Aruba 自省

JSA DSM for Aruba Introspect 从 Aruba Introspect 设备收集事件。

下表描述了 Aruba Introspect DSM 的规格：

表 1：Aruba Introspect DSM 规格
规范	价值
制造者	阿鲁巴岛
帝斯曼名称	Aruba 自省
RPM 文件名	DSM-ArubaIntrospect-`-JSA_versionbuild_ number`.noarch.rpm
支持的版本	1.6
协议	系统日志
活动形式	名称-值对（NVP）
记录的事件类型	安全系统内部活动渗漏感染命令与控制
自动发现	是的
包括标识	不
包括自定义属性？	不

要将 Aruba Introspect 与 JSA 集成，请完成以下步骤：

如果未启用自动更新，请从瞻博网络下载下载最新版本的 RPM。
- DSMCommon RPM
- ArubaIntrospect DSM RPM
配置 Aruba Introspect 设备以将系统日志事件发送到 JSA。

如果 JSA 未自动检测日志源，请在 JSA 控制台上添加 Aruba Introspect 日志源。下表描述了 Aruba Introspect 事件收集需要特定值的参数：

表 2：Aruba Introspect DSM 规格
参数	价值
日志源类型	Aruba 自省
协议配置	系统日志
日志源标识符	日志源的唯一标识符。

要验证 JSA 配置是否正确，请查看下表以查看已分析事件消息的示例。

下表显示了 Aruba Introspect 的示例事件消息：

表 3：Aruba Introspect 示例事件消息
事件名称	低级类别	示例日志消息
云渗漏	可疑活动	May 6 20:04:38 <Server> May 7 03:04:38 lab-an-node msg_type=alert detection_time= "2016-05-06 20:04:23 -07:00" alert_name="Large DropBox Upload" alert_type="Cloud Exfiltration" alert_category= "Network Access" alert_severity=60 alert_confidence=20 attack_stage =Exfiltration user_name=<Username> src_host_name=example.com src_ip=<Source_IP_address> dest_ip=Destination_IP_address1>, <Destination_IP_address2>,... description="User <Username> on host example.com uploaded 324.678654 MB to Dropbox on May 05, 2016; compared with users in the whole Enterprise who uploaded an average of 22.851 KB during the same day" alert_id=xxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxx_xxxxxxxx xxxxxxxx_Large_DropBox_Upload

表 3：Aruba Introspect 示例事件消息

事件名称

低级类别

示例日志消息

云渗漏

可疑活动

May 6 20:04:38 <Server>
May 7 03:04:38 lab-an-node
msg_type=alert detection_time=
"2016-05-06 20:04:23 -07:00"
alert_name="Large DropBox
Upload" alert_type="Cloud
Exfiltration" alert_category=
"Network Access" alert_severity=60
alert_confidence=20 attack_stage
=Exfiltration user_name=<Username>
src_host_name=example.com
src_ip=<Source_IP_address>
dest_ip=Destination_IP_address1>,
<Destination_IP_address2>,...
description="User <Username>
on host example.com uploaded
324.678654 MB to Dropbox on
May 05, 2016; compared with
users in the whole Enterprise
who uploaded an average of
22.851 KB during the same day"
alert_id=xxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxx_xxxxxxxx
xxxxxxxx_Large_DropBox_Upload

配置 Aruba Introspect 与 JSA 通信

在 JSA 可以从 Aruba Introspect 收集事件之前，您必须配置 Aruba Introspect 以将事件发送到 JSA。

配置转发。

单击“ 系统配置”>“系统日志目标”。
配置以下转发参数：

表 4：Aruba Introspect Analyzer 转发参数
参数	价值
Syslog 目标	JSA 事件收集器的 IP 或主机名。
协议	TCP 或 UDP
港口	514

配置通知。

单击“ 系统配置”>“安全警报/电子邮件”>“添加新”。
配置以下转发参数：

表 5：Aruba Introspect Analyzer 通知参数
参数	价值
启用警报系统日志转发	选中启用警报系统日志转发复选框。
发送通知	随着警报的产生。您可以自定义此设置以批量发送，而不是实时流。
时区	您所在的当地时区。

注意：

将 “查询”、“ 严重性”和 “置信度”值保留为默认值以发送所有警报。可以自定义这些值，以过滤掉警报并仅将警报子集发送到 JSA。

为了帮助您进行故障排除，您可以查看 /var/log/notifier.log 文件中的转发日志。

创建新通知时（如步骤 3 中所述），将发送与“查询”、“严重性”和“置信度”字段匹配的上周警报。