Negativa larm i ESM. Larm då loggposter saknas • Secorum
21854
post-template-default,single,single-post,postid-21854,single-format-standard,ajax_updown_fade,page_not_loaded,boxed,select-child-theme-ver-1.0.0,select-theme-ver-3.7,,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

Negativa larm i ESM. Larm då loggposter saknas

Hur skriver man i ESM en regel som triggar på om en loggpost inte har inkommit? I nyare ArcSight ESM tror jag den funktionen finns direkt i Console, men för oss som fortfarande sitter med en lite äldre version kan man använda följande teknik.

 

Det finns inbyggda funktioner för att kontroller att loggar kommer in från olika system, men ibland vill man kunna larma om en händelse inte har inträffat inom en viss tidsperiod. I ArcSight ESM kan man använda en kombination av aktiva listor och regler för att göra det. I aktiva listor finns det en tidsstämpel för när ett objekt lades till, eller uppdaterades. Det går också att konfigurera en timeout för när ett objekt automatiskt ska tas bort från en aktiv lista. Nu kommer det roliga – när ett objekt tas bort från en lista skapas en ny händelse i ESM för det. Vi behöver bara skapa en regel för att kontrollera när den händelsen inträffar så uppfyller vi användingsfallet.

 

Förutsättningar:

Larm ska skickas då loggar från TEST/MACHINE inte har inkommit på 24h.
Loggar skickas med deviceVendor=TEST och deviceProduct=MACHINE

 

Lösning: Populera en lista med ett enda event som uppdateras varje gång en MACHINE-logg kommer in i ESM. Sätt en timeout på listan till 24 h (1 dygn). Detektera timeout events från listan och skapa en notifiering.

 

Detaljer:
Skapa en aktiv lista: machine-test
Skapa ett filter för när machine-test-loggar kommer in till ESM
Skapa en regel som populerar machine-test med ett hårdkodat namn ”MachineName” varje gång en mil-fse-logg kommer in. Knyt condition till filtret.
Skapa en notifiering för gruppen SOC_OPERATORS
Skapa ett filter för när machine-test-listan får en timeout på namnet ”MachineName”
Skapa en regel som löser ut när ett expire-event från filtret ovan genereras. Knyt en action mot notifiering till gruppen SOC_OPERATORS för varje event som matchar den regeln.

 

Starta Consolen

Consolen visas med navigator till vänster, Viewer i mitten och Inspect/Edit till höger. Det finns en drop-down-pil ovanför texten Showing: All Channels. Den används för att välja funktion i ESM. Vi kommer mest att använda Filters, Rules och Lists

Välj Filters.

Högerklicka på Filters/Shared/All Filters och välj New Group.

Benämn gruppen MACHINE

Högerklicka på MACHINE och välj New Filter

I Inspect/Edit, ge filtret namnet machine_filter

På fliken Filter, ange villkor för att filtret ska släppa igenom loggar. I det här fallet, deviceProduct=MACHINE and deviceVendor=TEST

 

Skapa ett till filter, machine_filter expired, med följande logik. activelist:104 är class id för när ett entry i en aktiv lista tas bort. Vi ska hårdkoda ett värde: MachineName i den aktiva listan senare.

Glöm inte att klicka på OK.

Välj Lists

 

Skapa en ny grupp, MACHINE och en ny aktiv lista.

Ge namnet machine-test. Klicka på Fields-based och klicka på Key Fields. Lägg till följande
Name, typ String, Key-field, EndTime, typ Date
Klicka på OK.

Nu ska vi göra en regel för att populera den aktiva listan.
Gå till Rules.
.

Skapa en ny grupp, MACHINE.

Lägg till en ny rule.

Namn: machine-log received.

Under Conditions, högerklicka på event1 och välj New ”Matches Filter” Condition.

Välj MACHINE/machine_test

Välj Local Variables, + Add och namnge variabeln MachineName. Välj String concat och fyll i första strängen Machine och andra Name.

Under Actions, högerklicka på On First Event [Active] och välj De-Activate Trigger.

På samma sätt, aktivera On Every Event.

Högerklicka på On Every Event och välj Add/Active List

 Add To Active List

Bläddra fram till machine-test och välj OK.

Välj Name: MachineName (längst ner i listan vanligtvis)


EndTime: End Time

Klicka på OK.

 

Skapa en till regel: machine_name log expired. Condition ska vara det andra filtret som vi skapade.

Välj Action Add Notification till SOC_OPERATORS.

SOC_OPERATORS får endast epostutskick per default och utan epost-server behöver den notifieringen förändras så att det syns i gränssnittet.

Välj Notifications och bläddra fram till SOC Operators/Level 1. Högerklicka på Level 1 och välj New Destination.

Fyll i Name, kontrollera att Destinaiton Type är Console och Välj User/Group för vilka som ska få notifieringen. Klicka på OK.

Klart. Nu ska tändas varje gång en loggpost saknas. Klicka på utropstecknet för att komma till notifieringarna.
Varje notifiering måste bekräftas innan den röda ikonen blir mer diskret blå.

Inga Kommentarer

Skicka Kommentar