Arcsight FlexConnectorの作成。 ログファイル

現在、情報セキュリティイベントの収集と分析のためのソリューション、SIEMクラスシステムは人気のピークにあり、現代の企業は、これらのシステムからのデータを統合し、イベントを分析し、情報セキュリティインシデントを分析するために、可能な限り多くの主要システムをSIEMに接続するタスクを設定しています受信および分析されたデータに基づきます。 SIEMは、ネットワークデバイス、データベース、さまざまなビジネスアプリケーション、情報セキュリティシステム、情報技術など、ほぼすべてのソースからイベントを収集し、さらなる分析と受信した情報の処理に適した統一ビューに導きます。

議論できる情報システムの数を考慮して、情報システムをSIEMに接続するための可能なオプションとアプローチ、およびこのクラスのシステムと密接に接続して作業している同僚とこの知識を共有したいという私の考えを思わず考えます。 例として、最も一般的なArcsightシステムを取り上げ、FlexConnectorを使用して会社の情報システムに接続するための可能なオプションを考えてみましょう。



この記事では、3つの可能な方法で、LOG-FILE接続オプションでのFlexonnector対話の手順を説明します。

最初に、すべてのイベントを「mytest_log.txt」という別のファイルに書き込む内部アプリケーションがあることを想像してみましょう。 これらのイベントをさらに相関させるには、Arcsight ESMに送信する必要がありますが、問題は、すぐに使用できるSmartConnectorコネクターが必要ないことです。 この点で、FlexConnectorのようなコネクタは常に役立ち、Arcsight ESM / Loggerにイベントを正しく送信できます。

ファイル「mytest_log.txt」のソースからの着信イベントの良い例を次に示します。

2017-08-01 01:18:00.579 INFO AUTH: LOGIN SUCCESS. USER: Ivanov. IP: 192.168.0.1
2017-08-01 01:19:13.246 INFO AUTH: LOGIN FAILED. USER: Petrov. IP: 192.168.3.13
2017-08-01 01:20:17.589 INFO AUTH: LOGIN FAILED. USER: Petrov. IP: 192.168.3.13
2017-08-01 01:21:14.646 INFO AUTH: LOGIN FAILED. USER: Petrov. IP: 192.168.3.13
2017-08-01 01:22:09.179 INFO AUTH: LOGIN SUCCESS. USER: Ivanov. IP: 192.168.0.1
2017-08-01 01:23:02.116 INFO AUTH: LOGIN SUCCESS. USER: Petrov. IP: 192.168.3.13

次のステップは、Arcsight SmartConnectorをインストールし、FlexConnectorを現在のログファイルに書き込むことです。


LOGファイルにFlexConnectorを書き込むには3つの方法があります。

1. テキストエディターでの構成ファイルの作成

   現在最も一般的な方法は、テキストエディタを使用してコネクタを記述することです。
   
   $ARCSIGHT_HOME\current\user\agent\flexagent 、 $ARCSIGHT_HOME\current\user\agent\flexagent構成ファイルを作成します。
   
   サンプルの完成ファイル：
   
   #MyTest MyParser Configuration File
replace.defaults=true
trim.tokens=true
comments.start.with=#

#2017-08-01 01:18:00.579 INFO AUTH: LOGIN SUCCESS. USER: Ivanov. IP: 192.168.0.1

regex=(.*)\\sINFO\\sAUTH\\D\\s(.*)\\D\\sUSER\\D\\s(.*)\\D\\sIP\\D\\s(.*)

token.count=4

token[0].name=Date
token[0].type=TimeStamp
token[0].format=yyyy-MM-dd HH:mm:ss.SSS
token[1].name=Name1
token[1].type=String
token[2].name=Username
token[2].type=String
token[3].name=UserAddress
token[3].type=IPAddress

additionaldata.enabled=false

event.deviceVendor=__stringConstant(MyTest)
event.deviceProduct=__stringConstant(MyParser)
event.endTime=Date
event.name=Name1
event.sourceUserName=Username
event.sourceAddress=UserAddress

   ファイル構造は非常に単純です。
   
   

   • コネクタの入力パラメーターを書き込みます
     
     #MyTest MyParser Configuration File
replace.defaults=true
trim.tokens=true
comments.start.with=#
     
   • ログの正規表現を書く
     
     #2017-08-01 01:18:00.579 INFO AUTH: LOGIN SUCCESS. USER: Ivanov. IP: 192.168.0.1
regex=(.*)\\sINFO\\sAUTH\\D\\s(.*)\\D\\sUSER\\D\\s(.*)\\D\\sIP\\D\\s(.*)
     
   • キーの数を指定します（カウントは「0」で始まります）
     
     token.count=4
     
   • キーを説明します（名前、タイプ、フォーマット）
     
     token[0].name=Date
token[0].type=TimeStamp
token[0].format=yyyy-MM-dd HH:mm:ss.SSS
token[1].name=Name1
token[1].type=String
token[2].name=Username
token[2].type=String
token[3].name=UserAddress
token[3].type=IPAddress
     
   • マッピングフィールドとサブメッセージを指定する
     
     event.deviceVendor=__stringConstant(MyTest)
event.deviceProduct=__stringConstant(MyParser)
event.endTime=Date
event.name=Name1
event.sourceUserName=Username
event.sourceAddress=UserAddress
     

   
   この方法は簡単に記述でき、Arcsightの専門家の間で最も一般的に使用されています。
   
   マイナスの点については、エラーの検索のみに注意することができますが、この問題は、すべての技術情報が表示される「スタンドアロンアプリケーションのままにする」状態でコネクタを実行することで解決します。
   
2. REGEX Embedded Utilityの使用

   Arcsight SmartConnectorには、グラフィカルシェルを起動してFlexConnectorを作成または検証する組み込みの正規表現ユーティリティがあります。
   
   

   1. 管理者としてコンソールを起動し、FlexConnectorのインストールディレクトリに移動します。
      正規表現ユーティリティを実行します： C:\$ARCSIGHT_HOME\current\bin> .\arcsight.bat regex
      
      
      
      このユーティリティを使用すると、コネクタの構成ファイルを作成できます。
   2. 新しいファイルを作成します：ファイル-新しいFlexAgent正規表現ファイル。 構成ファイルは、ファイル拡張子FILE_NAME.sdkrfilereader.propertiesで$ARCSIGHT_HOME\current\user\agent\flexagentに保存する必要があります。
   3. イベントソースを接続します：File-Load Log File。 実際のログまたはテストログへのパスを指定できます。
   4. ログに正規表現を書く必要があります。 これは正規表現フィールドで実行できます（便宜上、[生成]ボタンがあります）。
      私のレギュラー： (.*)\sINFO\sAUTH\D\s(.*)\D\sUSER\D\s(.*)\D\sIP\D\s(.*)
      テストをクリックします。
   5. グループに名前を付ける必要があります。
      
      
   6. デフォルトでは、すべてのグループはタイプStringであるため、グループDateおよびUserAddressについては、タイプTimeStampおよびIPAddressを指定する必要があります。
      また、日付グループの時間形式についても説明します（FlexConnectorガイドの詳細情報）。
      
      
   7. 次に、グループをドラッグアンドドロップし、Arcsight ESMに表示するフィールドを選択して、フィールドをマップします。
      
      
      
      正規表現ユーティリティでは、IPAddress形式のevent.sourceAddressフィールドを選択できないため、手動で追加する必要があります。
      
      event.sourceAddress=UserAddress
      
      また、必須のフィールドはデバイス製品とデバイスベンダーです。 構成ファイルに次の行を追加します。
      
      event.deviceVendor=__stringConstant(MyTest)
event.deviceProduct=__stringConstant(MyParser)
      
   8. [テスト]をクリックし、すべてのイベントが解析されることを確認します。 設定を保存します。ファイル-FlexAgent正規表現ファイルを保存します。

   
   コネクタを起動し、ログファイルに新しいイベントを生成し、Arcsight ESMでイベントの到着を確認します。
   
   
   
3. Arcsight Quick Flexの使用

   この記事を書いている間、私は最初にArcsight Quick Flexを使用しましたが、うれしい驚きを覚えました。 このソフトウェアを使用すると、エラーのない構成ファイルをすばやく作成でき、サブメッセージを作成するのが楽しみになります。
   
   

   1. 新しいプロジェクトを作成します。
      ベンダー：MyTest
      製品：MyParser
      バージョン：1
      ログファイルのパス：ログのあるディレクトリを指定します
      プロジェクトディレクトリ：プロジェクトディレクトリを指定します（構成ファイルではありません!!!）
      
      
   2. ログをロードすると、イベントのステータスは「ベース未解析」になります。 「Base Regex Editor」タブを起動します。
      
      
   3. 「Base Regex」フィールドで、正規表現を示します。
      
      
      
      「Matching details」ボタンをクリックして、正規表現の正確性を確認できます。
      
      
   4. [トークン化]をクリックして、設定を保存します。
      
      次に、キーごとに、マッピングのタイプ、形式、説明、およびフィールドを指定します
      
      
   5. [ログビュー]をクリックして、保存してメインページに戻ります。 次に、「更新」をクリックすると、すべてのイベントが「ベース解析済み」のステータスになります
      
      
   6. [パーサーの生成]をクリックして、FlexConnectorの既成の構成ファイルを取得します。 コネクタを含むフォルダーにファイルをエクスポートします。
      
      $ARCSIGHT_HOME\current\user\agent\flexagent
      
      

   
   コネクタを起動し、ログファイルで新しいイベントを生成し、Arcsight ESMでイベントの到着を確認します。
   
   

結論：この記事ではFlexConnectorを書くための基本的なスキルについて説明しましたが、分類、サブメッセージ、マッピングなどの機能に興味がある場合は、次の記事でそれらを説明する準備ができています。