Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SIEM 系统日志、LEEF 和 CEF 日志记录

该瞻博网络 ATP 设备平台收集、检测和分析基于 Web、文件和电子邮件的高级威胁,这些威胁利用并渗透客户端浏览器、操作系统、电子邮件和应用程序。瞻博网络 ATP 设备的恶意攻击检测可生成事件和事件详细信息,这些事件详细信息可发送到以 CEF、LEEF 或系统日志格式连接的 SIEM 平台。本指南使用这些格式提供有关事件和事件收集的信息。

瞻博网络 ATP 设备会生成用于下载 (DL) 和感染 (IN) 事件的 LEEF 或 CEF 日志,包括针对以下事件类型的网络钓鱼(PHS、DL + PHS)。

  • http |电子邮件||提交|利用|数据盗窃

    注意:

    基于 DL(下载)的 CEF 日志包含下载的恶意软件文件的哈希和文件类型。基于 IN(感染)的 CEF 日志不提供哈希和文件类型。

身份信息也将作为 SIEM 的一部分发送。请参阅操作员指南中提供的 Active Directory 集成信息、外部收集器选项以及其他高级威胁分析和反 SIEM 过滤选项。

注意:

本指南重点介绍用于 SIEM 映射和集成的 CEF、LEEF 和系统日志输出。瞻博网络 ATP 设备还提供基于 JSON 的 HTTP API 结果和 ASCII TEXT 通知,本文中未讨论;有关详细信息,请参阅 瞻博网络 ATP 设备 HTTP API 指南 。

此外,瞻博网络 ATP 设备在前一版本中扩展了系统日志功能,并添加了系统日志消息传送的更多详细信息。系统日志会针对以下事件和事件类型发送警报:

  • 下载

  • 感染

  • 利用

  • 电子邮件下载

  • 钓鱼

  • 文件上传(恶意软件分析)

  • 数据盗窃

  • 端点身份信息

瞻博网络 ATP 设备为系统日志输出添加了额外的字段,例如 externalId(事件 ID)、事件 ID(事件 ID)等。本文档中包含所有额外字段。

瞻博网络 ATP 设备中央管理器 WebUI 配置>通知> SIEM 设置提供针对 CEF 格式、LEEF 格式或 SYSLOG SIEM 服务器配置事件和系统审核通知的选项。服务器必须配置为以 CEF、LEEF 和系统日志格式接收 瞻博网络 ATP 设备通知(提供系统日志的主机名和端口号)。

配置 SIEM 设置,以 CEF、LEEF 或系统日志的形式将事件或系统审核通知发送至指定主机作为日志。

图 1:设置 SIEM 通知 Setting SIEM Notification

请注意,如果在配置系统运行状况警报时选择 Syslog 作为 SIEM 设置,您可以选择在从 瞻博网络 ATP 设备发送的系统日志消息中包括主机名或进程名称: Show Hostname 和 Show Process Name:

要创建新的 SIEM 通知,请完成操作:

  1. 导航到"配置>"页面,然后从左面板菜单中选择 SIEM 设置。

  2. 单击 添加新 SIEM 连接器 以设置 CEF、LEEF 或 Syslog 格式的新事件、系统审核或系统运行状况日志通知。

  3. 从可用选项中选择,然后单击 添加 来完成配置,将新的 SIEM 连接器配置添加至活动 SIEMS 列表。

使用 CEF 警报event_id或incident_id在 Web UI 中显示详细信息

在给定incident_id或event_id,您可以使用以下 URL 显示 ATP 设备 Web UI 中瞻博网络详细信息。

将"JATP_HOSTNAME_HERE"替换为瞻博网络 ATP 设备主机名称,将"000000"更换为 event_id 或 incident_id。

  • https://JATP_HOSTNAME_HERE/admin/index.html?incident_id=0000000

  • https://JATP_HOSTNAME_HERE/admin/index.html?event_id=0000000

注意:

如果当前没有登录会话处于活动状态,系统将提示登录/密码。

要显示、删除或编辑活动 SIEM 连接器配置:

  1. 要显示最近报告,或者删除或编辑现有 SIEM 配置,请分别在活动 SIEM 表中为所选配置行显示、删除或编辑 。

  2. 根据需要编辑、修改或删除当前设置和字段,然后单击 保存 。

警报通知配置选项

只有从 Config>System Settings 菜单中配置了"传出邮件设置",才能提供 SIEM 事件或系统审核的警报通知。

下表提供了事件警报设置说明。

表 1:事件 SIEM 设置

类型

选择要配置的 SIEM 连接器通知类型:

事件

格式

选择 CEF 或 Syslog 作为通知输出格式。

恶意软件严重性

要根据恶意软件严重性结果过滤日志通知,请选择:

所有恶意软件|严重、高或|严重或高

选择 Trigger 或 By Schedule ,设置生成 SIEM 事件日志的方法。

如果选择"按计划",然后选择日期,然后以上午或下午 00:00 格式输入时间,设置生成警报的日期和时间。

主机名称

输入 CEF 或 Syslog 服务器的主机名称。

端口号

输入 CEF 或 Syslog 服务器的端口号。

表 2:系统审核 SIEM 设置

类型

选择要配置的 SIEM 通知类型:

系统审核

格式

选择 CEF 或 Syslog 作为通知输出格式。

事件类型

选择要在警报通知中包括的事件类型:

登录/注销|登录失败|添加/更新用户|系统设置|重新 启动

格式

选择 CEF 或 Syslog 作为日志输出格式。

选择 Trigger 或 By Schedule ,设置生成 SIEM 系统审核日志的方法。

如果选择"按计划",然后选择日期,然后以上午或下午 00:00 格式输入时间,设置生成警报的日期和时间。

表 3:系统运行状况 SIEM 设置

类型

选择要配置的 SIEM 连接器日志类型:

系统运行状况

健康

选择要在 SIEM 日志中包括的运行状况报告类型:

整体运行状况|处理延迟

格式

选择 CEF 或 Syslog 作为日志输出格式。

请注意,如果在配置系统运行状况警报时选择 Syslog 作为 SIEM 设置,您可以选择在从 瞻博网络 ATP 设备发送的系统日志消息中显示或隐藏主机名或进程名称: show Hostname 和 Show Process Name。

选择 Trigger 或 By Schedule ,设置生成 SIEM 系统审核日志的方法。

如果选择"按计划",然后选择日期,然后以上午或下午 00:00 格式输入时间,设置生成警报的日期和时间。

系统日志陷阱接收器服务器

将 瞻博网络 ATP 设备配置为以 CEF 或系统日志格式生成警报通知时,管理员必须确认 rsyslog trap-sink SIEM 服务器支持 CEF。CEF 输出只能用于解析 rsyslog 服务器上,并且无法从 瞻博网络 ATP 设备或 Web UI CLI解析。

CEF、LEEF 和系统日志格式

通用事件格式 (CEF) 和日志事件扩展格式 (LEEF) 是开放标准系统日志格式,用于对不同设备、网络设备和应用程序的安全相关信息进行日志管理和互操作性。此开放日志格式被 瞻博网络 ATP 设备用于将瞻博网络 ATP 设备恶意软件事件、系统审核和系统运行状况通知发送到配置的通道。

LEEF 格式

收到 LEEF 事件后,QRadar 将执行流量分析并检测事件流量,以识别发送设备或设备流量。当流量分析识别事件来源时,前 25 个事件分类为 SIM 通用日志 )。事件名称设置为 未知日志事件 。确定事件流量后,QRadar 会创建一个日志来源,对已从发送设备或软件转发的事件进行分类和标记。发送设备发送的事件在"日志活动"选项卡上的 QRadar 中可查看。

有关详细信息,请参阅 https://www.ibm.com/support/knowledgecenter/SS42VS_DSM/b_Leef_format_guide.pdf 的 QRadar 日志事件扩展格式(LEEF) 指南 。

注意:

有关安装 ATP 设备 瞻博网络的信息,请参阅 为 LEEF Alert 安装 QRadar 瞻博网络 ATP 设备 JAVA

CEF 格式

标准 CEF 格式为:

其瞻博网络 ATP 设备 CEF 格式如下所示:

CEF 格式包含最相关的恶意软件事件、系统审核或系统运行状况信息,可供事件消费者进行解析,并可以互操作地使用数据。要集成事件,系统日志消息格式用作传输机制。此机制以包含应用于每条消息的公共前缀为结构,包含日期和主机名,如下所示:

下面是 Splunk 中所示的常用前缀:

下面是 Syslog 的优先级标头格式:

系统日志优先级为 134。

系统日志设备是用户级别,系统日志严重性是声明。通过检查 Show Hostname 和 Show Process Name 选项,从 SIEM 设置配置页面上配置主机名和进程名称(请参阅上图)。

以下部分中提供了主要 CEF 字段的定义以及 CEF 扩展字段键= 值对定义。

CEF 字段定义

表 4:字段定义

定义

定义

版本

标识 CEF 格式版本的整数。此信息用于确定以下字段代表什么。

示例:0

设备供应商设备产品设备版本

唯一标识发送设备类型的字符串。Dec 没有两个产品使用相同的设备供应商和设备产品对,尽管没有管理这两对产品的中央机构。请务必分配唯一的名称对。

示例:JATP|发展|3.6.0.12

签名 ID/事件类 ID

CEF 格式的唯一标识,用于标识事件类型。可以是字符串或整数。事件类 ID 标识报告的事件类型。

示例(以下类型之一):

http |电子邮件||提交|漏洞|数据筛选

恶意软件名称

表示恶意软件名称的字符串。

示例:TROJAN_FAREIT。直流

严重性/事件风险映射

反映事件严重性的整数。对于 atP 瞻博网络 CEF,严重性值是 0-10 的事件风险映射范围

示例:9。

外部 ID

安全瞻博网络 ATP 设备事件编号。

示例:externalId=1003

事件 ID

其瞻博网络 ATP 设备事件 ID 号。

示例:eventId=13405

扩展

一组键值对;密钥是预定义集的一部分。事件可以按任意顺序包含任意数量的键值对,以空格分隔。

注意:

查看本部分提供的这些扩展字段标签的定义: CEF 扩展字段键=值对定义

提示:

系统日志的时间戳格式为 M D H:i:s

瞻博网络 ATP 设备 CEF 通知示例

按字段和标签定义了以下 CEF 示例:

其瞻博网络 ATP 设备 CEF 格式如下所示: