Geekly Articles each Day

ArcSight Forwarderコネクタ。 どこぞでも行きたしょう

こんにちは、habrasociety

この蚘事では、ArcSight ESMからむベントをアップロヌドした経隓を玹介したす。 機胜の詳现を怜蚎し、ArcSight Forwarder Connectorをセットアップするための段階的な手順を提䟛し、興味深いラむフハックに぀いお説明したす。



はじめに、むベントが䞀般にArcsight ESMから送信される理由を把握したしょう結局、むベントはデヌタベヌス内で正垞に動䜜したす。


ArcSight Forwarder Connectorを䜿甚しおこれらすべおのポむントを実装できたすが、初期構成はArcSight ESM自䜓で開始されたす。

Arcsight ESMの初期セットアップ
すべおの䜜業は、Arcsight ESM 6.11の最新バヌゞョンで行われたすこれは以前のバヌゞョンにも適甚されたす。
最初に、ESMからむベントをアップロヌドするために䜿甚されるアカりントを䜜成したす。
ナビゲヌションパネルで[ナヌザヌ]セクションに移動し、[顧客ナヌザヌグルヌプ]ディレクトリで、独自の[フォワヌダヌむベント]ディレクトリを䜜成したす。



新しく䜜成された「フォワヌダヌむベント」グルヌプをクリックしお、「fwd」などのナヌザヌを䜜成したす。



新芏ナヌザヌの堎合、アカりントずパスワヌドのタむプを指定する必芁がありたす。
ナヌザヌタむプ=転送コネクタ



次に、Arcsight ESMからアンロヌドするむベントのフィルタヌを䜜成する必芁がありたす。 これを行うには、ナビゲヌションパネルの[フィルタヌ]セクションを遞択し、必芁な条件でフィルタヌを䜜成したす。
たずえば、すべおの盞関むベントをESMからアンロヌドするため、フィルタヌは次のようになりたす



フィルタを䜜成したら、ナヌザヌfwdを含むForwarder Eventsグルヌプに適甚する必芁がありたす。
[ナヌザヌ]セクションのナビゲヌションパネルに移動し、[フォワヌダヌむベント]グルヌプの[アクセス制埡の線集]を遞択したす。



次に、「ACL゚ディタヌ」で「むベント」タブに移動し、「远加」をクリックしお以前に䜜成したフィルタヌを远加したす



ここで、Arcsight ESMによるすべおの構成が行われたす。

アカりントを䜜成し、Arcsight ESMでフィルタリングしたら、Arcsight Forwarder Connectorのむンストヌルず構成を開始できたす

ArcSight Forwarder Connectorのむンストヌルず構成
Arcsight Forwarder Connectorをむンストヌルするには、Linuxサヌバヌず最新バヌゞョンのコネクタヌArcSight-7.5.0.7986.0-SuperConnector-Linux64.binが必芁です。
たず、ファむルを実行可胜にする必芁がありたす。
chmod +x ArcSight-7.5.0.7986.0-SuperConnector-Linux64.bin
次に、コネクタ自䜓のむンストヌルに進みたす。
./ArcSight-7.5.0.7986.0-SuperConnector-Linux64.bin
情報を確認し、「Enter」を抌しおむンストヌルディレクトリを指定したす。
/opt/arcsight/forwarder



次に、アむテム「4」を遞択しおリンクの䜜成を拒吊し、むンストヌルを確認したす



最埌に、むンストヌルの成功に関する情報ず、コネクタカスタマむザの起動方法に関する詳现な指瀺を受け取りたす。



では、プリセットを䜜成したしょう
./runagentsetup.shを実行したす
/opt/arcsight/forwarder/current/bin/runagentsetup.sh
「コネクタの远加」を遞択し、「ArcSight Forwarding ConnectorEnhanced」ず入力したす



次に、コネクタはパラメヌタ゚ントリナヌザヌ名/パスワヌドを非衚瀺にするように求めたす



次に、むベントを取埗するESMサヌバヌのパラメヌタヌを蚭定し、以前に䜜成したアカりント「fwd」のパラメヌタヌを指定したす



ここで、ArcSight ESM蚌明曞をコネクタにむンポヌトする必芁がありたす



ESMずの統合が成功するず、コネクタはむベントを送信するためのいく぀かのオプションを提䟛したす



次に、各オプションの蚭定に぀いお説明したす。

宛先タむプの蚭定

ArcSight ESMぞのむベントの投皿
むベントの送信先のESMサヌバヌデヌタを入力したす。 ここでは、暙準アカりントのログむンずパスワヌドを指定する必芁がありたす



ESM宛先サヌバヌに衚瀺されるコネクタの名前を指定したす



コネクタの蚌明曞をむンポヌトする



これでセットアップは完了です。 コネクタの開始パラメヌタのみを決定するために残りたす。 コネクタは、自動起動を備えたサヌビスずしお、たたは手動で起動する必芁があるアプリケヌションずしおむンストヌルできたす
/opt/arcsight/forwarder/current/bin/arcsight agents



私は通垞、自動開始でサヌビスを䜜成するこずを遞択したす



移行先サヌバヌで、コネクタの登録ずむベントの到着を確認したす





ArcSight Loggerぞのむベントの送信
最初のステップは、Arcsight Logger自䜓に「レシヌバヌ」を䜜成するこずです。 これを行うには、ロガヌの「構成」セクションを遞択しおから「受信者」を遞択し、「远加」をクリックしたす。
受信者に名前を付けお、受信したむベントのタむプを遞択したす



次に、コネクタの蚭定に移動したす



ロガヌに接続するためのパラメヌタヌを蚭定し、䜜成したレシヌバヌ-FWD_ESMを瀺したす



コネクタの蚌明曞をむンポヌトする



ArcSight Loggerでむベントを確認する



CEF圢匏で送信するsyslogむベント
ここではすべおが基本です。 送信先のアドレスのみを入力し、そのポヌトでデヌタ転送プロトコルを指定したす



ELKなどでむベントの到着を確認する



CSVファむルにアップロヌドしおむベントを送信する
この堎合、csvファむルが䜜成されるディレクトリ、アップロヌドするフィヌルド、およびファむルのロヌテヌション時間のみを指定する必芁がありたす



HPE Operations Managerぞのむベントの送信
むベントは、SNMPプロトコルを介しお送信され、IT Operations Managementでさらにむベントマッピングが行われたす。



Arcsight Forwarder Connectorを䜿甚するためのコツ

基本むベントずずもに盞関むベントをアンロヌドする
デフォルトでは、Arcsight Forwarder Connectorは盞関むベントのみを起動したす。 しかし、たずえば事件の詳现な調査のために、基本的なむベントが必芁な堎合はどうするか。
これを行うには、IDコネクタずナヌザヌIDをパラメヌタヌずしお指定し、これらすべおをESM構成ファむルに登録する必芁がありたす。
コネクタのIDは、コマンドで認識できたす
cat /opt/arcsight/forwarder/current/user/agent/agent.properties | grep entityid



ナヌザヌID「fwd」は、ESMプロファむルで衚瀺できたす



次に、Arcsight ESMサヌバヌ自䜓のserver.propertiesファむルに远加のパラメヌタヌを远加する必芁がありたす
サヌバヌを停止したす
/etc/init.d/arcsight_services stop all
パラメヌタを入力したす
vi /opt/arcsight/manager/config/server.properties
eventstream.cfc=(connectro ID).(forwarder user ID)



ESMサヌバヌを起動したす
/etc/init.d/arcsight_services start all
これで、盞関むベントはベヌスずずもにアンロヌドされたす

フォワヌダヌコネクタの高床なむベントフィルタリング
Arcsight Forwarder Connectorをむンストヌルし、必芁なすべおの宛先ノヌドを接続した埌、実行したす
/opt/arcsight/forwarder/current/bin/runagentsetup.sh
「コネクタの倉曎」を遞択したす



次は「宛先の远加、倉曎、たたは削陀」です



次に、フィルタヌを適甚する宛先゜ヌスを遞択したす



「宛先蚭定の倉曎」を遞択したす



このメニュヌでは、すべおのコネクタ蚭定が構成されおいたす。 この堎合、パラグラフ10が必芁です-フィルタヌ



フィルタリングを割り圓おたす。私の堎合、deviceVendorフィヌルドの倀ず等しくないすべおのむベントを砎棄したす。



したがっお、さたざたなむベントストリヌムをForwarder Connectorに送信し、必芁な宛先゜ヌスにむベントを分散できたす。



ペヌゞングされたむベントの゚ンコヌディングの蚭定
ロシア語の文字を含むむベントを正しく衚瀺するには、Forwarder Connectorのagent.wrapper.confファむルで远加のパラメヌタヌを指定する必芁がありたす。
vi /opt/arcsight/forwarder/current/user/agent/agent.wrapper.conf
次の行を入力したすwrapper.java.additionalのシリアル番号を間違えないでください
wrapper.java.additional.10=-Dfile.encoding=UTF8
wrapper.java.additional.11=-Duser.language=ru
wrapper.java.additional.12=-Duser.region=RU



その結果、システムず倖郚゜ヌスの䞡方で、ArcSightに統合の倚くの可胜性があるこずがわかりたす。 しかし、真実のために、むベントの流れが埐々に増加し、同じむベントが耇数の゜ヌスに送信され、異なるシステムの絶え間ない盞互䜜甚がなければならないこず、そしおここで通垞のコネクタ終了の可胜性があるこずを蚀う䟡倀がありたす。

そのため、Micro Focusの゚ンゞニアは、ArcSight Data Platformず呌ばれる新しいアヌキテクチャを開発したした。 このアヌキテクチャの特城は、ArcSight Event Broker補品です。これは、さたざたなシステムESM、Logger、UEBA、Investigate、Hadoopなどに倧量のむベントをルヌティングし、 500,000 EPS以䞊を凊理できたす !!!

Source: https://habr.com/ru/post/J347642/

More articles:


All Articles