Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

カスタム ログ インジェスト

カスタムログ取り込みは、Juniper Advanced Threat Preventionソフトウェアリリースバージョン5.0.4で導入されました。

カスタムログの取り込みについて

カスタム ログ インジェストの概要

カスタムログ取り込み機能を使用すると、提供されたサンプルログを使用して、ATPアプライアンスアプライアンス上に独自のログパーサーを作成できます。これにより、既存のATP Applianceログパーサーでサポートされていないベンダーのログを使用できるようになります。サンプルログのフィールドをATP Applianceイベントフィールドにマッピングすることで、インシデントを生成するイベントの種類を示す独自のカスタムパーサーを作成します。また、受信ログの統計を表示したり、収集されたログを削除したりすることもできます。

ログパーサーを設定する

次の手順を使用して、独自のカスタム ログ パーサーを作成します。

  1. ATP Appliance Central Manager Web UI Config>環境設定>カスタム外部イベントコレクター」構成ページに移動し、「作成」をクリックします。
  2. [新しいソースの作成] ページで、次の情報を入力します。
    • [名前] - ログの一意でわかりやすい名前を作成します。

    • 説明:ログ ファイルの説明を入力します。(このフィールドはオプションです)。

    • タイプ:ファイアウォール、ウェブゲートウェイ、エンドポイントAV、エンドポイントレスポンス、またはIPSの選択肢からログのタイプを選択します。

    必須フィールドに入力したら、[次へ] をクリックします。

    図 1: カスタム・ログ・ソース Configure Custom Log Sourceの構成
  3. [ログ ファイルの解析] ページで、次の操作を行います。
    • 生のログ ファイルを参照してアップロードするか、[参照] ボタンの下にあるフィールドに貼り付けます。

      メモ:

      ログ ファイルには、RFC に準拠した syslog ヘッダーが含まれている必要があります。

    • 表示された選択肢から、ログファイルの形式をATPアプライアンスに伝えます。XML、JSON、CSV、または [その他] を選択できます。

      図 2: カスタム ログ ファイル Provide Custom Log Fileの提供

      XML ログ

      XML ログの例を次に示します。

      JSONログ

      JSON ログの例を次に示します。

      CSV フォーマット

      ログ ファイルが CSV 形式の場合は、[CSV ヘッダー] フィールドにフィールド名のコンマ区切りリストを指定できます。CSV ヘッダーが指定されていない場合、フィールドの名前は csv[N] (N はフィールドの位置) になります。

      CSV 形式の場合、PAN ログの例を次に示します。

      その他 - グロクパターン

      「その他」を選択した場合は、ログ・ファイルの grok パターンを指定する必要があります。grok パターンは、1 つ以上の行で構成されます。"LOGPATTERN" で始まる grok パターン行は、ログに適用されるパターンです。grok パターンには LOGPATTERN という名前のパターンが含まれている必要があり、それ以外の場合、パーサーには使用するパターンがありません。例えば:

      Grok パターンの場合、Symantec EP ログの例を次に示します。

    [次へ]をクリックすると、ATP Applianceは提供されたログファイルデータを解析して検証します。

  4. 左側の [フィールド マッピング] ページで、ログ ファイルから解析されたフィールドの横にあるチェック ボックスを 1 つ以上オンにします。右側では、提供されたオプションからフィールドの事前定義された説明を選択します。たとえば、左側の「interface_ip」というフィールドを、「エンドポイントIP」という右側のATP Applianceフィールドにマッピングできます。

    チェック ボックスをオンにしたら、[マップ] ボタンをクリックしてフィールドをリンクします。マップされたフィールドがページの別のセクションに表示され、相互にマップされたすべてのフィールドが一覧表示されます。

    メモ:

    [フィールド マッピング] ページに関する次の詳細に注意してください。

    • [マップされたフィールド] セクションの円形の矢印を使用して、マッピングを元に戻します。

    • [マップされていないフィールド] セクションのフィルター アイコンをクリックして、検索するテキストを入力します。

    • 左側から複数のフィールドを選択し、右側から 1 つのフィールドにマップできます。これを行うと、「並べ替え」アイコンが表示されます。並べ替え機能を使用して、複数のフィールドに有効な値が含まれているかどうかに基づいて、複数のフィールドを適用する順序を選択します。

    • 「カウンター」チェックボックスを選択して、フィールドの出現回数をカウントします。その後、このカウンターの結果を [外部イベント コレクター] ページで表示でき、パーサーの完了後に構成します。

      カウントするフィールドを選択するときは、IP アドレスなどの項目はログ ファイルに遍在し、スケーラブルではない可能性があるため、選択しないことをお勧めします。

    すべてのフィールドがマッピングされたら、[次へ] をクリックします。

    図 3: マップ ログ ファイルのフィールド Map Log File Fields
  5. ログ ファイルで RFC 3164 または RFC 5424 で規定されている標準時刻が使用されている場合は、[日付と時刻] ページにテキストを入力する必要はありません。これらのヘッダーは自動的に解析されます。タイムスタンプを解析できない場合は、Ruby strftimeを使用してフォーマット文字列を指定し、ATP Applianceがログファイル内の日付と時刻をイベント開始時刻として解釈できるようにします。

    日付と時刻の形式の詳細:

    • Ruby strftime 形式に関する情報はここにあります: https://ruby-doc.org/core-2.3.0/Time.html#method-i-strftime

    • サポートされている日付と時刻の形式の例は次のとおりです。

      ISO 8601:

      RFC 2822:

      RFC 3339:

      RFC 3164 syslogヘッダー:

      RFC 5424 syslogヘッダー:

  6. [ログ フィルタリング(Log Filtering)] ページでは、保持するログと無視できるログを決定する際に、悪意のあるイベントとそうでないイベントを ATP アプライアンスに伝えるフィルタを作成できます。これにより、「ノイズが多く」、特に重要ではないログが削除され、悪意のあるイベントに関連するログが保持されます。

    これらのフィルターを使用すると、入力する文字列に対して "完全一致" フィルターまたは "次を含む" フィルターを選択できます。

    [追加]ボタンをクリックし、フィルタリング条件を次のように設定します。

    • プルダウン・リストからログファイル・フィールドを選択します。

    • [一致] または [次を含む] を選択します。[一致] を選択した場合、指定する文字列は選択したフィールドと完全に一致する必要があります。[次を含む] を選択した場合、指定した文字列は、選択したフィールド内に部分文字列として表示される必要があります。

    • 編集フィールドに、ログファイルをフィルタリングするための文字列を入力し、[追加] をクリックします。

    [OK] をクリックすると、条件がフィルターに追加されます。複数のフィルターを追加できます。フィルターのリストには "or" 条件が適用されるため、フィルターの順序は重要ではありません。

    メモ:

    チェックボックスをオンにし、[削除] ボタンをクリックしてフィルターを削除します。

    図 4: ログ フィルター Create Log Filterの作成
  7. [重大度の割り当て] ページでは、構成したフィルター パラメーターに基づいてイベントに重大度レベルを割り当てます。

    [追加]ボタンをクリックし、次のように条件を設定します。

    • 重大度レベルを選択します。オプションは、良性、低、中、高、重大です。

    • プルダウン・リストからフィールドを選択して、そのフィールドの重大度レベルを設定します。

    • [一致] または [次を含む] を選択します。[一致] を選択した場合、指定する文字列は選択したフィールドと完全に一致する必要があります。[次を含む] を選択した場合、指定した文字列は、選択したフィールド内に部分文字列として表示される必要があります。

    • 編集フィールドに、ログファイルをフィルタリングするための文字列を入力し、[追加] をクリックします。

      たとえば、完了したら、フィールド "threat_name" に "アドウェア" = 低重大度が含まれ、設定 "threat_name" に "ウイルス" = 高重大度が含まれている可能性があります。

    [OK] をクリックすると、重大度レベルの設定が追加されます。

    メモ:

    メインページのリストビューに重大度レベルの設定をドラッグアンドドロップして、順序を変更できます。重大度の割り当てでは、順序が重要です。最初の一致は、重大度を割り当てる一致です。

    図 5: イベントの重大度 Configure Event Severityの設定
    図 6: 重要度の割り当てメイン ページ Severity Assignment Main Page
  8. 「完了」をクリックすると、カスタム・パーサーの結果が、提供されたサンプル・ログに適用されるときに表示されます。これを慎重に確認して、マッピング、フィルタリング、および重大度の割り当てが期待どおりであるかどうかを確認してください。

カスタム ログ パーサーの構成が完了すると、作成したフィルターが組み合わされ、構成した条件に基づいて脅威レベル設定で指定されたログのみが保存されます。

ログパーサーを使用する

カスタムログパーサーを構成した後、それをATPアプライアンスイベントコレクターに適用する必要があります。

  1. ATP Appliance Central Manager Web UI Config>環境設定>外部イベント・コレクター」構成ページに移動し、「サード・パーティー・ソースの追加」をクリックします。
  2. [ソースの種類] を選択します。カスタム ログ パーサーを構成したときに選択したのと同じ種類 (ファイアウォール、Web ゲートウェイ、エンドポイント AV、またはエンドポイント応答) を選択する必要があります。
  3. [ベンダーの種類] フィールドに、作成したカスタム ログ パーサーの名前が表示されます。それを選択します。
  4. [ログ コレクター] を選択し、カスタム ログの作成元のマシンのホスト名を入力します。
  5. デフォルトの重大度を含む残りのパラメータをここで設定します。カスタムログパーサーが設定した重大度と一致しない場合は、ここでのデフォルトの重大度が代わりに使用されます。
  6. [インシデントの作成] で、カスタム パーサー フィルター処理を通過するイベントでインシデントを作成するかどうかを選択できます。この設定に関係なく、イベントはイベントタイムラインに表示され、同じエンドポイントでほぼ同時に発生する悪意のあるイベントのコンテキストを提供します。[有効] フィールドが選択されている場合、これらのイベントは [インシデント] タブに表示されるインシデントも作成します。
  7. 完了したら、[追加] をクリックします。
    図 7: 外部イベント コレクター Add External Event Collectorの追加

カスタムログ統計

カスタム・ログ用に外部イベント・コレクターが作成されると、そのログ・ソースの「外部イベント・コレクター」ページにカウンターが表示されます。カウンターに表示される情報は、5 分、1 時間、1 日、1 週間の間隔で収集されたログの数と合計数で、カスタム ログ パーサーの作成時に選択したフィールド別に分類されています。

ログ統計には、次のものが含まれます。

  • すべての受信ログ: 集計 (ライフタイム)、過去 5 分間、過去 1 時間、過去 24 時間、過去 7 日間

  • 作成されたすべてのイベント:集計(ライフタイム)、過去 5 分間、過去 1 時間、過去 24 時間、過去 7 日間

  • 解析されたフィールド数(カウント用に選択されたユーザー): 受信ログから、表示される各値が、先週、最終日、先時間、および過去 5 分間の集計 (ライフタイム) で発生した回数とともに表示されます。

[外部イベント コレクター] ページで、[カウンター] リンクをクリックしてログ統計を表示します。

図 8: 外部イベント コレクター - カウンター External Event Collector - Counter