議論できる情報システムの数を考慮して、情報システムをSIEMに接続するための可能なオプションとアプローチ、およびこのクラスのシステムと密接に接続して作業している同僚とこの知識を共有したいという私の考えを思わず考えます。 例として、最も一般的なArcsightシステムを取り上げ、FlexConnectorを使用して会社の情報システムに接続するための可能なオプションを考えてみましょう。
この記事では、3つの可能な方法で、LOG-FILE接続オプションでのFlexonnector対話の手順を説明します。
最初に、すべてのイベントを「mytest_log.txt」という別のファイルに書き込む内部アプリケーションがあることを想像してみましょう。 これらのイベントをさらに相関させるには、Arcsight ESMに送信する必要がありますが、問題は、すぐに使用できるSmartConnectorコネクターが必要ないことです。 この点で、FlexConnectorのようなコネクタは常に役立ち、Arcsight ESM / Loggerにイベントを正しく送信できます。
ファイル「mytest_log.txt」のソースからの着信イベントの良い例を次に示します。
2017-08-01 01:18:00.579 INFO AUTH: LOGIN SUCCESS. USER: Ivanov. IP: 192.168.0.1
2017-08-01 01:19:13.246 INFO AUTH: LOGIN FAILED. USER: Petrov. IP: 192.168.3.13
2017-08-01 01:20:17.589 INFO AUTH: LOGIN FAILED. USER: Petrov. IP: 192.168.3.13
2017-08-01 01:21:14.646 INFO AUTH: LOGIN FAILED. USER: Petrov. IP: 192.168.3.13
2017-08-01 01:22:09.179 INFO AUTH: LOGIN SUCCESS. USER: Ivanov. IP: 192.168.0.1
2017-08-01 01:23:02.116 INFO AUTH: LOGIN SUCCESS. USER: Petrov. IP: 192.168.3.13
次のステップは、Arcsight SmartConnectorをインストールし、FlexConnectorを現在のログファイルに書き込むことです。
Arcsight SmartConnectorのインストールと構成
コネクタがArcsight ESMに正常に追加されたことを確認してください。
FlexConnectorを書き込んだ後、構成ファイルへのパスを指定する必要があります。
- 開始後、コネクタをインストールするパスを指定します。
推奨事項:標準カタログの名前をコネクタタイプに変更します。
- アイコンを保存する場所を選択し、[次へ]をクリックします。
- インストールパラメータを確認し、[インストール]をクリックします。
- インストールプロセスで、[コネクタの追加]を選択し、[次へ]をクリックします。
- コネクタタイプ「Arcsight FlexConnector Regex File」を選択し、[次へ]をクリックします。
- この段階では、ログファイルへのパスのみを指定し、[次へ]をクリックします。
- 受信者のタイプを指定します。 私の場合、「Arcsight Manager(encrypted)」であり、「次へ」をクリックします。
- 必要な受信者パラメーターを指定して、「次へ」をクリックします。
- コネクタに関する情報を指定し、[次へ]をクリックします。
- Arcsight ESMから証明書をインポートし、[次へ]をクリックします。
- コネクタパラメータを確認し、[次へ]をクリックします。
- ここで、コネクタを起動する方法を選択する必要があります。 開発中に、「スタンドアロンアプリケーションとして残す」を手動で起動することを選択します。コネクタを起動するときにエラーをキャッチする方が便利です。 次へをクリックします。
- コネクタのセットアップが完了しました。 インストールの完了を確認します。
コネクタがArcsight ESMに正常に追加されたことを確認してください。
FlexConnectorを書き込んだ後、構成ファイルへのパスを指定する必要があります。
-
C:\$ARCSIGHT_HOME\current\bin> .\runagentsetup.bat
実行C:\$ARCSIGHT_HOME\current\bin> .\runagentsetup.bat
[コネクタの変更]を選択し、[次へ]をクリックします。
- [コネクタパラメータの変更]を選択し、[次へ]をクリックします。
- 「構成ファイル」フィールドで、構成ファイルの名前のみを指定します。
LOGファイルにFlexConnectorを書き込むには3つの方法があります。
- テキストエディターでの構成ファイルの作成現在最も一般的な方法は、テキストエディタを使用してコネクタを記述することです。
$ARCSIGHT_HOME\current\user\agent\flexagent
、$ARCSIGHT_HOME\current\user\agent\flexagent
構成ファイルを作成します。
サンプルの完成ファイル:
#MyTest MyParser Configuration File
replace.defaults=true
trim.tokens=true
comments.start.with=#
#2017-08-01 01:18:00.579 INFO AUTH: LOGIN SUCCESS. USER: Ivanov. IP: 192.168.0.1
regex=(.*)\\sINFO\\sAUTH\\D\\s(.*)\\D\\sUSER\\D\\s(.*)\\D\\sIP\\D\\s(.*)
token.count=4
token[0].name=Date
token[0].type=TimeStamp
token[0].format=yyyy-MM-dd HH:mm:ss.SSS
token[1].name=Name1
token[1].type=String
token[2].name=Username
token[2].type=String
token[3].name=UserAddress
token[3].type=IPAddress
additionaldata.enabled=false
event.deviceVendor=__stringConstant(MyTest)
event.deviceProduct=__stringConstant(MyParser)
event.endTime=Date
event.name=Name1
event.sourceUserName=Username
event.sourceAddress=UserAddress
ファイル構造は非常に単純です。
- コネクタの入力パラメーターを書き込みます
#MyTest MyParser Configuration File
replace.defaults=true
trim.tokens=true
comments.start.with=#
- ログの正規表現を書く
#2017-08-01 01:18:00.579 INFO AUTH: LOGIN SUCCESS. USER: Ivanov. IP: 192.168.0.1
regex=(.*)\\sINFO\\sAUTH\\D\\s(.*)\\D\\sUSER\\D\\s(.*)\\D\\sIP\\D\\s(.*)
- キーの数を指定します(カウントは「0」で始まります)
token.count=4
- キーを説明します(名前、タイプ、フォーマット)
token[0].name=Date
token[0].type=TimeStamp
token[0].format=yyyy-MM-dd HH:mm:ss.SSS
token[1].name=Name1
token[1].type=String
token[2].name=Username
token[2].type=String
token[3].name=UserAddress
token[3].type=IPAddress
- マッピングフィールドとサブメッセージを指定する
event.deviceVendor=__stringConstant(MyTest)
event.deviceProduct=__stringConstant(MyParser)
event.endTime=Date
event.name=Name1
event.sourceUserName=Username
event.sourceAddress=UserAddress
この方法は簡単に記述でき、Arcsightの専門家の間で最も一般的に使用されています。
マイナスの点については、エラーの検索のみに注意することができますが、この問題は、すべての技術情報が表示される「スタンドアロンアプリケーションのままにする」状態でコネクタを実行することで解決します。
- コネクタの入力パラメーターを書き込みます
- REGEX Embedded Utilityの使用Arcsight SmartConnectorには、グラフィカルシェルを起動してFlexConnectorを作成または検証する組み込みの正規表現ユーティリティがあります。
- 管理者としてコンソールを起動し、FlexConnectorのインストールディレクトリに移動します。
正規表現ユーティリティを実行します:C:\$ARCSIGHT_HOME\current\bin> .\arcsight.bat regex
このユーティリティを使用すると、コネクタの構成ファイルを作成できます。 - 新しいファイルを作成します:ファイル-新しいFlexAgent正規表現ファイル。 構成ファイルは、ファイル拡張子FILE_NAME.sdkrfilereader.propertiesで
$ARCSIGHT_HOME\current\user\agent\flexagent
に保存する必要があります。 - イベントソースを接続します:File-Load Log File。 実際のログまたはテストログへのパスを指定できます。
- ログに正規表現を書く必要があります。 これは正規表現フィールドで実行できます(便宜上、[生成]ボタンがあります)。
私のレギュラー:(.*)\sINFO\sAUTH\D\s(.*)\D\sUSER\D\s(.*)\D\sIP\D\s(.*)
テストをクリックします。 - グループに名前を付ける必要があります。
- デフォルトでは、すべてのグループはタイプStringであるため、グループDateおよびUserAddressについては、タイプTimeStampおよびIPAddressを指定する必要があります。
また、日付グループの時間形式についても説明します(FlexConnectorガイドの詳細情報)。
- 次に、グループをドラッグアンドドロップし、Arcsight ESMに表示するフィールドを選択して、フィールドをマップします。
正規表現ユーティリティでは、IPAddress形式のevent.sourceAddressフィールドを選択できないため、手動で追加する必要があります。
event.sourceAddress=UserAddress
また、必須のフィールドはデバイス製品とデバイスベンダーです。 構成ファイルに次の行を追加します。
event.deviceVendor=__stringConstant(MyTest)
event.deviceProduct=__stringConstant(MyParser)
- [テスト]をクリックし、すべてのイベントが解析されることを確認します。 設定を保存します。ファイル-FlexAgent正規表現ファイルを保存します。
コネクタを起動し、ログファイルに新しいイベントを生成し、Arcsight ESMでイベントの到着を確認します。
- 管理者としてコンソールを起動し、FlexConnectorのインストールディレクトリに移動します。
- Arcsight Quick Flexの使用この記事を書いている間、私は最初にArcsight Quick Flexを使用しましたが、うれしい驚きを覚えました。 このソフトウェアを使用すると、エラーのない構成ファイルをすばやく作成でき、サブメッセージを作成するのが楽しみになります。
- 新しいプロジェクトを作成します。
ベンダー:MyTest
製品:MyParser
バージョン:1
ログファイルのパス:ログのあるディレクトリを指定します
プロジェクトディレクトリ:プロジェクトディレクトリを指定します(構成ファイルではありません!!!)
- ログをロードすると、イベントのステータスは「ベース未解析」になります。 「Base Regex Editor」タブを起動します。
- 「Base Regex」フィールドで、正規表現を示します。
「Matching details」ボタンをクリックして、正規表現の正確性を確認できます。
- [トークン化]をクリックして、設定を保存します。
次に、キーごとに、マッピングのタイプ、形式、説明、およびフィールドを指定します
- [ログビュー]をクリックして、保存してメインページに戻ります。 次に、「更新」をクリックすると、すべてのイベントが「ベース解析済み」のステータスになります
- [パーサーの生成]をクリックして、FlexConnectorの既成の構成ファイルを取得します。 コネクタを含むフォルダーにファイルをエクスポートします。
$ARCSIGHT_HOME\current\user\agent\flexagent
コネクタを起動し、ログファイルで新しいイベントを生成し、Arcsight ESMでイベントの到着を確認します。
- 新しいプロジェクトを作成します。
結論:この記事ではFlexConnectorを書くための基本的なスキルについて説明しましたが、分類、サブメッセージ、マッピングなどの機能に興味がある場合は、次の記事でそれらを説明する準備ができています。