Logga sökningar i ArcSight Logger • Secorum
22027
post-template-default,single,single-post,postid-22027,single-format-standard,ajax_updown_fade,page_not_loaded,boxed,select-child-theme-ver-1.0.0,select-theme-ver-3.7,,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

Logga sökningar i ArcSight Logger

Ett av huvudsyftena med en SIEM installation är att ha kontroll över vad som sker i en organisations nätverk och/eller applikationer, men vem har koll på att analytikern eller någon annan med tillgång till Logger endast gör sökningar som är enligt gällande regler och policy?

 

Inbyggt i Logger kan man se vem som har gjort administrativa saker såsom användarhantering, skapat nya Revceivers mm mm. Det som däremot inte loggas är vem som gjort vilka sökningar i Logger. För att användningsfallet ska täcka även de som jobbar i Logghanteringen, ska givetvis även detta loggas. Hur gör man då det?

 

En installation av en ny connector av typen filereader ska göras och den ska läsa filen <installdir>/arcisght/logger/logs/logger_web.log. Till denna fil loggas allt som sker i web gränssnittet. Säkerställ att det konto som kör connectortjänsten även har läsrättigheter till denna fil. Konfigurera connectorn så att den kan hantera filrullningen och använd bifogad parsningsfil. Nu kommer alla sökningar att hanteras som vilken logg som helst och vara sökbar i Logger. Om fler händelser ska loggas är det bara att komplettera bifogad parsningsfil.

logger_search.sdkrfilereader.properties

# Regexparser for Logger internal search
# Made by Secorum AB
comments.start.with=\#
trim.submessage=true
do.unparsed.events=true
multiline.starts.regex=\\[(\\d{4}-\\d{2}-\\d{2} \\d{2}:\\d{2}:\\d{2},\\d{3})\\].*

#[-----------Time--------][SEVERITY][-----TYPE-----][-ACTION-][------SUBACTION----------------]Message
#[2016-10-05 15:16:29,727][INFO ][AusmSearchThread2][doSearch][AusmSearchThread2-1475666185161] AusmSearchThread2: 1475666185161: doSearch: Searching for page 0: Query: start [$Now - 10m] end [$Now] query [AUSM: ], fieldSearchCaseSensitive: Yes, regexCaseSensitive: No (we must assume the server agrees)

#[---------- 0 ----------][--- 1 --][----- 2 ------][----3----]----------------4-------------
regex=\\[(\\d{4}-\\d{2}-\\d{2} \\d{2}:\\d{2}:\\d{2},\\d{3})\\]\\[([^\\]]+)\\]\\[([^\\]]+)\\]\\[([^\\]]+)\\](.*)

token.count=5

token[0].name=Time
token[0].type=TimeStamp
token[0].format=yyyy-MM-dd HH\:mm\:ss,SSS

token[1].name=severity
token[1].type=String

token[2].name=type
token[2].type=String

# Anger vilken action av händelse som skapats
token[3].name=action
token[3].type=String

# Övrig loggpost
token[4].name=submessage
token[4].type=String

submessage.messageid.token=action
submessage.token=submessage

event.deviceReceiptTime=Time
event.deviceVendor=__stringConstant("ArcSight")
event.destinationProcessName=action
event.flexString1=severity
event.message=submessage
event.deviceProduct=__stringConstant("FlexConnector")

submessage.count=4

# doSearch
# [AusmSearchThread2-1475666185161] AusmSearchThread2: 1475666185161: doSearch: Searching for page 0: Query: start [$Now - 10m] end [$Now] query [AUSM: ], fieldSearchCaseSensitive: Yes, regexCaseSensitive: No (we must assume the server agrees)
submessage[0].messageid=doSearch
submessage[0].pattern.count=1
submessage[0].pattern[0].regex=\\[[^-]+-(\\d+)\\].*
submessage[0].pattern[0].fields=event.sourceProcessName

#getSearchResultsPage
#[ajp-bio-127.0.0.1-8009-exec-1] AusmSearchThread2: 1476263582919: getSearchResultsPage: Using cached searchResultsPage for page 0
submessage[1].messageid=getSearchResultsPage
submessage[1].pattern.count=1
submessage[1].pattern[0].regex=\\[[^\\]]+\\][^:]+:([^:]+).*
submessage[1].pattern[0].fields=event.sourceProcessName

#service
#[ajp-bio-127.0.0.1-8009-exec-10] [0:00:00.646] Completed Request: GET /logger/search_results_inline.ftl?searchctx=ausm&search_id=1475668344990&gimmeupdates=1&_dc=1475668345939 XHR User: admin IP: 192.168.93.1 Session: EC3DB2B4DB112177201414A07BEE56FA
submessage[2].messageid=service
submessage[2].pattern.count=2
#submessage[2].pattern[0].regex=\\[[^\\]]+\\]\\[[^\\]]+\\](.*)
submessage[2].pattern[0].regex=.*search_id=(\\d+).*User:\\s*(\\w+)\\s*IP:\\s*([^\\s]+).*
submessage[2].pattern[0].fields=event.sourceProcessName,event.sourceUserName,event.sourceAddress
#submessage[2].pattern[0].mappings=__regexToken($1,.*search_id=(\\d+).*)
#[ajp-bio-127.0.0.1-8009-exec-10] Begin Request: GET /logger/config_home.ftl?config-page=receiver_config User: admin IP: 192.168.93.1 Session: EC3DB2B4DB112177201414A07BEE56FA
# params:
# config-page->[receiver_config]
submessage[2].pattern[1].regex=.*User:\\s*(\\w+)\\s*IP:\\s*([^\\s]+).*
submessage[2].pattern[1].fields=event.sourceUserName,event.sourceAddress

# Default submessage descriptor
submessage[3].pattern.count=1
submessage[3].pattern[0].regex=(.*)
submessage[3].pattern[0].fields=event.name
Inga Kommentarer

Skicka Kommentar