阿鲁巴自省
适用于 Aruba Introspect 的 JSA DSM 从 Aruba Introspect 设备收集事件。
下表描述了 Aruba Introspect DSM 的规格:
规范 |
价值 |
|---|---|
制造商 |
阿鲁巴 |
帝斯曼名称 |
阿鲁巴自省 |
RPM 文件名 |
DSM-ArubaIntrospect--JSA_versionbuild_ number.noarch.rpm |
支持的版本 |
1.6 |
协议 |
Syslog |
事件格式 |
名称-值对 (NVP) |
记录的事件类型 |
安全 系统 内部活动 渗漏 感染 命令与控制 |
自动发现 |
是的 |
包括身份 |
不 |
是否包含自定义属性? |
不 |
更多信息 |
要将 Aruba Introspect 与 JSA 集成,请完成以下步骤:
-
如果未启用自动更新,请从 瞻博网络下载下载最新版本的 RPM。
-
DSMCommon RPM
-
ArubaIntrospect DSM RPM
-
配置 Aruba 侦测设备以将系统日志事件发送到 JSA。
如果 JSA 未自动检测日志源,请在 JSA 控制台上添加 Aruba 自检日志源。下表描述了需要 Aruba 自省事件收集特定值的参数:
表 2:Aruba 自省 DSM 规格 参数
价值
日志源类型
阿鲁巴自省
协议配置
Syslog
日志源标识符
日志源的唯一标识符。
要验证是否正确配置 了 JSA ,请查看下表以查看已分析事件消息的示例。
下表显示了 Aruba 自省的示例事件消息:
表 3:Aruba 自省示例事件消息 事件名称
低级别类别
示例日志消息
云泄露
可疑活动
May 6 20:04:38 <Server> May 7 03:04:38 lab-an-node msg_type=alert detection_time= "2016-05-06 20:04:23 -07:00" alert_name="Large DropBox Upload" alert_type="Cloud Exfiltration" alert_category= "Network Access" alert_severity=60 alert_confidence=20 attack_stage =Exfiltration user_name=<Username> src_host_name=example.com src_ip=<Source_IP_address> dest_ip=Destination_IP_address1>, <Destination_IP_address2>,... description="User <Username> on host example.com uploaded 324.678654 MB to Dropbox on May 05, 2016; compared with users in the whole Enterprise who uploaded an average of 22.851 KB during the same day" alert_id=xxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxx_xxxxxxxx xxxxxxxx_Large_DropBox_Upload
配置 Aruba 自省以与 JSA 通信
在 JSA 可以从 Aruba 侦测收集事件之前,必须将 Aruba 自省配置为将事件发送到 JSA。
登录到 Aruba 自省分析器。
配置转发。
单击 系统配置>系统日志目标。
配置以下转发参数:
表 4:Aruba 自省分析器转发参数 参数
价值
系统日志目标
JSA 事件收集器的 IP 或主机名。
协议
TCP 或 UDP
港口
514
配置通知。
单击 系统配置>安全警报/电子邮件>新增。
配置以下转发参数:
表 5:Aruba 侦测分析器通知参数 参数
价值
启用警报系统日志转发
启用 启用警报系统日志转发 复选框。
发送通知
生成警报时。
您可以将此设置自定义为批量发送,而不是实时流发送。
时区
您的本地时区。
注意:将“ 查询”、“ 严重性”和 “置信度 ”值保留为默认值以发送所有警报。可以自定义这些值,以筛选出警报的子集,并仅将其发送到 JSA。
为了帮助您进行故障排除,您可以查看 / var/log/notifier.log 文件中的转发日志。
创建新通知时(如步骤 3 中所述),将发送与 “查询”、“ 严重性”和 “置信度 ”字段匹配的最后一周警报。