Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Aruba Introspect

Aruba Introspect용 JSA DSM은 Aruba Introspect 장치에서 이벤트를 수집합니다.

다음 표에는 Aruba Introspect DSM의 사양이 설명되어 있습니다.

표 1: Aruba Introspect DSM 사양

사양

제조업체

아루바

DSM 이름

Aruba Introspect

RPM 파일 이름

DSM-ArubaIntrospect--JSA_versionbuild_ number.noarch.rpm

지원되는 버전

1.6

프로토콜

Syslog

이벤트 형식

이름-값 쌍(NVP)

기록된 이벤트 유형

보안

시스템

내부 활동

반출

감염

명령 및 제어

자동 검색됨

ID 포함

아니요

사용자 지정 속성을 포함합니까?

아니요

추가 정보

https://www.arubanetworks.com

Aruba Introspect를 JSA와 통합하려면 다음 단계를 완료하십시오.

  1. 자동 업데이트가 활성화되지 않은 경우 주니퍼 다운로드에서 최신 버전의 RPM을 다운로드하십시오.

    • DSMCommon RPM

    • ArubaIntrospect DSM RPM

  2. syslog 이벤트를 JSA로 전송하도록 Aruba Introspect 디바이스를 구성합니다.

  3. JSA가 로그 소스를 자동으로 감지하지 못하는 경우 JSA 콘솔에 Aruba Introspect 로그 소스를 추가합니다. 다음 표에서는 Aruba Introspect 이벤트 수집에 특정 값이 필요한 매개 변수에 대해 설명합니다.

    표 2: Aruba Introspect DSM 사양

    매개 변수

    로그 소스 유형

    Aruba Introspect

    프로토콜 구성

    Syslog

    로그 소스 식별자

    로그 원본의 고유 식별자입니다.

  4. JSA가 올바르게 구성되었는지 확인하려면 다음 표를 검토하여 구문 분석된 이벤트 메시지의 예를 확인하십시오.

    다음 표에는 Aruba Introspect에 대한 샘플 이벤트 메시지가 나와 있습니다.

    표 3: Aruba Introspect 샘플 이벤트 메시지

    이벤트 이름

    낮은 수준의 범주

    샘플 로그 메시지

    클라우드 반출

    의심스러운 활동

    		 
    May 6 20:04:38 <Server>
May 7 03:04:38 lab-an-node
msg_type=alert detection_time=
"2016-05-06 20:04:23 -07:00"
alert_name="Large DropBox
Upload" alert_type="Cloud
Exfiltration" alert_category=
"Network Access" alert_severity=60
alert_confidence=20 attack_stage
=Exfiltration user_name=<Username>
src_host_name=example.com
src_ip=<Source_IP_address>
dest_ip=Destination_IP_address1>,
<Destination_IP_address2>,...
description="User <Username>
on host example.com uploaded
324.678654 MB to Dropbox on
May 05, 2016; compared with
users in the whole Enterprise
who uploaded an average of
22.851 KB during the same day"
alert_id=xxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxx_xxxxxxxx
xxxxxxxx_Large_DropBox_Upload

JSA와 통신하도록 Aruba Introspect 구성

JSA가 Aruba Introspect에서 이벤트를 수집하려면 먼저 JSA에 이벤트를 전송하도록 Aruba Introspect를 구성해야 합니다.

  1. Aruba Introspect Analyzer에 로그인합니다.

  2. 전달을 구성합니다.

    1. System Configuration(시스템 구성) > Syslog Destinations(Syslog 대상)를 클릭합니다.

    2. 다음 전송 매개 변수를 구성합니다.

    표 4: Aruba Introspect 분석기 전달 매개변수

    매개 변수

    Syslog 대상

    JSA 이벤트 컬렉터의 IP 또는 호스트 이름.

    프로토콜

    TCP 또는 UDP

    포트

    514

  3. 알림을 구성합니다.

    1. System Configuration(시스템 구성) > Security Alerts / Emails(보안 경고/이메일) > Add New(새로 추가)를 클릭합니다.

    2. 다음 전송 매개 변수를 구성합니다.

    표 5: Aruba Introspect 분석기 알림 매개변수

    매개 변수

    Enable Alert Syslog Forwarding(경고 Syslog 전달)

    Enable Alert Syslog Forwarding(경고 Syslog 전달 사용) 확인란을 활성화합니다.

    알림 보내기

    경고가 생성될 때.

    실시간 스트림 대신 일괄적으로 전송하도록 이 설정을 맞춤설정할 수 있습니다.

    시간대

    현지 시간대입니다.
    참고:

    Query(쿼리), Severity(심각도) 및 Confidence(신뢰도) 값을 기본값으로 두어 모든 경고를 보냅니다. 이러한 값은 경고의 하위 집합만 필터링하고 JSA에 보내도록 사용자 지정할 수 있습니다.

문제 해결에 도움이 되도록 /var/log /notifier.log 파일에서 전달 로그를 확인할 수 있습니다.

3단계에 설명된 대로 새 알림이 생성되면 쿼리, 심각도신뢰 도 필드와 일치하는 지난 주에 대한 경고가 전송됩니다.