内部の一般的なイベント形式

ソフトウェア、ハードウェア、およびソフトウェアソリューションのメーカーは、 Stonesoft 、 Tripwire 、 Citrix 、 Imperva 、 NetScout 、および数十のベンダーのHP ArcSight Common Event Format（CEF）形式のサポートを確認する証明書を受け取ると主張しています。

SIEMについて

Gartnerの年次報告書によると、HP ArcSight（2010年9月まで-ArcSight）は、 SIEMクラスのソリューションを開発するリーダーの1人です。 つまり、このような決定の本質は、さまざまな情報セキュリティシステムによって生成された数十億のイベントを1か所に収集し、これらのイベントの相関分析を実行することです。 相関関係により、管理者またはオペレーターという人が既に作業しているセキュリティインシデントが発生します。



広告パンフレットのSIEMソリューションの各メーカーは、通常、サポートされているイベントソースの数を示しています。 たとえば、ArcSight ESMは300以上のデバイスとアプリケーションをサポートし、QRadar SIEMは「+」200以上しかサポートしていないと記載されています。 情報源によると、誰がそこにいるのか-この記事の枠組みの中で、情報セキュリティイベント（雑誌）の形式に関心があるため、今は重要ではありません。

雑誌について

ISログとイベントの構造に関する一般的な要件はまだありません。 したがって、各開発者は自分に最適な方法で雑誌を作成します。



誰かが単にそれらをテキストファイルに書き込むだけで、誰かがSyslogサーバーにデータを送信する機能を提供します。 1つはSNMPのみを必要とし、もう1つはすべてのログをリレーショナルデータベースに入れたいと考えています。 Microsoftには.evt形式があり、CheckPointにはOPSECがあります。 また、SDEEを忘れないでください。

問題について

ログの構造と、ログの送信に使用されるプロトコルはどこでも異なります。 SIEMソリューションとの統合の観点から（それらだけでなく）、これは悪いことです。 ログの統一処理のために、それらを正規化する必要があります。 単一のフォーマットにつながります。 イベントは単一の形式で保存する方が簡単です。 データの検索とレポートの生成が簡単になりました。



正規化には、フィールドの解析とマッピングが含まれます。 したがって、情報セキュリティシステムとSIEMソリューション間の各コネクタは、その構成設定に従って解析およびマッピングを行うアプリケーションです。

SIEMの製造元が必要な製品をサポートしていない場合、構成設定を自分で行う必要があります。 正規表現を設計およびテストします。 データベースの構造を調べるには、SQL * Plusをマスターしてください。 一致ルールを記述します。 悲しいことに、一般的に...

提案されたソリューション

「情報セキュリティシステムのすべてのメーカーが、誰もが理解できる方法でログを取り除いてくれたらいいのに」と、ArcSightは考え、2006年に、開発したCEF形式のレビューを一般承認のために提出しました。 私の意見では、この形式には複雑なものはありません。 いくつかの要件を満たす必要があります。



要件1-Syslogをトランスポートとして使用します



ここで明らかなようです。

欲しい-UDPプロトコルを使う、欲しい-TCP。



要件2-8つの必須フィールドに入力します



もちろん、従来のsyslogヘッダーはメッセージの先頭に存在する必要があります。

Jan 18 11:07:53 host







そしてすでにその後ろにあるのは、 CEF:



プレフィックスCEF:



と "|"で区切られた必須フィールドのセットです。

CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension







ここに：

• バージョン-CEF形式のバージョン
• デバイスベンダー、デバイス製品、およびデバイスバージョン-これらの行は、イベントのソースを一意に識別します。 これらの3つの値の同じセットを持つ製品はありません
• 署名ID-イベントの種類の一意の識別子
• 名前-人間が読めるイベントの説明
• 重大度-イベントの重大度（0〜10）
• 拡張-以下を参照

要件3-CEFディクショナリに従って拡張フィールドに入力します



Extensionフィールドは、キーと値のペアのセットです。 辞書にあるいくつかのキーを次に示します。



dmacは宛先Macアドレスです（例：00：0D：60：AF：1B：65）

sptは送信元ポート（ポート0〜65535）です

リクエストはリクエストURLです（HTTPリクエストの場合、URLが指定されます）



CEF形式の説明では、ディクショナリが完全に示されており、各キーのデータのタイプと許容される最大サイズが示されています。



ドキュメントの最後には、より一般的な要件がいくつかあります。 特に、メッセージ全体でUTF-8エンコードを使用する必要があります。 いくつかの特殊文字と複数行エントリのデザインのルールもそこに示されています。



その結果、CEF形式に正確に準拠してフォーマットされたメッセージは次のようになります。

May 29 15:26:33 host CEF:0|McAfee|Antivirus|5.2|100|worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

利点は何ですか？

1.新しいイベントソースを接続すると、「プラグアンドプレイ」に変わります

2. SIEMシステム自体の負荷が軽減されます。

3. SIEMソリューションの製造元は、サポートされているソースの数によって測定されなくなり、他の側面（製品の使いやすさ、フォールトトレランスなど）により注意を払っています。

4.一般に、この形式はSIEMだけでなく発明されました。 ログの処理に関連する他のソリューションで既に使用されています。