この記事では、ArcSight ESMからイベントをアップロードした経験を紹介します。 機能の詳細を検討し、ArcSight Forwarder Connectorをセットアップするための段階的な手順を提供し、興味深いライフハックについて説明します。
はじめに、イベントが一般にArcsight ESMから送信される理由を把握しましょう(結局、イベントはデータベース内で正常に動作します)。
- 会社には複数のESMサーバーがあり、タスクはグローバル相関のためにイベントを中央のArcSight ESMに送信することです
- ArcSightからイベントを送信する必要があるサードパーティシステム(ELKなど)がある
- CEF形式で送信するsyslogイベント
- さらなる作業のためにイベントをCSVファイルにアップロードする
ArcSight Forwarder Connectorを使用してこれらすべてのポイントを実装できますが、初期構成はArcSight ESM自体で開始されます。
Arcsight ESMの初期セットアップ
すべての作業は、Arcsight ESM 6.11の最新バージョンで行われます(これは以前のバージョンにも適用されます)。
最初に、ESMからイベントをアップロードするために使用されるアカウントを作成します。
ナビゲーションパネルで[ユーザー]セクションに移動し、[顧客ユーザーグループ]ディレクトリで、独自の[フォワーダーイベント]ディレクトリを作成します。
新しく作成された「フォワーダーイベント」グループをクリックして、「fwd」などのユーザーを作成します。
新規ユーザーの場合、アカウントとパスワードのタイプを指定する必要があります。
ユーザータイプ=転送コネクタ
次に、Arcsight ESMからアンロードするイベントのフィルターを作成する必要があります。 これを行うには、ナビゲーションパネルの[フィルター]セクションを選択し、必要な条件でフィルターを作成します。
たとえば、すべての相関イベントをESMからアンロードするため、フィルターは次のようになります
フィルタを作成したら、ユーザーfwdを含むForwarder Eventsグループに適用する必要があります。
[ユーザー]セクションのナビゲーションパネルに移動し、[フォワーダーイベント]グループの[アクセス制御の編集]を選択します。
次に、「ACLエディター」で「イベント」タブに移動し、「追加」をクリックして以前に作成したフィルターを追加します
ここで、Arcsight ESMによるすべての構成が行われます。
最初に、ESMからイベントをアップロードするために使用されるアカウントを作成します。
ナビゲーションパネルで[ユーザー]セクションに移動し、[顧客ユーザーグループ]ディレクトリで、独自の[フォワーダーイベント]ディレクトリを作成します。
新しく作成された「フォワーダーイベント」グループをクリックして、「fwd」などのユーザーを作成します。
新規ユーザーの場合、アカウントとパスワードのタイプを指定する必要があります。
ユーザータイプ=転送コネクタ
次に、Arcsight ESMからアンロードするイベントのフィルターを作成する必要があります。 これを行うには、ナビゲーションパネルの[フィルター]セクションを選択し、必要な条件でフィルターを作成します。
たとえば、すべての相関イベントをESMからアンロードするため、フィルターは次のようになります
フィルタを作成したら、ユーザーfwdを含むForwarder Eventsグループに適用する必要があります。
[ユーザー]セクションのナビゲーションパネルに移動し、[フォワーダーイベント]グループの[アクセス制御の編集]を選択します。
次に、「ACLエディター」で「イベント」タブに移動し、「追加」をクリックして以前に作成したフィルターを追加します
ここで、Arcsight ESMによるすべての構成が行われます。
アカウントを作成し、Arcsight ESMでフィルタリングしたら、Arcsight Forwarder Connectorのインストールと構成を開始できます
ArcSight Forwarder Connectorのインストールと構成
Arcsight Forwarder Connectorをインストールするには、Linuxサーバーと最新バージョンのコネクター(ArcSight-7.5.0.7986.0-SuperConnector-Linux64.bin)が必要です。
まず、ファイルを実行可能にする必要があります。
次に、コネクタ自体のインストールに進みます。
情報を確認し、「Enter」を押してインストールディレクトリを指定します。
次に、アイテム「4」を選択してリンクの作成を拒否し、インストールを確認します
最後に、インストールの成功に関する情報と、コネクタカスタマイザの起動方法に関する詳細な指示を受け取ります。
では、プリセットを作成しましょう
./runagentsetup.shを実行します
「コネクタの追加」を選択し、「ArcSight Forwarding Connector(Enhanced)」と入力します
次に、コネクタはパラメータエントリ(ユーザー名/パスワード)を非表示にするように求めます
次に、イベントを取得するESMサーバーのパラメーターを設定し、以前に作成したアカウント「fwd」のパラメーターを指定します
ここで、ArcSight ESM証明書をコネクタにインポートする必要があります
ESMとの統合が成功すると、コネクタはイベントを送信するためのいくつかのオプションを提供します
次に、各オプションの設定について説明します。
まず、ファイルを実行可能にする必要があります。
chmod +x ArcSight-7.5.0.7986.0-SuperConnector-Linux64.bin
次に、コネクタ自体のインストールに進みます。
./ArcSight-7.5.0.7986.0-SuperConnector-Linux64.bin
情報を確認し、「Enter」を押してインストールディレクトリを指定します。
/opt/arcsight/forwarder
次に、アイテム「4」を選択してリンクの作成を拒否し、インストールを確認します
最後に、インストールの成功に関する情報と、コネクタカスタマイザの起動方法に関する詳細な指示を受け取ります。
では、プリセットを作成しましょう
./runagentsetup.shを実行します
/opt/arcsight/forwarder/current/bin/runagentsetup.sh
「コネクタの追加」を選択し、「ArcSight Forwarding Connector(Enhanced)」と入力します
次に、コネクタはパラメータエントリ(ユーザー名/パスワード)を非表示にするように求めます
次に、イベントを取得するESMサーバーのパラメーターを設定し、以前に作成したアカウント「fwd」のパラメーターを指定します
ここで、ArcSight ESM証明書をコネクタにインポートする必要があります
ESMとの統合が成功すると、コネクタはイベントを送信するためのいくつかのオプションを提供します
次に、各オプションの設定について説明します。
宛先タイプの設定:
ArcSight ESMへのイベントの投稿
イベントの送信先のESMサーバーデータを入力します。 ここでは、標準アカウントのログインとパスワードを指定する必要があります
ESM宛先サーバーに表示されるコネクタの名前を指定します
コネクタの証明書をインポートする
これでセットアップは完了です。 コネクタの開始パラメータのみを決定するために残ります。 コネクタは、自動起動を備えたサービスとして、または手動で起動する必要があるアプリケーションとしてインストールできます
私は通常、自動開始でサービスを作成することを選択します
移行先サーバーで、コネクタの登録とイベントの到着を確認します
ESM宛先サーバーに表示されるコネクタの名前を指定します
コネクタの証明書をインポートする
これでセットアップは完了です。 コネクタの開始パラメータのみを決定するために残ります。 コネクタは、自動起動を備えたサービスとして、または手動で起動する必要があるアプリケーションとしてインストールできます
/opt/arcsight/forwarder/current/bin/arcsight agents
私は通常、自動開始でサービスを作成することを選択します
移行先サーバーで、コネクタの登録とイベントの到着を確認します
ArcSight Loggerへのイベントの送信
最初のステップは、Arcsight Logger自体に「レシーバー」を作成することです。 これを行うには、ロガーの「構成」セクションを選択してから「受信者」を選択し、「追加」をクリックします。
受信者に名前を付けて、受信したイベントのタイプを選択します
次に、コネクタの設定に移動します
ロガーに接続するためのパラメーターを設定し、作成したレシーバー-FWD_ESMを示します
コネクタの証明書をインポートする
ArcSight Loggerでイベントを確認する
受信者に名前を付けて、受信したイベントのタイプを選択します
次に、コネクタの設定に移動します
ロガーに接続するためのパラメーターを設定し、作成したレシーバー-FWD_ESMを示します
コネクタの証明書をインポートする
ArcSight Loggerでイベントを確認する
CEF形式で送信するsyslogイベント
ここではすべてが基本です。 送信先のアドレスのみを入力し、そのポートでデータ転送プロトコルを指定します
ELKなどでイベントの到着を確認する
ELKなどでイベントの到着を確認する
CSVファイルにアップロードしてイベントを送信する
この場合、csvファイルが作成されるディレクトリ、アップロードするフィールド、およびファイルのローテーション時間のみを指定する必要があります
HPE Operations Managerへのイベントの送信
イベントは、SNMPプロトコルを介して送信され、IT Operations Managementでさらにイベントマッピングが行われます。
Arcsight Forwarder Connectorを使用するためのコツ
基本イベントとともに相関イベントをアンロードする
デフォルトでは、Arcsight Forwarder Connectorは相関イベントのみを起動します。 しかし、たとえば事件の詳細な調査のために、基本的なイベントが必要な場合はどうするか。
これを行うには、IDコネクタとユーザーIDをパラメーターとして指定し、これらすべてをESM構成ファイルに登録する必要があります。
コネクタのIDは、コマンドで認識できます
ユーザーID「fwd」は、ESMプロファイルで表示できます
次に、Arcsight ESMサーバー自体のserver.propertiesファイルに追加のパラメーターを追加する必要があります
サーバーを停止します
パラメータを入力します
ESMサーバーを起動します
これで、相関イベントはベースとともにアンロードされます
これを行うには、IDコネクタとユーザーIDをパラメーターとして指定し、これらすべてをESM構成ファイルに登録する必要があります。
コネクタのIDは、コマンドで認識できます
cat /opt/arcsight/forwarder/current/user/agent/agent.properties | grep entityid
ユーザーID「fwd」は、ESMプロファイルで表示できます
次に、Arcsight ESMサーバー自体のserver.propertiesファイルに追加のパラメーターを追加する必要があります
サーバーを停止します
/etc/init.d/arcsight_services stop all
パラメータを入力します
vi /opt/arcsight/manager/config/server.properties
eventstream.cfc=(connectro ID).(forwarder user ID)
ESMサーバーを起動します
/etc/init.d/arcsight_services start all
これで、相関イベントはベースとともにアンロードされます
フォワーダーコネクタの高度なイベントフィルタリング
Arcsight Forwarder Connectorをインストールし、必要なすべての宛先ノードを接続した後、実行します
「コネクタの変更」を選択します
次は「宛先の追加、変更、または削除」です
次に、フィルターを適用する宛先ソースを選択します
「宛先設定の変更」を選択します
このメニューでは、すべてのコネクタ設定が構成されています。 この場合、パラグラフ10が必要です-フィルター
フィルタリングを割り当てます。私の場合、deviceVendorフィールドの値と等しくないすべてのイベントを破棄します。
したがって、さまざまなイベントストリームをForwarder Connectorに送信し、必要な宛先ソースにイベントを分散できます。
/opt/arcsight/forwarder/current/bin/runagentsetup.sh
「コネクタの変更」を選択します
次は「宛先の追加、変更、または削除」です
次に、フィルターを適用する宛先ソースを選択します
「宛先設定の変更」を選択します
このメニューでは、すべてのコネクタ設定が構成されています。 この場合、パラグラフ10が必要です-フィルター
フィルタリングを割り当てます。私の場合、deviceVendorフィールドの値と等しくないすべてのイベントを破棄します。
したがって、さまざまなイベントストリームをForwarder Connectorに送信し、必要な宛先ソースにイベントを分散できます。
ページングされたイベントのエンコーディングの設定
ロシア語の文字を含むイベントを正しく表示するには、Forwarder Connectorのagent.wrapper.confファイルで追加のパラメーターを指定する必要があります。
次の行を入力します(wrapper.java.additionalのシリアル番号を間違えないでください)
vi /opt/arcsight/forwarder/current/user/agent/agent.wrapper.conf
次の行を入力します(wrapper.java.additionalのシリアル番号を間違えないでください)
wrapper.java.additional.10=-Dfile.encoding=UTF8
wrapper.java.additional.11=-Duser.language=ru
wrapper.java.additional.12=-Duser.region=RU
その結果、システムと外部ソースの両方で、ArcSightに統合の多くの可能性があることがわかります。 しかし、真実のために、イベントの流れが徐々に増加し、同じイベントが複数のソースに送信され、異なるシステムの絶え間ない相互作用がなければならないこと、そしてここで通常のコネクタ終了の可能性があることを言う価値があります。
そのため、Micro Focusのエンジニアは、ArcSight Data Platformと呼ばれる新しいアーキテクチャを開発しました。 このアーキテクチャの特徴は、ArcSight Event Broker製品です。これは、さまざまなシステム(ESM、Logger、UEBA、Investigate、Hadoopなど)に大量のイベントをルーティングし、 500,000 EPS以上を処理できます !!!