Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Benutzerdefinierte Protokollaufnahme

Die benutzerdefinierte Protokollaufnahme wurde mit der Juniper Advanced Threat Prevention-Softwareversion 5.0.4 eingeführt.

Informationen zur benutzerdefinierten Protokollaufnahme

Übersicht über die benutzerdefinierte Protokollaufnahme

Mit der Funktion zur benutzerdefinierten Protokollerfassung können Sie Ihre eigenen Protokollparser auf der ATP-Appliance-Appliance erstellen, indem Sie Beispielprotokolle verwenden. Wenn Sie Protokolle von einem Anbieter verwenden möchten, die von vorhandenen ATP Appliance-Protokollparsern nicht unterstützt werden, können Sie dies tun. Durch das Zuordnen von Feldern in Ihren Beispielprotokollen zu ATP-Appliance-Ereignisfeldern erstellen Sie Ihren eigenen benutzerdefinierten Parser, der angibt, welche Arten von Ereignissen einen Incident generieren. Sie können auch Statistiken zu eingehenden Protokollen anzeigen und gesammelte Protokolle löschen.

Konfigurieren des Protokollparsers

Gehen Sie wie folgt vor, um einen eigenen benutzerdefinierten Protokollparser zu erstellen.

  1. Navigieren Sie zur Konfigurationsseite Config>Environmental Settings>Custom External Event Collectors (Konfiguration der Webbenutzeroberfläche von ATP Appliance Central ManagerCustom External Event Collectors), und klicken Sie auf Erstellen.
  2. Geben Sie auf der Seite "Neue Quelle erstellen" die folgenden Informationen ein:

    • Name: Erstellen Sie einen eindeutigen, beschreibenden Namen für das Protokoll.

    • Beschreibung: Geben Sie eine Beschreibung der Protokolldatei ein. (Dieses Feld ist optional.)

    • Typ: Wählen Sie den Protokolltyp aus den folgenden Optionen aus: Firewall, Web-Gateway, Endpoint AV, Endpoint Response oder IPS.

    Sobald die erforderlichen Felder ausgefüllt sind, klicken Sie auf Weiter.

    Abbildung 1: Konfigurieren einer benutzerdefinierten Protokollquelle Configure Custom Log Source
  3. Gehen Sie auf der Seite Protokolldatei analysieren wie folgt vor:

    • Laden Sie die Rohprotokolldatei hoch, indem Sie sie durchsuchen, oder fügen Sie sie in das Feld unter der Schaltfläche Durchsuchen ein.

      Hinweis:

      Die Protokolldatei muss einen RFC-konformen Syslog-Header enthalten.

    • Teilen Sie ATP Appliance aus den bereitgestellten Optionen mit, welches Format die Protokolldatei hat. Sie können XML, JSON, CSV oder Andere auswählen.

      Abbildung 2: Bereitstellen einer benutzerdefinierten Protokolldatei Provide Custom Log File

      XML-Protokoll

      Hier ist ein Beispiel für ein XML-Protokoll:

      JSON-Protokoll

      Hier ist ein Beispiel für ein JSON-Protokoll:

      CSV-Format

      Wenn Ihre Protokolldatei im CSV-Format vorliegt, können Sie eine durch Kommas getrennte Liste von Feldnamen im Feld CSV-Kopfzeilen angeben. Wenn die CSV-Header nicht angegeben werden, werden die Felder als csv[N] benannt, wobei N die Feldposition ist.

      Für das CSV-Format finden Sie hier ein Beispiel für ein PAN-Protokoll:

      Sonstiges - Grok-Muster

      Wenn Sie Andere auswählen, müssen Sie ein Grok-Muster für die Protokolldatei angeben. Ein Grok-Muster kann aus einer oder mehreren Linien bestehen. Die Grok-Musterlinie, die mit "LOGPATTERN" beginnt, ist das Muster, das auf die Protokolle angewendet wird. Ein Grok-Muster muss ein Muster mit dem Namen LOGPATTERN enthalten, andernfalls verfügt der Parser über kein Muster, das er verwenden kann. Zum Beispiel:

      Für das Grok-Muster sehen Sie hier ein Beispiel für ein Symantec EP-Protokoll:

    Wenn Sie auf Weiter klicken, analysiert und validiert ATP Appliance die bereitgestellten Protokolldateidaten.

  4. Aktivieren Sie auf der Seite "Feldzuordnung" auf der linken Seite ein oder mehrere Kontrollkästchen neben einem Feld, das aus der Protokolldatei analysiert wurde. Auf der rechten Seite wählen Sie aus den bereitgestellten Optionen eine vordefinierte Beschreibung des Feldes aus. Sie können z. B. ein Feld auf der linken Seite mit dem Namen "interface_ip" einem ATP-Appliance-Feld auf der rechten Seite mit dem Namen "Endpunkt-IP" zuordnen.

    Sobald die Kontrollkästchen aktiviert sind, klicken Sie auf die Schaltfläche Karte, um die Felder zu verknüpfen. Die zugeordneten Felder werden nun in einem anderen Abschnitt der Seite angezeigt, in dem alle Felder aufgelistet sind, die einander zugeordnet wurden.

    Hinweis:

    Beachten Sie die folgenden Details zur Seite "Feldzuordnung":

    • Verwenden Sie den kreisförmigen Pfeil im Abschnitt Zugeordnete Felder, um eine Zuordnung rückgängig zu machen.

    • Klicken Sie auf das Filtersymbol im Abschnitt Nicht zugeordnete Felder, um Text für die Suche einzugeben.

    • Sie können mehrere Felder auf der linken Seite auswählen und sie einem Feld auf der rechten Seite zuordnen. Wenn Sie dies tun, wird ein "Sortieren"-Symbol angezeigt. Verwenden Sie die Sortierfunktion, um die Reihenfolge auszuwählen, in der mehrere Felder angewendet werden, je nachdem, ob diese Felder einen gültigen Wert enthalten oder nicht.

    • Aktivieren Sie das Kontrollkästchen "Zähler", um zu zählen, wie oft ein Feld angezeigt wird. Anschließend können Sie die Ergebnisse dieses Indikators auf der Seite Externer Ereignissammler anzeigen, die Sie konfigurieren, sobald der Parser abgeschlossen ist.

      Es wird empfohlen, bei der Auswahl der zu zählenden Felder keine Elemente wie die IP-Adresse auszuwählen, da diese in der Protokolldatei allgegenwärtig und nicht skalierbar sein können.

    Klicken Sie auf Weiter, sobald alle Felder zugeordnet sind.

    Abbildung 3: Zuordnung von Protokolldateifeldern Map Log File Fields
  5. Sie müssen keinen Text auf der Seite Datum und Uhrzeit eingeben, wenn Ihre Protokolldatei eine Standardzeit verwendet, wie in RFC 3164 oder RFC 5424 vorgeschrieben. Diese Header werden automatisch analysiert. Wenn der Zeitstempel nicht analysiert werden kann, verwenden Sie Ruby strftime, um eine Formatzeichenfolge bereitzustellen, damit ATP Appliance das Datum und die Uhrzeit in Ihrer Protokolldatei als Startzeit des Ereignisses interpretieren kann.

    Weitere Informationen zum Datums- und Uhrzeitformat:

  6. Auf der Seite "Protokollfilterung" können Sie Filter erstellen, um ATP Appliance mitzuteilen, welche Ereignisse schädlich sind und welche nicht, während Sie entscheiden, welche Protokolle aufbewahrt werden sollen und welche ignoriert werden können. Dadurch werden Protokolle entfernt, die "verrauscht" und nicht von besonderem Interesse sind, und Protokolle werden beibehalten, die sich auf böswillige Ereignisse beziehen.

    Mit diesen Filtern können Sie "exakt passende" Filter oder "enthält" für die von Ihnen eingegebene Zeichenfolge auswählen.

    Klicken Sie auf die Schaltfläche Hinzufügen, und konfigurieren Sie die Filterbedingungen wie folgt:

    • Wählen Sie ein Protokolldateifeld aus der Pulldown-Liste aus.

    • Wählen Sie Übereinstimmungen oder Enthält. Wenn Sie Übereinstimmungen auswählen, muss die angegebene Zeichenfolge genau mit dem ausgewählten Feld übereinstimmen. Wenn Sie Enthält auswählen, muss die angegebene Zeichenfolge als Teilzeichenfolge im ausgewählten Feld angezeigt werden.

    • Geben Sie im Bearbeitungsfeld eine Zeichenfolge zum Filtern von Protokolldateien ein und klicken Sie auf Hinzufügen.

    Klicken Sie auf OK und Ihre Bedingung wird dem Filter hinzugefügt. Sie können mehrere Filter hinzufügen. Eine "oder"-Bedingung wird auf die Liste der Filter angewendet, daher spielt die Reihenfolge der Filter keine Rolle.

    Hinweis:

    Aktivieren Sie das Kontrollkästchen und klicken Sie auf die Schaltfläche Löschen, um einen Filter zu entfernen.
    Abbildung 4: Erstellen eines Protokollfilters Create Log Filter
  7. Auf der Seite Schweregradzuweisung weisen Sie einem Ereignis basierend auf den von Ihnen konfigurierten Filterparametern einen Schweregrad zu.

    Klicken Sie auf die Schaltfläche Hinzufügen, und legen Sie die folgenden Bedingungen fest:

    • Wählen Sie einen Schweregrad aus. Folgende Optionen stehen zur Verfügung: Gutartig, Niedrig, Mittel, Hoch und Kritisch.

    • Wählen Sie ein Feld aus der Pulldown-Liste aus, um den Schweregrad für dieses Feld festzulegen.

    • Wählen Sie Übereinstimmungen oder Enthält. Wenn Sie Übereinstimmungen auswählen, muss die angegebene Zeichenfolge genau mit dem ausgewählten Feld übereinstimmen. Wenn Sie Enthält auswählen, muss die angegebene Zeichenfolge als Teilzeichenfolge im ausgewählten Feld angezeigt werden.

    • Geben Sie im Bearbeitungsfeld eine Zeichenfolge zum Filtern von Protokolldateien ein und klicken Sie auf Hinzufügen.

      Wenn Sie beispielsweise fertig sind, haben Sie möglicherweise Folgendes festgelegt: Feld "threat_name" enthält "Adware" = Niedriger Schweregrad, aber Satz "threat_name" enthält "Virus" = Hochgrad.

    Klicken Sie auf OK, und die Einstellung für den Schweregrad wird hinzugefügt.

    Hinweis:

    Sie können die Einstellungen für den Schweregrad per Drag & Drop in die Listenansicht auf der Hauptseite ziehen, um die Reihenfolge zu ändern. Bei der Schweregradzuweisung spielt die Reihenfolge eine Rolle. Die erste Übereinstimmung ist diejenige, die den Schweregrad zuweist.

    Abbildung 5: Konfigurieren des Schweregrads des Ereignisses Configure Event Severity
    Abbildung 6: Hauptseite Severity Assignment Main Page der Schweregradzuweisung
  8. Klicken Sie auf Fertig stellen, und Ihnen werden die Ergebnisse Ihres benutzerdefinierten Parsers angezeigt, während sie auf die bereitgestellten Beispielprotokolle angewendet werden. Bitte überprüfen Sie dies sorgfältig, um festzustellen, ob Ihre Zuordnung, Filterung und Schweregradzuweisung den Erwartungen entsprechen.

Wenn Sie mit der Konfiguration des benutzerdefinierten Protokollparsers fertig sind, werden die von Ihnen erstellten Filter kombiniert, um nur die Protokolle zu speichern, die Sie mit einer Einstellung für die Bedrohungsstufe basierend auf den von Ihnen konfigurierten Kriterien angegeben haben.

Verwenden des Protokollparsers

Nachdem Sie den benutzerdefinierten Protokollparser konfiguriert haben, müssen Sie ihn auf den ATP Appliance Event Collector anwenden.

  1. Navigieren Sie zur Konfigurationsseite Config>Environmental Settings>External Event Collectors (Konfiguration der Webbenutzeroberfläche von ATP Appliance Central Manager Externe Ereignissammler), und klicken Sie auf Drittanbieterquelle hinzufügen.
  2. Wählen Sie den Quellentyp aus. Sie müssen denselben Typ auswählen, den Sie bei der Konfiguration des benutzerdefinierten Protokollparsers ausgewählt haben: Firewall, Web-Gateway, Endpoint AV oder Endpoint Response.
  3. Im Feld "Anbietertyp" sollte der Name des benutzerdefinierten Protokollparsers angezeigt werden, den Sie erstellt haben. Wählen Sie es aus.
  4. Wählen Sie Log Collector aus, und geben Sie den Hostnamen des Computers ein, von dem das benutzerdefinierte Protokoll stammt.
  5. Konfigurieren Sie hier die restlichen Parameter, einschließlich des Standardschweregrads. Wenn der benutzerdefinierte Protokollparser mit keinem von Ihnen festgelegten Schweregrad übereinstimmt, wird hier stattdessen der Standardschweregrad verwendet.
  6. Unter "Incident erstellen" können Sie auswählen, ob die Ereignisse, die die benutzerdefinierte Parserfilterung durchlaufen, Incidents erzeugen sollen. Unabhängig von dieser Einstellung werden Ereignisse in der Ereigniszeitachse angezeigt und bieten Kontext für bösartige Ereignisse, die ungefähr zur gleichen Zeit auf demselben Endpunkt auftreten. Wenn das Feld "Aktiviert" ausgewählt ist, erstellen diese Ereignisse auch Incidents, die auf der Registerkarte "Incidents" angezeigt werden.
  7. Klicken Sie auf Hinzufügen, wenn Sie fertig sind.
    Abbildung 7: Hinzufügen eines externen Ereignissammlers Add External Event Collector

Benutzerdefinierte Protokollstatistiken

Wenn ein externer Ereignissammler für ein benutzerdefiniertes Protokoll erstellt wird, werden Leistungsindikatoren auf der Seite Externer Ereignissammler für diese Protokollquelle angezeigt. Die im Leistungsindikator angezeigten Informationen sind die Anzahl der Protokolle, die über Intervalle von 5 Minuten, 1 Stunde, 1 Tag, 1 Woche gesammelt wurden, und eine Gesamtanzahl, aufgeschlüsselt nach den Feldern, die Sie beim Erstellen des benutzerdefinierten Protokollparsers ausgewählt haben.

Die Protokollstatistik kann Folgendes umfassen:

  • Alle eingehenden Protokolle: Aggregiert (Lebensdauer), Letzte 5 Minuten, Letzte 1 Stunde, Letzte 24 Stunden und Letzte 7 Tage

  • Alle erstellten Ereignisse: Aggregiert (Lebensdauer), Letzte 5 Minuten, Letzte 1 Stunde, Letzte 24 Stunden und Letzte 7 Tage

  • Anzahl der analysierten Felder (Benutzer für die Zählung ausgewählt): In eingehenden Protokollen wird jeder angezeigte Wert zusammen mit der Anzahl der Male angezeigt, mit denen er insgesamt (Lebensdauer) aufgetreten ist - letzte Woche, letzter Tag, letzte Stunde und letzte 5 Minuten.

Klicken Sie auf der Seite "Externer Ereignissammler" auf den Link "Indikatoren", um Protokollstatistiken anzuzeigen.

Abbildung 8: Externer Ereignissammler – Zähler External Event Collector - Counter

Siehe auch