファイルパーサーの作成。
• OSSIMデータベースにパーサーとイベントのタイプに関する情報を追加します。
• プラグインの包含。

最初のファイルはログ自体を解析し、OSSIMが使用するイベント記述スキームのフィールド全体に受信した情報を配信します。2番目のファイルは、OSSIMインターフェイスでイベントのタイプとクラスを表示し、イベントに優先順位を付けます。
OSSIMは、日付、ソースIP、宛先IP、ユーザー名、ユーザーデータ1〜9などのイベントを記述するために、数十のフィールドで構成されるスキームを使用します。 スキームの詳細はオフに記載されています。 OSSIMドキュメント。

3.2.1イベントログパーサー構成ファイルの作成

パーサーファイルはOSSIMサーバーの/ etc / ossim / agent / plugins /ディレクトリにあります
bwlistlog.cfgという名前で新しいファイルを作成します（名前は任意に選択できますが、何にも影響を与えず、他のどこにも表示されません。ただし、名前は必ず<スペースなしの英数字の組み合わせ> .cfgの形式に対応する必要があります）。
各ファイルでは、いくつかのセクションを強調表示する必要があります（セクション名は角括弧で囲まれています）。

[デフォルト]
このセクションにはプラグイン番号があります。 ベンダーの推奨により、プラグイン番号は9000〜10000の範囲から選択する必要があります。この番号は、このOSSIMインストールに対して一意である必要があります。
プラグインに選択した番号が次のようにビジーかどうかを確認します。
grep "plugin_id = <プラグイン番号>" / etc / ossim / agent / plugins / *
例えば

 grep "plugin_id=9002" /etc/ossim/agent/plugins/* 

[構成]
このセクションは以下を示します。

• プラグインの種類。
• 含まれるかどうか。
• メッセージソースのタイプ。
• メッセージが保存されるファイル。
• イベントを生成するプロセスの設定（これはモニターのようなプラグインに必要です）。

[翻訳]
このセクションでは、イベントの特定のフィールドの値の「翻訳」を数値に設定できます。 さらに、これらの番号を使用して、わかりやすいように、グラフィカルインターフェイスでイベントクラスを指定できます。 セクション3.2.2の詳細

例の[bwlistlog]と呼ばれる最後のセクションは、メッセージを解析する最初のルールです。 セクションの名前-ルールは任意の形式にすることができます。 次のように設定することをお勧めします：[<number>-<source name>]、たとえば[1-applog]、[2-applog]など。
実際には、1つのプラグイン内で、複数のルールを設定できます。 メッセージ解析スキーム。 これは、異なる構造を持つイベントを処理するために行われます（1つの解析ルールを使用してソースからのすべてのイベントを解析できない場合）。
複数のルールがある場合、OSSIMはメッセージをそれぞれのルールと順番に比較し、キューはアルファベット順に並べられます。 例-[a-rule]、[b-rule]、[c-rule]という名前の3つのルールがあります。 最初にaルールの順守をチェックし、次にbルールなどをチェックします。 したがって、キュー内で最後に機能するように、より一般的なルールに名前を付けることをお勧めします。
コメント付きのbwlistlog.cfgファイルの内容：

 [DEFAULT] #    (  OSSIM - plugin.) plugin_id=9002 [config] #  plugin'.     - detector  monitor.    syslog   detector type=detector #   enable=yes #  . log -  .    database (   ), sdee ( cisco), snortlog ( snort), wmi (        Windows   wmi) source=log #    ,     . location=/var/log/SR/bw-list-log.log #   OSSIM      .      create_file=true #       -  OSSIM.  ,     OSSIM,    ,    - process= start=no stop=no startup= shutdown= #      ""   [translation] ACCEPT=1 DENY=2 #   (,   , )  . [bwlistlog] #  .    event_type=event #  ,      regexp="^((?P<date>\S+\s+\d+\s+\d+:\d+:\d+)\s+(?P<sensor>\S+)\s+bw_lists\[(?P<session>\d+)\]\:\s+user\:(?P<user>\S+)\s+ip\:(?P<sr_node>\S+)\s+ip_tko\:(?P<tko_node>\S+)\s+IN\:(?P<message>.*)\s+OUT\:\s+Res\:\s+(?P<result>\S+).*)" #    ,     ,      OSSIM.    3.2.3 device={$sr_node} date={normalize_date($date)} plugin_sid={translate($result)} src_ip={$tko_node} username={$user} userdata1={$message} userdata2={$session} 

この正規表現では、抽出する情報を強調表示（かっこを使用）し、任意のタグをそれに割り当てます（疑問符、文字P、角かっこ？P <>を使用）。これを参照して使用できます。 例：

 (?P<date>\S+\s+\d+\s+\d+:\d+:\d+) 

式\ S + \ s + \ d + \ s + \ d +：\ d +：\ d +に該当する行の先頭の情報は、「date」タグを使用してアドレス指定されます。 さらに、OSSIMスキームの「date」フィールドに、「date」フィールドの値を最初に正規化した後に配置することを報告します（OSSIMは、さまざまな形式の日付を独自の形式に変換できます）。

 date={normalize_date($date)} 

正規表現をテストするには、たとえばこのツールを使用できます 。 このツールはタグの操作方法を認識していないことに注意してください。 したがって、正規表現をテストした後、それらを追加する必要があります。
また、フィールド「plugin_sid」を説明する必要があります。 同じ「plugin_id」を持つ同じソースからのイベントは、異なるクラスに属することができます。たとえば、この例では「ACCEPT」と「DENY」です。 「plugin_sid」はクラス識別子と次の行を指すだけです：

 plugin_sid={translate($result)} 

[結果]タグで受信した情報を翻訳するために[translate]セクションに移動するようにパーサーに指示します。 「ACCEPT」はユニット、「DENY」-デュースに変換されます。 イベントクラスを割り当てる方法と理由については、次のセクションで説明します。
はい、次のように指定することにより、plugin_sidを各解析ルールに手動で割り当てることもできます。

 plugin_sid=1 

3.2.2 OSSIMデータベースへのパーサー情報とイベントタイプの追加

パーサー構成ファイルを書き込んだ後、その情報をOSSIMデータベースに追加する必要があります。
これは、mysqlスクリプトを記述して実行することにより行われます。 サンプルスクリプトは、OSSIMサーバーの次のフォルダーにあります。
/ usr / share / doc / ossim-mysql / contrib /プラグイン/
スクリプトの名前は任意に選択できます。
わかりやすくするために、例からすぐにスクリプトを示します。

 DELETE FROM plugin WHERE id = "9002"; DELETE FROM plugin_sid where plugin_id = "9002"; INSERT IGNORE INTO plugin (id, type, name, description) VALUES (9002, 1, 'bw-lists', 'Bash filtering'); INSERT IGNORE INTO plugin_sid (plugin_id, sid, category_id, class_id, name) VALUES (9002, 1, NULL, NULL, 'Command Accepted'); INSERT IGNORE INTO plugin_sid (plugin_id, sid, category_id, class_id, name) VALUES (9002, 2, NULL, NULL, 'Command Denied'); 

最初の3行は、plugin_id番号9002への古い参照をすべてデータベースからクリアし、再作成します。
次の2つは、イベントクラスについて説明しています。
前のセクションで思い出したように、「plugin_sid」は、タグ「result」（おそらく「ACCEPT」と「DENY」）の下のパーサーを使用してイベントから受信した情報を相関させ、それを[translate]セクション（構成ファイルパーサー）。 したがって、2つのクラスのイベント1-"ACCEPT"、2-"DENY"があります。
これらのクラスのイベントは、OSSIMデータベース行によって報告されます。

 INSERT IGNORE INTO plugin_sid (plugin_id, sid, category_id, class_id, name) VALUES (9002, 1, NULL, NULL, 'Command Accepted'); INSERT IGNORE INTO plugin_sid (plugin_id, sid, category_id, class_id, name) VALUES (9002, 2, NULL, NULL, 'Command Denied'); 

mysql構文に精通している人は簡単に理解できます。 残りについては、OSSIMインターフェースで「ACCEPT」と分類されたイベントは、それぞれ「Command Accepted」、「DENY」、「Command Denied」という名前で表示されることを説明します。 ここでは、このタイプのソース（category_id、class_id）のイベント分類オプションを設定することもできます。
スクリプトを作成したら、次のコマンドを使用してOSSIMデータベースにロードする必要があります。

 # ossim-db < /usr/share/doc/ossim-mysql/contrib/plugins/bw-lists.sql 

3.2.3プラグインを有効にする

次のようにして、作成したプラグインを有効にできます。
1）SSHを介してOSSIMサーバーに接続し、メニューに移動します：[センサーの設定]-[データソースプラグインの設定];
2）リストでプラグイン「bw-lists」を見つけ、その横に「*」を入力して、「OK」をクリックします。
3）[戻る]ボタンを使用してルートメニューに戻ります。
4）[すべての変更を適用]オプションを選択します。
新しいプラグインは、イベントログを処理する準備ができています。
ただし、イベントが到着したが、OSSIMインターフェースでは、プラグインタイプでソートする場合、それらは表示されません。

4.トラブルシューティング

1）パーサー構成ファイルで指定されたログファイルが存在し、その中のレコードが更新されていることを確認します-つまり 雑誌が到着します。
2）イベント形式が作成した正規表現と一致することを確認します。
3）ファイル/var/log/alienvault/agent/agent.logでプラグインに関連するエラーを確認します。

 grep ERR /var/log/alienvault/agent/agent.log|grep 9002 grep Discard /var/log/alienvault/agent/agent.log|grep 9002 grep Warn /var/log/alienvault/agent/agent.log|grep 9002