Journalisation SIEM Syslog, LEEF et CEF
La plate-forme Juniper ATP Appliance collecte, inspecte et analyse les menaces web, fichiers et e-mail avancées et furtives qui exploitent et infiltrent les navigateurs clients, les systèmes d’exploitation, les e-mails et les applications. La détection des attaques malveillantes par Juniper ATP Appliance génère des détails sur les incidents et les événements qui peuvent être envoyés aux plates-formes SIEM connectées aux formats CEF, LEEF ou Syslog. Ce guide fournit des informations sur la collecte d’incidents et d’événements à l’aide de ces formats.
Juniper ATP Appliance génère des journaux LEEF ou CEF pour les incidents de téléchargement (DL) et d’infection (IN), y compris le phishing (PHS, DL + PHS), pour les types d’événements suivants.
http ://http://www.http:// e-mail | cnc | soumission | exploit | vol de données
Note:Les journaux CEF basés sur DL (Téléchargement) contiennent le hachage et le type de fichier du fichier malveillant téléchargé. Les journaux CEF basés sur IN (Infection) ne fournissent pas de hachage ni de type de fichier.
Les informations d’identité sont également envoyées dans le cadre du SIEM. Reportez-vous aux informations d’intégration d’Active Directory, aux options de collecteur externe et aux autres options Advanced Threat Analytics et de filtrage anti-SIEM disponibles dans le Guide de l’opérateur.
Ce guide se concentre sur les sorties CEF, LEEF et Syslog pour la cartographie et l’intégration SIEM. Juniper ATP Appliance fournit également des résultats d’API HTTP basés sur JSON et des notifications TEXTE ASCII qui ne sont pas abordés dans ce guide ; reportez-vous au guide d’API HTTP de Juniper ATP Appliance pour plus d’informations.
En outre, l’appliance Juniper ATP a étendu la fonctionnalité Syslog dans une version précédente et ajouté plus de détails à la messagerie Syslog. Des alertes Syslog sont envoyées pour les types d’incidents et d’événements suivants :
Téléchargements
Infections
Exploits
Téléchargements d’e-mails
Phishing
Téléchargements de fichiers (analyse des logiciels malveillants)
Vol de données
Informations sur l’identité des terminaux
Juniper ATP Appliance a ajouté des champs supplémentaires à la sortie Syslog, tels que externalId (ID d’incident), ID d’événement (ID d’événement), etc. Tous les champs supplémentaires sont inclus dans ce document.
Juniper ATP Appliance Central Manager WebUI Config> Notifications> SIEM Settings permet de configurer les notifications d’audit des événements et du système pour les serveurs SIEM CEF, LEEF ou SYSLOG SIEM. À leur tour, les serveurs doivent être configurés pour recevoir les notifications de l’appliance Juniper ATP aux formats CEF, LEEF et Syslog (fournir le nom d’hôte et le numéro de port pour Syslog).
Configurez les paramètres SIEM afin d’envoyer des notifications d’événements ou d’audit système aux hôtes désignés sous forme de journals au format CEF, LEEF ou Syslog.
SIEM
Notez que si vous sélectionnez Syslog comme paramètre SIEM lors de la configuration des alertes d’intégrité du système, vous pouvez inclure le nom de l’hôte ou le nom du processus dans les messages Syslog envoyés depuis l’appliance Juniper ATP : Show Hostname et Show Process Name :
Pour créer une nouvelle notification SIEM :
Accédez à la page Config>Notifications et sélectionnez Siem Settings (Paramètres SIEM) dans le menu du panneau de gauche.
Cliquez sur Add New SIEM Connector (Ajouter un nouveau connecteur SIEM) pour configurer un nouvel événement, un audit système ou une notification de journal d’intégrité du système au format CEF, LEEF ou Syslog.
Sélectionnez l’une des options disponibles et cliquez sur Ajouter pour terminer la configuration et ajouter la nouvelle configuration du connecteur SIEM à la liste DES SIEM actifs.
Utiliser le event_id d’alerte cef ou incident_id pour afficher les détails dans l’interface utilisateur Web
Pour une incident_id ou une event_id, vous pouvez utiliser les URL suivantes pour afficher des détails relatifs dans l’interface utilisateur Web de l’appliance Juniper ATP.
Remplacez « JATP_HOSTNAME_HERE » par le nom d’hôte de votre appliance Juniper ATP et remplacez « 000000 » par le event_id ou le incident_id.
https://JATP_HOSTNAME_HERE/admin/index.html?incident_id=000000
https://JATP_HOSTNAME_HERE/admin/index.html?event_id=000000
Si aucune session de connexion n’est actuellement active, le système vous invite à saisir un identifiant/mot de passe.
Pour afficher, supprimer ou modifier une configuration de connecteur SIEM actif :
Pour afficher un rapport récent, supprimer ou modifier une configuration SIEM existante, cliquez sur Afficher, Supprimer ou Modifier, respectivement, dans le tableau SIEM actif pour une ligne de configuration sélectionnée.
Modifiez, modifiez ou supprimez les paramètres et les champs actuels comme vous le souhaitez, puis cliquez sur Enregistrer.
Options de configuration des notifications d’alerte
Les notifications d’alertes pour les événements SIEM ou les audits système ne sont disponibles que si les paramètres de messagerie sortant sont configurés à partir du menu Configuration>Système.
Les descriptions des paramètres d’alerte d’événements sont fournies dans les tableaux suivants.
Type |
Sélectionnez le type de notification de connecteur SIEM à configurer : Événement |
Format |
Sélectionnez CEF ou Syslog comme format de sortie de notification. |
Gravité des programmes malveillants |
Pour filtrer les notifications de journaux en fonction des résultats de la gravité des programmes malveillants, choisissez : Tous les logiciels malveillants | Critique, élevé ou med | Critique ou élevé |
Générer sur |
Sélectionnez Trigger ou By Schedule pour définir la méthode de génération d’un journal d’événements SIEM. Si l’option « Par annexe » est sélectionnée, sélectionnez un jour, puis saisissez une heure au format 00 h 00 ou 0 h 00 pour définir le jour et l’heure à laquelle l’alerte doit être générée. |
Nom de l’hôte |
Saisissez le nom d’hôte du serveur CEF ou Syslog. |
Numéro de port |
Saisissez le numéro de port du serveur CEF ou Syslog. |
Type |
Sélectionnez le type de notification SIEM à configurer : Audit système |
Format |
Sélectionnez CEF ou Syslog comme format de sortie de notification. |
Type d’événement |
Sélectionnez le ou les types d’événements à inclure dans la notification d’alerte : Connexion/Déconnexion | Échec des connexions | Ajouter/mettre à jour des utilisateurs | Paramètres système | Redémarre |
Format |
Sélectionnez CEF ou Syslog comme format de sortie du journal. |
Générer sur |
Sélectionnez Trigger ou By Schedule pour définir la méthode de génération d’un journal d’audit du système SIEM. Si l’option « Par annexe » est sélectionnée, sélectionnez un jour, puis saisissez une heure au format 00 h 00 ou 0 h 00 pour définir le jour et l’heure à laquelle l’alerte doit être générée. |
Type |
Sélectionnez le type de journal du connecteur SIEM à configurer : Intégrité du système |
Santé |
Sélectionnez le ou les types de rapport d’intégrité à inclure dans le journal SIEM : Santé globale | Retard de traitement |
Format |
Sélectionnez CEF ou Syslog comme format de sortie du journal. Notez que si vous sélectionnez Syslog comme paramètre SIEM lors de la configuration des alertes d’intégrité du système, vous pouvez afficher ou masquer le nom d’hôte ou le nom du processus dans les messages Syslog envoyés depuis l’appliance Juniper ATP : show hostname et Show Process Name. |
Générer sur |
Sélectionnez Trigger ou By Schedule pour définir la méthode de génération d’un journal d’audit du système SIEM. Si l’option « Par annexe » est sélectionnée, sélectionnez un jour, puis saisissez une heure au format 00 h 00 ou 0 h 00 pour définir le jour et l’heure à laquelle l’alerte doit être générée. |
Serveur Syslog Trap Sink
Lors de la configuration d’une appliance Juniper ATP pour générer des notifications d’alerte au format CEF ou Syslog, un administrateur doit confirmer que le serveur SIEM trap-sink rsyslog prend en charge le CEF. La sortie du CEF est accessible pour l’analyse uniquement sur le serveur rsyslog et ne peut pas être consultée à partir de l’interface CLI ou de l’interface web de l’appliance Juniper ATP.
Format CEF, LEEF et Syslog
Le format d’événement commun (CEF) et le format LEEF (Log Event Extended Format) sont des formats syslog standard ouverts pour la gestion des journaux et l’interopérabilité des informations de sécurité provenant de différents équipements, appliances réseau et applications. Ce format de journal ouvert est adopté par Juniper ATP Appliance pour l’envoi d’événements malveillants, d’audits système et de notifications d’intégrité du système vers le canal configuré.
LEEF FORMAT
Lorsque les événements LEEF sont reçus, QRadar analyse le trafic et inspecte le trafic d’événements pour identifier le trafic de l’équipement ou de l’appliance d’envoi. Lorsque l’analyse du trafic identifie une source d’événements, les 25 premiers événements sont catégorisés en tant qu’événements SIM DSM de journal générique, le nom de l’événement étant défini en tant qu’événement de journal inconnu. Une fois le trafic d’événements identifié, QRadar crée une source de journal pour catégoriser et étiqueter les événements transférés depuis l’appliance ou le logiciel d’envoi. Les événements envoyés par l’équipement d’envoi sont consultables dans QRadar sur l’onglet Activité du journal.
Pour plus d’informations, reportez-vous au guide LEEF (Log Event Extended Format) QRadar à l’adresse https://www.ibm.com/support/knowledgecenter/SS42VS_DSM/b_Leef_format_guide.pdf .
Pour plus d’informations sur l’installation du plug-in DSM de l’appliance Juniper ATP, reportez-vous à la section Installation du DSM QRadar Juniper ATP Appliance pour les alertes LEEF.
CEF FORMAT
Le format CEF standard est :
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
Le format CEF de Juniper ATP Appliance est le suivant :
CEF:0|JATP|Cortex|<JATP version 5.0>|<event type: http,email,datatheft...>|<malware name>|<incident risk mapping to 0- 10>|externalId=<JATP Incident ID> eventId=<JATP event ID> <ExtensionField=value...>...
Le format CEF contient les informations les plus pertinentes sur l’événement malveillant, l’audit du système ou l’intégrité du système, ce qui permet aux utilisateurs d’événements d’analyser et d’utiliser les données de manière interopérable. Pour intégrer des événements, le format de message syslog est utilisé comme mécanisme de transport. Ce mécanisme est structuré de manière à inclure un préfixe commun appliqué à chaque message, et contient la date et le nom d’hôte comme indiqué ci-dessous :
<timestamp in UTC> host <message> where message=<header>|<extension>
Voici le préfixe commun comme illustré dans Splunk :
<Timestamp in UTC> <server-fully-qualified domain name of the Juniper ATP box> <CEF format>
Voici le format d’en-tête prioritaire pour Syslog :
<Syslog Priority> Timestamp Hostname Processname: SyslogContent
La priorité Syslog est 134.
Syslog Facility est au niveau de l’utilisateur et la gravité syslog est avis. Le nom d’hôte et le nom du processus sont configurés à partir de la page de configuration des paramètres SIEM en vérifiant les options Show Hostname et Show Process Name (voir figure ci-dessus).
Les définitions des champs CEF principaux ainsi que le champ d’extension CEF Key=Value Pair Définitions sont fournies dans les sections suivantes.
Définitions des champs du CEF
Définition |
Définition |
|---|---|
Version |
Un nombre entier qui identifie la version du format CEF. Ces informations permettent de déterminer ce que représentent les champs suivants. Exemple : 0 |
Version de l’équipement du fournisseur d’équipements |
Chaînes qui identifient de manière unique le type d’équipement d’envoi. Pas deux produits Déc utilisent la même paire équipement-fournisseur et équipement-produit, bien qu’il n’y ait pas d’autorité centrale qui gère ces paires. Assurez-vous d’attribuer des paires de noms uniques. Exemple : JATP| Cortex|3.6.0.12 |
ID de signature/ID de classe d’événement |
Identifiant unique au format CEF qui identifie le type d’événement. Il peut s’agir d’une chaîne ou d’un nombre entier. L’ID de classe d’événements identifie le type d’événement signalé. Exemple (l’un de ces types) : http |email| cnc| soumission| exploit| datatheft |
Nom du malware |
Chaîne indiquant le nom du malware. Exemple : TROJAN_FAREIT. DC |
Cartographie des risques de gravité/incident |
Un nombre entier qui reflète la gravité de l’événement. Pour l’appliance Juniper ATP CEF, la valeur de gravité est une plage de risque d’incident allant de 0 à 10 Exemple : 9. |
ID externe |
Le numéro d’incident de l’appliance Juniper ATP. Exemple : externalId=1003 |
ID d’événement |
Id d’événement de l’appliance Juniper ATP. Exemple : eventId=13405 |
Extension |
Une collection de paires clé-valeur ; les clés font partie d’un ensemble prédéfini. Un événement peut contenir n’importe quel nombre de paires clé-valeur dans n’importe quel ordre, séparés par des espaces.
Note:
Consultez les définitions de ces étiquettes de champ d’extension fournies dans la section : CEF Extension Field Key=Value Pair Definitions. |
Le format d’horodatage pour Syslog est M D H:i:s
Exemple de notification CEF pour l’appliance Juniper ATP
L’exemple ceF suivant est défini par champ et par étiquette :
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
Le format CEF de Juniper ATP Appliance est le suivant :
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10 malwareSeverity=0.5
malwareCategory=Trojan_DataTheft cncServers=50.154.149.189
Nov 23 17:36:39 10-3 : Timestamp in UTC 2016-01-23 17:36:39.841+00
tap00.test.JATP.net : Server-fully-qualified domain name of the JATP box
CEF:0 : CEF version is 0
JATP : Device vendor is Juniper
Cortex : Device product is Cortex
5.0 : Device version (Version number as shown in the GUI)
cnc : Type of event
TROJAN_Zemot.CY : Name of the malware
7 : Severity (range between 0-10)
995 : External ID
123 : Event ID
2016-01-23 17:36:39.841+00 : Last Activity Time stamp
50.154.149.189 : Source IP Address
192.168.1.10 : Destination IP Address
0.5 : Malware Severity Rating
Trojan_DataTheft : Malware Category
31.170.165.131 : CnC server IP Address