USM Appliance 部署和用户文档

USM Appliance 部署指导

系统概览

USM Appliance 部署

设置管理接口

注册USM Appliance

USM Appliance初始设置

初始向导

IDS 配置

VPN 配置

高可靠性配置

插件管理

USM Appliance 更新

Backup and Restoration

系统维护和远程支持和

系统概览

这是AlienVault USM Appliance的基本概述,因为它在您的环境中部署和使用。 系统概述中涵盖的各个主题包括以下内容:

  • 关于USM Appliance - 描述由于安全威胁和漏洞导致的业务环境中的当前风险,风险评估的作用,USM Appliance安全管理功能的概述,用于组织评估和降低风险,检测威胁和确定响应的优先级,以及实现合规性。
  • 关于USM Appliance系统体系结构和组件 - 提供USM Appliance体系结构的描述,包括主要系统组件和功
  • USM Appliance部署 - 提供有关安装和配置USM Appliance的最佳实践的说明。
  • 事件收集,处理和关联工作流 - 描述整个USM Appliance工作流程,从联网设备的原始日志数据收集到分析和确定各种威胁和漏洞的风险。

关于USM Appliance

适用于:USM Appliance™ , AlienVault OSSIM®

今天的企业面临着越来越多的威胁:

  • 基于网络的威胁 - 针对网络和网络基础设施。
  • 基于主机的威胁 - 针对单个主机。
  • 外部威胁 - 来自外部攻击者。
  • 内部威胁 - 来自内部攻击者。

虽然安全解决方案的目标是检测和防止此类威胁,但是没有任何网络可以完全受到保护。 出于这个原因,USM Appliance专注于降低风险,识别漏洞,检测威胁以及优先响应最高优先级的威胁和漏洞。 降低风险,识别漏洞和检测威胁的措施包括:

  • 确定指示可能的威胁或漏洞的事件模式。
  • 确定可能有害的攻击或妥协的风险。
  • 实施控制以解决报告的漏洞。
  • 采取行动应对已发现的攻击。
  • 对网络和基于主机的活动进行持续监控和报告

风险评估的作用

要正确保护您的基础架构,请首先对您的资产进行风险评估。 风险评估可帮助您确定网络中资产的相对重要性,这些资产与特定利用威胁相关的漏洞以及针对这些资产发生安全事件的可能性。 完成这些分析后,您可以设计安全策略,以响应各种威胁和漏洞带来的相对资产价值和利用风险。

强有力的安全策略专注于如何最好地保护您最重要和最具风险的资产。 例如,如果网络资源很关键并且攻击它的可能性很高,请集中精力创建监视此类攻击的安全策略,并制定响应计划。

USM Appliance如何帮助进行风险评估和缓解

USM Appliance使您能够识别关键资产并设置策略,以便在这些资产存在漏洞或遭受攻击时提醒您。 USM Appliance将根据与USM Appliance中捕获的任何给定安全事件相关的风险生成警报。

任何特定安全事件的重要性取决于三个因素:

  • 与事件关联的资产的值
  • 事件所代表的威胁
  • 事件发生的概率

这些因素是传统风险定义的基石:衡量威胁对您资产的潜在影响以及威胁执行的可能性。

USM Appliance中生成的每个事件都会根据其相关风险进行评估;换句话说,与风险资产成比例,事件所代表的威胁以及威胁是真实的概率。因此,USM Appliance使您能够识别所有高风险事件,其中一些将导致警报,并允许您正确确定响应的优先级。

USM Appliance如何帮助检测威胁并确定响应的优先级

下图突出显示了USM Appliance提供的功能和相关工具,可帮助您在自己的环境中执行安全管理任务。

资产发现(Asset Discovery) - 结合三种核心发现和库存技术,使您可以了解网络中的设备。 功能包括:

  • 主动和被动网络扫描
  • 资产清单
  • 服务清单

执行资产发现和清单是了解网络上的系统和设备的第一步。 USM Appliance结合了三种核心发现和库存技术,使您可以了解要监控的设备。

注意: AlienVault USM Appliance和AlienVaultOSSIM®包含许多用于资产和网络发现,枚举和漏洞扫描的内置工具。这些工具利用各种方法进行发现,通常通过模仿他们试图保护您的流量行为来确定您对此类流量的暴露程度。这使合法扫描的可能性被误解为恶意流量。

为了打击互联网上的恶意行为,一些互联网服务提供商和托管服务提供商在合同中增加了扫描限制。许多国家都制定了有关这些做法的法律。在许多情况下,违反这些规则的回应可能包括书面警告,合同取消,甚至是民事或刑事指控。因此,在尝试扫描内部网络空间之外的主机或网络之前,请咨询您的互联网服务提供商,托管服务提供商和当地政府,以确定任何法律或合同限制。

漏洞评估(Vulnerability Assessment ) - 使用未修补的软件,不安全的配置以及网络上的其他漏洞识别资产和设备。 功能包括:

  • 连续漏洞监控
  • 经过身份验证/未经身份验证的主动扫描
  • 补救验证

集成的内部漏洞扫描可让您及时了解网络中的漏洞,因此您可以优先考虑补丁部署和修复。 动态资产清单与漏洞数据库的持续关联可为您提供有关网络漏洞的最新信息,这些信息位于您的计划扫描之间。

注意事项同上

入侵检测 - 通过内置的安全监控技术,AlienVault Labs的新兴威胁情报以及快速补救的无缝闭环工作流,协调整个网络的事件响应和威胁管理。功能包括:

  • 基于网络的IDS(NIDS)
  • 基于主机的IDS(HIDS)
  • 文件完整性监控(FIM)

安装在服务器上的基于主机的代理中的内置文件完整性监控可提醒您未经授权修改系统文件,配置文件或内容。使用基于主机和网络的检测系统监控有线和无线网络上的网络访问,确定谁试图访问这些系统,文件和内容。

行为监控 - 识别异常情况和其他模式,以识别网络中新的未知威胁,以及授权用户和设备的可疑行为和违规行为。功能包括:

  • NetFlow分析
  • 服务可用性监控
  • 网络协议分析/数据包捕获

集成的行为监控可收集数据,帮助您了解“正常”系统和网络活动,从而在调查可疑操作问题或潜在安全事件时简化事件响应。完整的数据包捕获功能可以对网络流量进行完整的协议分析,从而可以全面重播潜在违规期间发生的事件。

安全信息和事件管理(SIEM) - 通过确定风险和响应的优先级来识别,包含和修复网络中的威胁。 功能包括:

  • 日志管理
  • 集成的OTX威胁数据
  • SIEM事件关联
  • 事件响应

您可以自动将日志数据与可操作的安全情报相关联,以识别策略违规并接收上下文相关和工作流驱动的响应过程。 您还可以使用经过数字签名的原始日志对事件进行取证分析。 原始日志还可用于满足证据保存的合规性要求。

基于Web的用户界面提供对AlienVault USM Appliance提供的所有安全管理功能的访问。 “USM Appliance用户指南”提供有关访问和使用USM Appliance中的所有工具以及从此用户界面执行特定安全管理操作的信息。

管理USM Appliance的法规遵从性

除常规安全管理操作外,USM Appliance还提供基本安全功能,帮助您实现法规遵从性。 通过其内置的资产发现,漏洞评估,入侵检测,行为监控,日志管理和文件完整性监控,USM Appliance可以帮助组织遵守PCI DSS,GLBA,ISO / IEC 27001,FISMA,NERC CIP等法规 ,FERPA和SOX。 USM Appliance还生成专门针对HIPAA,PCI,GLBA,ISO 27001,FISMA,NERC CIP,GPG13和SOX的内置报告。

此外,“使用USM Appliance进行PCI合规性”部分提供了有关使用USM Appliance帮助实现PCI DSS合规性的详细信息。 此信息也可用于满足其他标准的合规性规定。

关于AlienVault威胁情报

AlienVault Threat Intelligence通过Threat Intelligence Subscription集成到USM Appliance中,为USM Appliance提供了与当今市场上大多数其他安全管理解决方案不同的功能。 AlienVault威胁情报由AlienVault实验室安全研究团队开发,由OpenThreatExchange®(OTX™)提供支持,是关于网络面临的威胁的可操作信息,包括恶意行为者,他们的工具,基础设施和方法。 AlienVault威胁情报会告诉您威胁是什么,它来自何处,您环境中的哪些资产存在风险,以及如何应对。

AlienVault实验室

AlienVault Labs是AlienVault的内部威胁研究团队,由安全专家组成,他们对新出现的全球威胁和漏洞进行持续研究和分析。该团队不断监控,分析,逆向工程和报告复杂的零日威胁,包括恶意软件,僵尸网络和网络钓鱼活动。

该团队定期以相关指令,IDS签名,漏洞签名,资产发现签名,IP信誉数据,数据源插件和报告模板的形式向USM Appliance平台发布威胁情报更新。该团队还提供有关新兴威胁和特定于上下文的补救指南的最新指导,从而加速并简化威胁检测和响应。

AlienVault Labs团队还利用OTX的集体资源,OTX是世界上最大的众包威胁数据库,可提供对攻击趋势和恶意行为者的全局洞察。 AlienVault的安全专家团队分析,验证和策划OTX社区收集的全球威胁数据。

AlienVault实验室威胁研究团队通过提供理解和解决网络中最关键问题所需的威胁情报,提高了任何安全监控计划的效率。他们执行分析,允许您花费您的稀缺时间来修复和减轻威胁,而不是研究它们。

OpenThreatExchange®

Open Threat Exchange(OTX)是世界上最权威的开放式威胁信息共享和分析网络。 OTX提供对威胁研究人员和安全专业人员的全球社区的开放访问。它现在在全球拥有超过100,000名参与者,每天贡献超过1900万个威胁指标。它提供社区生成的威胁数据和 OTX pulses,支持协作研究,并使用来自任何来源的威胁数据自动更新安全基础架构。 OTX使安全社区中的任何人都能够积极地讨论,研究,验证和共享最新的威胁数据,趋势和技术,加强您的防御,同时帮助其他人做同样的事情。

OTX社区和相应的威胁数据是AlienVault Labs团队用于生成AlienVault威胁情报的关键数据源之一。 AlienVault Labs通过分析,验证和策划OTX社区提供的全球威胁数据,充分利用OTX的集体资源。

AlienVault OSSIM限制:AlienVault OSSIM不包括USM Appliance Logger。

什么是遥测收集及其工作原理

适用于:USM Appliance™ , AlienVault OSSIM®

在AlienVault,我们通过了解用户与USM Appliance平台的互动方式,不断努力改进USM Appliance。 通过匿名使用数据,我们将能够改善产品和用户体验。 在AlienVault USM Appliance 5.0版中,我们添加了可选的遥测收集功能,以帮助我们更好地了解客户如何使用我们的产品和服务。

Where Is the Telemetry Data Stored

AlienVault在内部服务器上接收并存储匿名遥测数据:telemetry.alienvault.com。 服务器证书由GoDaddy签名,所有USM Appliance实例都具有必要的证书,以便连接到此外部服务器。 遥测数据在当地时间周日凌晨2:00发送。

注意:如果您选择使用此功能,请确保更新防火墙规则以允许通过端口443向telemetry.alienvault.com发送出站连接。

遥测数据如何在分布式部署中聚集

如果您具有USM Appliance的分布式部署(例如,USM Appliance服务器,USM Appliance传感器和/或USM Appliance Logger),则USM Appliance服务器将从连接的USM Appliance实例收集遥测数据。换句话说,USM Appliance传感器和USM Appliance记录器本身不会发送遥测数据,但会通过USM Appliance服务器发送数据。
收集了哪些类型的数据

我们收集以下平台信息:

  • Average EPS (平均每秒事件数)
  • 已安装插件
  • 正在使用的插件
  • 安装内存
  • 内核配置信息
  • USM Appliance版本和日期最后更新
  • 部署架构
    • 受监控的资产数量
    • 配置的网络接口
    • USM Appliance类型
    • USM Appliance配置
    • USM Appliance实例正在使用中
    • USM Appliance传感器/远程传感器配置
    • 使用的核心数
  • 正在运行命令
  • 磁盘I / O.
  • 磁盘大小
  • Redis的健康状况
  • VPN正在使用中
  • 系统上的用户数
  • 使用AlienVault OTX™

您可以查看收集的匿名数据的示例文件。 要了解有关信息使用的更多信息,请查看我们的隐私政策。

启用/禁用遥测收集

  • 首次启用/禁用

部署并注册AlienVault USM Appliance系统后,第一次从Web UI访问它时,系统会提示您创建管理员帐户。 在页面底部,请注意“将匿名使用情况统计信息和系统数据发送到AlienVault以改进USM Appliance”选项。 默认选择它,这意味着将启用遥测收集。 要禁用遥测收集,请取消选择此选项。

  • 随时启用/禁用

可以在5.x版本中随时启用或禁用遥测收集。 在Web UI中,导航到Configuration> Administration> Main,然后打开User Activity选项。 找到“向AlienVault发送匿名使用情况统计信息和系统数据以改进USM Appliance”,选择“是”以启用,或选择“否”以禁用。

未经授权修改USM Appliance可能导致不稳定

AlienVault USM Appliance旨在为客户提供易于使用的解决方案,以帮助监控其基础架构的安全性。它们有三种形式:

  • Hardware appliances,
  • Virtual appliances
  • Amazon appliances.

这些 Appliance包括AlienVault操作系统和USM Appliance软件,可提供内置的UnifiedSecurityManagement®(USM)安全功能。

这些 Appliance包括从AlienVault控制台访问设备CLI的选项。这可以通过从AlienVault设置菜单中选择“越狱系统”选项来完成,该菜单提供对设备的有限shell访问。此选项可帮助客户解决网络问题,数据收集问题,并帮助AlienVault支持团队与您一起解决在处理支持案例时遇到的任何与产品相关的问题。

根据AlienVault条款和条件,AlienVault不允许修改系统级配置文件,数据库或用于提供产品提供的功能的基础工具。尽管AlienVault集成了各种开源工具,但USM Appliance使用的配置旨在提供产品文档中所述的显式功能。对操作系统,工具配置或软件所做的更改可能会破坏 Appliance的稳定性并阻止 Appliance正常工作。

对操作系统,工具配置或软件的修改可能导致不稳定,因此需要将 Appliance重置为出厂设置以解决它。 AlienVault不鼓励客户进行此类修改。如果有一个用例要求您越狱设备,我们建议您与我们分享用例的详细信息,我们将考虑将来发布该产品的想法。

我们的目标是提供一个简单,稳定,易用的安全平台,帮助您监控环境中的威胁。保持系统稳定并且不受此类修改将防止不必要的停机,性能问题和维护。

如果您有任何疑问,请联系AlienVault技术支持。

如何向AlienVault提交安全问题

我们一直致力于提高产品的安全性。 您,AlienVault社区,帮助我们为客户提供安全软件的能力 - 所以提前感谢!

发现了一个安全漏洞? 通过https://hackerone.com/alienvault_security上的HackerOne计划向我们透露。 您可以在此页面上找到我们目前正在进行的域名的更多信息。

我们正在寻找哪些漏洞信息?

提交问题时,请提供技术说明,以便我们评估问题的可利用性和影响,并在适当情况下包括以下内容:

提供重现问题所需的步骤和任何其他信息。
如果您要报告跨站点脚本(XSS),那么您的漏洞利用至少应该在浏览器中弹出警报。如果XSS漏洞利用显示用户的身份验证cookie,则会好得多。
对于跨站点请求伪造(CSRF),当第三方导致登录受害者执行操作时,请使用正确的CSRF案例。
对于SQL注入,我们希望看到漏洞提取数据库数据,而不仅仅是生成错误消息。
HTTP请求/响应捕获或简单的数据包捕获对我们也非常有用。

请不要向我们发送指向非AlienVault网站的链接,也不要向我们发送PDF / DOC / EXE文件中的问题。图像文件没问题。确保该错误可被用户以外的其他人利用(“自我XSS”)。

注意:我们无法回复通用扫描程序报告。 如果您有安全从业者检查通用扫描报告并且他们已经隔离了需要解决的特定漏洞,我们会要求您单独报告这些漏洞。

关于USM Appliance系统架构和组件

适用于:USM Appliance™ , AlienVault OSSIM®

作为统一的安全平台,USM Appliance将多种关键安全技术集成在一个集成平台中。 USM Appliance可以部署为单个设备,也可以分布在多个服务器(虚拟或硬件)上,以提供额外的可扩展性和可用性。 下图提供了AlienVault USM Appliance系统架构的高级概述。

USM Appliance架构的三个组件协同工作以监控环境并提供安全性

  • USM Appliance传感器 - 在整个网络中部署,用于收集和规范您希望使用USM Appliance管理的网络环境中任何设备的信息。 有多种插件可用于处理来自各种类型设备(如防火墙,路由器和主机服务器)的原始日志和数据。
  • USM Appliance服务器 - 聚合和关联USM Appliance传感器收集的信息。 (这是USM Appliance的SIEM功能。)通过基于Web的用户界面提供单一窗格管理,报告和管理。
  • USM Appliance记录器 - 安全地存档原始事件日志数据,用于取证研究和合规性要求。 (此原始事件数据存档也称为冷存储。)

基本的USM Appliance工作流程

USM Appliance在从网络设备收集原始数据时遵循一致的工作流程,然后将该数据解析并标准化为事件流,然后可以对其进行存储,过滤和关联,以识别威胁和漏洞。

  1. USM Appliance传感器被动地收集日志和镜像流量,并主动探测网络中的资产,以获取有关您环境中正在进行的当前网络活动的信息。
  2. USM Appliance传感器解析来自不同源的原始数据,并将其转换为事件流,每个事件都有一组共同的数据字段。 然后,它将事件发送到USM Appliance Server。
  3. USM Appliance Server将事件关联起来并评估其风险。
  4. USM Appliance服务器将事件发送到USM Appliance记录器,USM Appliance记录器以数字方式对其进行签名并将其存储以进行取证分析,归档和法规遵从性。

有关事件收集和处理的更深入描述,请参阅USM Appliance中的日志收集和规范化。 另请参阅策略管理和事件关联主题。

USM Appliance部署选项

AlienVault USM Appliance可以采用以下两种基本配置之一进行部署:

  • 简单部署模型 - 所有USM Appliance组件(传感器,服务器和记录器)都组合在USM Appliance多功能一体机中。 此配置最常用于较小的环境,以及演示和概念验证部署。
  • 多层,分布式部署模型 - 此模型将每个AlienVault USM Appliance组件(传感器,服务器和记录器)部署为单独的虚拟或硬件设备,以创建分布式系统拓扑。

分布式部署模型还有两个版本,USM Appliance Standard和USM Appliance Enterprise,它们通过为每个USM Appliance组件配置专用系统来提高可扩展性和性能。 有关USM Appliance部署模型和示例的更多详细信息,请参阅USM Appliance部署示例。

AlienVault OSSIM Limitations: AlienVault OSSIM doesn’t include the USM Appliance Logger.

事件收集,处理和关联工作流程

所有AlienVault USM Appliance的安全监控和管理功能源于其从设备收集数据的整体能力,将数据转换为定义事件的一组通用数据字段,然后处理,过滤和关联这些事件以识别潜在的威胁和漏洞 ,或实际发生的攻击。 USM Appliance还通过根据标的资产的价值,已识别威胁的来源和性质以及成功攻击的可能性分配风险值来评估事件的重要性和优先级。 有关以下主题,本节提供了有关此整体工作流程的更多详细信息:

  • 日志数据收集,解析和规范化
  • 事件处理和过滤
  • 事件关联,警报和通知
  • 事件可视化和分析

日志数据收集,解析和规范化

日志收集是AlienVault安全管理的根本。 AlienVault USM Appliance从各种来源收集日志:网络设备,如防火墙和路由器,主机服务器和系统,以及在服务器上运行的软件应用程序。某些设备(例如,支持Syslog协议的设备)配置为将其日志直接发送到USM Appliance传感器。对于其他设备,USM Appliance会退出并检索日志。在这两种情况下,日志中的数据都被标准化,以便在定义事件的公共数据字段中提取和存储信息:IP地址,主机名,用户名,接口名称等。这些是安全分析师可以在USM Appliance中分析的事件,用于发现威胁和漏洞,并评估组织的风险。
使用插件记录解析

在USM Appliance传感器上运行,AlienVault USM Appliance代理配置了一组不同的日志解析插件,这些插件定义了如何从特定设备,系统或应用程序收集日志,以及如何将日志数据转换为标准化事件数据将事件发送到USM Appliance服务器之前的字段。插件还控制传感器上的其他事件收集功能,例如入侵检测。 USM Appliance配备了许多常见数据源的插件。联系AlienVault为任何尚未存在插件的数据源或产品请求新插件。您还可以创建自己的自定义插件,或自定义USM Appliance的现有插件。

安全事件的规范化

无论日志消息的格式如何,某些数据(例如用户名或IP和MAC地址)在所有设备日志中都是通用的。从日志消息文本中提取这些值并将它们存储到匹配的公共字段中称为规范化。规范化允许您对从不同来源收集的事件执行查询(例如,“显示源IP为192.168.1.3的所有事件”。)虽然从设备收集的原始数据的格式可能不同,但是相似的信息设备存储在发送到USM Appliance服务器的事件的同一字段中。

日志被分解为它们的消息类型,并且来自它们的信息用于填充定义事件的标准字段集(例如,日期,传感器,plugin_id,优先级,src_ip,src_port,dst_ip,dst_port,username ,userdata1)。

注意:有关规范化事件字段的完整列表,请参阅查看事件详细信息。

事件处理和过滤

规范化从日志文件和其他来源获取的数据后,USM Appliance传感器会将安全事件传输到USM Appliance服务器。 USM Appliance Server还对传入事件执行了几项附加操作,包括:

  1. 解析事件优先级和可靠性 - 为每个事件类型分配一个优先级,它指示应该如何紧急调查事件,以及一个可靠性分数,用于评估事件是误报的可能性。
  2. 检查资产值以计算风险评分 - USM Appliance服务器维护网络上已知设备的清单,其中包含每个设备的相关资产值,并定义它们对组织的重要性。然后将该资产价值与事件的优先级和可靠性得分进行权衡,以产生风险值。较高的风险评分有助于分析师了解首先要检查的最重要因素。
    有关USM Appliance如何计算风险的详细信息,请参阅USM Appliance网络安全概念和术语。
  3. 事件分类法的应用 - 无论事件的来源或其原始数据格式如何,在许多系统类型中都存在通用的系统和网络事件。 AlienVault维护事件类型的分层分类(称为分类法),USM Appliance可以将策略和相关指令中的事件与之匹配。
  4. 交叉检查信誉数据 - USM Appliance服务器根据Internet地址的信誉数据库检查特定于每个事件的IP地址。标记匹配的IP地址以供将来参考和跟进。

执行这些操作后,USM Appliance服务器将根据指定的用户策略和过滤条件,将选定或合格的事件保存在SIEM事件数据库中,以便进一步分析和关联。事件数据库通常与USM Appliance服务器位于同一主机上,但在大型部署中,数据库可以安装在单独的主机上,以提高性能和容量。

事件关联,警报和通知

在USM Appliance服务器执行的基本处理,分析和过滤之后,选定或合格的事件将被输入AlienVault USM Appliance关联引擎。通过使用AlienVault USM Appliance关联,分析人员可以查找跨多个设备和系统类型的模式和事件序列。事件实际上可以由关联引擎多次处理,因为不同的关联规则可以采用与输入相同的事件。
关联指令会创建警报

随着事件继续进入关联引擎,USM Appliance会根据关联指令或规则中指定的事件条件生成警报:

  • 当满足相关指令的条件时,警报处理开始。
  • 警报可以在匹配特定条件的单个事件上触发,或者可能需要触发特定的事件序列。
  • 警报处理可能会持续数小时。出现在系统中的警报可能表明它们仍在处理其他传入事件以进一步证实检测。
  • 警报本身就是事件(指令事件),一旦被触发就可以提供给其他相关指令,因此您可以创建级联级别的警报。

此外,当您注册OpenThreatExchange®(OTX™)时,USM Appliance配置为从OTX接收原始“脉冲”数据和危害指示(IoC)。当USM Appliance检测到与您环境中的资产交互的相同IoC时,它会关联该数据并提醒您任何相关的OTX脉冲和与IP信誉相关的安全事件和警报。

登录USM Appliance后,您可以从USM Appliance仪表板中看到哪些OTX指示灯在您的环境中处于活动状态。当OTX中识别的恶意IP地址与您的任何系统资产通信时,或者当USM Appliance识别OTX中看到的任何其他IoC在您的网络中处于活动状态时,您将立即收到事件或警报形式的通知。

注意:有关如何处理和关联USM Appliance警报的详细信息,请参阅警报管理。

事件可视化和分析

从设备日志获取的事件以及由关联引擎本身生成的事件都可以从USM ApplianceWeb UI中进行搜索,查看和报告。 有两种不同的选项可用于访问和查看事件:

  • 安全事件视图,包含基于特定事件字段值搜索,过滤和分组事件的选项。 要使用此选项,请从Web UI中选择“分析”>“安全事件(SIEM)”。
  • 显示与特定时间范围的原始日志事件的视图。 要使用此选项,请从Web UI中选择“分析”>“原始事件”。

有关从USM ApplianceWeb UI查看事件和执行其他安全管理操作的详细信息,请参阅查看安全事件和查看并验证原始日志。

USM Appliance 部署

USM Appliance旨在提供易于部署且易于操作的安全管理解决方案。它特别适合中小型企业,类似于大型企业,需要确保其网络环境的安全性,但可能没有那么大的支持人员来设置和管理更复杂的安全管理系统。

除了比大多数替代系统更易于设置和操作外,USM Appliance还具有模块化架构,可灵活配置性能和容量。 USM Appliance多功能一体机将USM Appliance解决方案的所有组件组合在一台虚拟或硬件机器中。此外,根据您特定环境的当前或未来需求,您还可以在USM Appliance架构中扩展单个组件以在专用计算机上运行,添加传感器以从更多设备和网络收集日志,以及实现其他功能,例如高可用性,远程网络上的设备监控以及USM Appliance的远程管理。

注意:有关更多信息以及部署和配置选项的摘要,请参阅USM Appliance部署类型。 本节还提供了USM Appliance的不同大小和规模部署配置的示例。

部署规模和扩展

有许多因素会影响您的USM Appliance配置以及您选择部署的特定USM Appliance架构。主要因素是您的环境中的设备可能产生的每秒事件数。在估计事件总量时,您需要在环境中包含要使用USM Appliance(包括防火墙,路由器和主机服务器以及已安装的应用程序)监视和管理的所有设备,并估计这些设备上的聚合活动。设备。

此外,您可能需要考虑计划在USM Appliance部署中解决的特定安全管理用例的其他方面,其中可能包括但不限于

  • 您可能具有的特定法规遵从性要求
  • 要监视的设备的数量和类型
  • 系统的用户数
  • 您可能拥有的事件关联,数据存储和归档的特定要求

您的AlienVault技术代表可以帮助您分析您的环境以确定系统要求,并可以为您提供一份调查问卷,列出影响系统规模调整和扩展的不同因素,这可以帮助您选择正确的系统配置。

注意:AlienVault USM Appliance数据表描述了许多不同USM Appliance系统配置和选项的典型事件处理性能和容量基准。

安装,设置和配置

USM Appliance的安装和配置相对简单。为了在特定环境中实现快速部署,USM Appliance多功能一体机包括一个入门向导,可指导您完成一些初始设置任务。在虚拟环境中,USM Appliance打包为虚拟机,可以使用虚拟资源轻松安装和配置,例如VMware ESX或Hyper-V管理的虚拟资源。有关详细信息,请参阅虚拟机要求

执行USM Appliance配置的一些高级步骤包括

  • 在网络拓扑中安装USM Appliance(DHCP或手动选择USM Appliance组件的IP地址)
  • 如果需要,打开USM Appliance组件的防火墙端口。请参阅防火墙权限以获取详细信
  • 设置本地或远程(IPMI或HPE iLO)USM Appliance管理
  • 更改root密码,
  • 注册USM Appliance
  • 同步时区和NTP服务器
  • 如果使用,请配置USM Appliance传感器
  • 如果使用,请配置USM Appliance记录器
  • 连接到公司邮件服务器以获取电子邮件通
  • 设置其他配置选项,例如高可用性,VPN和插件安装和自定义

您可以使用AlienVault设置菜单执行大部分任务。有关执行这些任务的信息,请参阅USM Appliance初始设置部分。

USM Appliance 部署类型

适用于:USM Appliance™

本节介绍各种USM Appliance组件,并说明不同的部署类型。

USM Appliance组件

所有USM Appliance产品都包括这三个核心组件,可用作硬件或虚拟机。 USM Appliance All-in-One将服务器,传感器和记录器组件组合到一个系统上。

USM Appliance传感器

USM Appliance传感器部署在整个网络中,用于收集日志和监控网络流量。它提供了五种基本的USM Appliance安全功能 - 行为监控,SIEM,入侵检测,资产发现和漏洞评估 - 以实现完全可见性。

必须至少有一个USM Appliance传感器。根据您的公司要求,可能需要更多。如果您在总部的网络下属子网上分布分支,则尤其如此。

USM Appliance服务器

聚合并关联传感器收集的信息。提供单一窗格的管理,报告和管理。

通常只有一个USM Appliance Server。

USM Appliance记录器

安全地存档原始事件日志数据,用于法医研究和合规性任务。

通常只有一个USM Appliance记录器。但是,在某些情况下,可能会使用两个。有关信息,请联系AlienVault技术支持。

USM Appliance部署类型

您可以通过以下两种方式之一部署AlienVault USM Appliance:简单或复杂。

  • 简单部署
    将所有AlienVault USM Appliance组件(传感器,服务器和记录器)部署在名为USM Appliance All-in-One的单台计算机中。
    此部署模型最适用于较小的环境,测试和演示。
  • 复杂/分布式部署
    此模型将每个AlienVault USM Appliance组件(传感器,服务器和记录器)部署为单独的虚拟机或硬件计算机,以创建分布式拓扑。
    此部署模型有两个版本,通过为每个组件配置专用系统来提高可伸缩性和性能。
    USM Appliance标准包括以下内容
    USM Appliance标准服务器
    USM Appliance标准传感器
    USM Appliance标准记录仪
    USM Appliance企业包括以下内容
    USM Appliance Enterprise Server - 包括Enterprise Server和Enterprise Database
    USM Appliance企业传感器
    USM Appliance企业记录器

注意:USM Appliance Enterprise解决方案不可用作虚拟机。
AlienVault USM Appliance部署解决方案

                	USM Appliance All-in-One	USM Appliance Standard                  	USM Appliance Enterprise                

User Type 小型组织 中型组织 大型型组织
Environment Single-tier deployment Multi-tier deployments & distributed environment Multi-tier deployments and distributed environment
Virtual Appliance x x
Hardware Appliance x x x

USM Appliance部署示例

本主题提供三个USM Appliance部署选项的拓扑示例

 使用USM Appliance All-in-One进行简单部署
 通过All-in-One和一个或多个远程传感器的组合进行扩展的简单部署
 具有多个分支的大型公司的复杂部署

USM Appliance 部署需求

适用于:USM Appliance™

虚拟机的最低硬件要求

所有AlienVault USM Appliance硬件均符合下表中列出的要求。 要获得足够的性能,您需要使用类似或更好的硬件来托管每个AlienVault USM Appliance虚拟机。 在系统资源不足的情况下托管USM Appliance虚拟机可能会影响其执行必要任务的能力,还可能影响规定的吞吐量。 此外,如果您满足硬件规范但尝试在其上运行多个USM Appliance虚拟机,则性能会下降。

警告:在USM Appliance版本5.4中,AlienVault更新了其网络IDS以包含Hyperscan库,该库需要CPU支持SSSE3(补充流式SIMD扩展3)指令集。 要检查您的CPU是否包含SSSE3,

cat /proc/cpuinfo | grep ssse3

Name Value
CPU Type Intel® Xeon E5620
RAM Type DDR3 1333 MHz
Disk Type SAS 10000 RPM (204 MB/s)
Memory Performance (MEMCPY) 3310.32 MiB/s
Disk Performance (random read/write) 15.97 MB/s (120 Mb/s)

虚拟机要求

下表列出了部署不同AlienVault USM Appliance虚拟机的系统要求。 有关更完整的列表,请参阅AlienVault网站上的USM Appliance数据表。

**要点:虚拟机必须在硬件虚拟化模式(HVM)中运行。 目前不支持半虚拟化,因为设备需要SCSI设备总线(SDx)连接器。

            	USM Appliance All-in-One                	Remote Sensor	USM Appliance Standard	      	      	      	    

1TB 500GB 1TB 250GB Server Logger Sensor
Total Cores[1] 8 4 8
RAM (GB) 16 8 24
Storage (TB) 1.0 0.5 1.0 0.25 1.2 1.8 1.2
虚拟化环境 ESXi 5.5 and later [2] Windows 2008 SP2 and later)

支持的浏览器

AlienVault支持以下浏览器。 所有USM Appliance版本都在最新版本的浏览器和最新版本之前进行了测试。

Browser/Platform Windows Mac OS X Linux
Chrome Yes Yes Yes
Edge Yes N/A N/A
Firefox Yes Yes Yes
Internet Explorer 11 Yes N/A N/A
Safari N/A Yes N/A

防火墙权限

USM Appliance组件必须使用特定的URL,协议和端口才能正常运行。

注意:如果部署USM Appliance多功能一体机,则只需打开与受监控资产关联的端口,因为多功能一体机包括USM Appliance服务器和USM Appliance传感器,因此它们之间的通信将变为内部。

如果您的公司在高度安全的环境中运行,则必须更改防火墙上的某些权限,以便USM Appliance获得访问权限。
USM Appliance功能使用的外部URL和端口号:

Server URL 端口 AlienVault Features in Use Applicable Release
data.alienvault.com 80 AlienVault product and feed update All
maps-api-ssl.google.com maps.googleapis.com 443 Asset Location All
maps.google.com maps.gstatic.com 80 Asset Location All
messages.alienvault.com 443 Message Center All
otx.alienvault.com1 443 Open Threat Exchange® 5.1+
reputation.alienvault.com 443 AlienVault IP Reputation All
telemetry.alienvault.com 443 Telemetry Data Collection All
tractorbeam.alienvault.com 22, 443 Remote Support All
www.google.com2 80 AlienVault API All
cdn.walkme.com3
playerserver.walkme.com
ec.walkme.com
rapi.walkme.com
papi.walkme.com None AlienVault Product Management 5.4.3+

下图显示了USM Appliance组件用于彼此通信以及与受监控资产通信的端口号。 箭头的方向指示网络流量的方向。

重要提示:标有*的端口是可选的。

在您计划部署AlienVault HIDS代理的主机上,为了允许初始部署,您必须打开TCP端口135,TCP端口139或TCP端口445,以及高TCP端口(1024或更高)。 请参阅Microsoft有关分布式文件系统命名空间(DFSN)的端口要求的文档。
您还需要打开UDP端口1514,以便在AlienVault HIDS代理和USM Appliance传感器之间进行持续通信。 有关部署的帮助,请参阅部署AlienVault HIDS代理。
要在USM Appliance中使用SNMP,您需要在SNMP代理上打开UDP端口161,在USM Appliance传感器上打开UDP端口162。 有关更多详细信息,请参阅USM Appliance中的SNMP配置。
如果运行5.6.5之前的USM Appliance版本,则还需要在Sensor上为漏洞扫描程序打开TCP端口9391。 但是从版本5.6.5开始,使用UNIX域套接字进行漏洞扫描,因此不再使用端口9391。

关于VPN的使用

图中显示的端口33800是默认值,仅在启用VPN时使用。 如果需要,您可以为VPN使用不同的端口。

注意:启用VPN时,您无需打开USM Appliance传感器和USM Appliance服务器之间的其他端口,因为所有通信都通过VPN隧道。

如果启用VPN,除了为VPN隧道打开端口33800 / TCP之外,还需要允许该端口的TLS传输,以防您使用可以执行检查或拦截TLS流量的防火墙/安全设备。

配置USM Appliance硬件

在VMware中部署USM Appliance

使用Hyper-V Manager部署USM Appliance

使用AMI部署USM Appliance

AlienVault OSSIM® 安装进程

可以在AlienVault OSSIM产品页面上找到免费的开源AlienVaultOSSIM®ISO文件。 下载ISO文件并将其保存到您的计算机。 在安装之前,请务必确保您已满足下面列出的系统要求。 AlienVault OSSIM不支持半虚拟化,需要完全虚拟化网络和存储。

最低系统要求
对于AlienVault OSSIM的安装,最低系统要求如下

  • 2个CPU核心
  • 4-8GB RAM
  • 250GB硬盘
  • E1000兼容网卡

注意:这些只是基本操作的最低系统要求,可能不是所有实例的最佳设置。 例如,建议使用AlienVault OSSIM平均处理1000-2000 EPS(每秒事件数)的实例,具有8CPU内核,16-24GB RAM和500GB-1TB HDD的系统。

在虚拟机上安装AlienVault OSSIM

下载AlienVault OSSIM ISO文件后,即可将其安装到虚拟机中。

安装AlienVault OSSIM

  1. 在虚拟机中,使用ISO作为安装源创建新的VM实例。
  2. 启动新的Debian 8.x 64位实例后,选择Install AlienVault OSSIM(64 Bit)并按Enter键。
  3. 安装过程将指导您完成一系列设置选项。 为以下选择适当的选项
    • 选择语言
    • 选择位置
    • 要使用的键盘映射
      然后,安装将加载必要的组件并检测设置。
  4. 接下来,通过分配以下内容来配置网络
    • IP地址(IP地址将是您用于访问AlienVault OSSIM Web UI的Web地址。)
    • 子网掩码
    • 网关
    • DNS服务器地址
  5. 然后,安装程序将设置root密码。 这将用于AlienVault OSSIM控制台中的root登录帐户。
  6. 消息提示将让您将时区设置为最后一步。
  7. AlienVault OSSIM由installer完成。

您现在可以使用root帐户登录系统,并输入在设置过程中指定的密码。

Web UI Access

安装过程完成后,您可以访问Web UI并设置管理员帐户。

开始使用AlienVault OSSIM

  • 打开Web浏览器,在导航栏中键入您在设置过程中使用的IP地址。
  • 浏览器可能会给您一个连接隐私警告。 如果发生这种情况,请单击高级,然后继续(您输入的IP地址)。
  • 通过填写所有字段在欢迎页面上创建管理员帐户。 单击开始使用AlienVault进入Web UI并开始USM设备初始设置。

部署后配置USM Appliance 传感器

部署后配置USM Appliance 记录器

配置USM Appliance 企业服务器和企业数据库

设置管理接口

首次启动USM设备硬件或在部署后启动虚拟机控制台时,必须配置管理界面以建立网络连接。 您可以手动配置管理界面或使用DHCP(动态主机配置协议)。 但在初始设置之后,DHCP配置不再可用。

要点:使用DHCP配置时,应在配置之前为USM Appliance创建地址预留。 为确保正常运行,USM Appliance需要静态IP地址。

配置管理接口使用DHCP

  1. On the AlienVault Setup screen, select DHCP Configuration.
  2. USM Appliance displays the network settings assigned by your DHCP server. PressEnter to apply.
    USM Appliance configures the management interface and AlienVault services.

手工配置管理接口IP

  1. On the AlienVault Setup screen, select Manual Configuration.
  2. Type the IP address and press Enter.
  3. Type the Netmask for the network and press Enter.
  4. Type the Gateway for the network and press Enter.
  5. Type the IP address of the DNS server and press Enter.
    Note: If you have multiple DNS servers, type each of their IP addresses separated by a comma.
  6. Verify the values you entered previously and press Enter.
    USM Appliance configures the management interface and AlienVault services.

注册USM Appliance

………

USM Appliance 初始设置

在执行设置任务之前,您必须已成功部署USM Appliance并设置管理界面。 您还需要访问AlienVault设置菜单。

您可以通过以下方式之一访问AlienVault设置菜单:

  • 本地管理 - 使用直接连接到USM Appliance硬件的显示器,键盘和鼠标。
  • 虚拟管理 - 虚拟设备用户可以作为vSphere客户端或通过SSH客户端(如PuTTY)访问控制台。
  • 远程管理 - 在IPMI或HPE iLO配置之后,您可以通过远程连接,通过连接到运行设备的同一子网的任何计算机访问控制台。

为简化程序,以下任务步骤引用SSH客户端PuTTY的用户界面(UI)作为解释如何访问AlienVault控制台的方法。

访问AlienVault控制台

  1. 启动PuTTY或任何其他SSH客户端,在“主机名(或IP地址)”字段中,键入设备的IP地址。
  2. 确保选择了SSH。( 这通常是默认设置。)
  3. 单击打开。
  4. 输入用于登录SSH客户端的用户凭据。

出现USM Appliance的AlienVault启动画面。 如果这是第一次,它会显示根用户名和随机生成的密码供您输入。

  1. 在login:字段中,输入root。
  2. 在密码字段中,输入显示的随机生成的密码,然后按Enter键。
  3. 系统提示您是否要更改密码时,单击“是”。

使用默认用户名和随机生成的密码初次登录后,USM Appliance会提示您更改密码。

要点:如果要为USM Appliance Standard或Enterprise组件配置高可用性(HA),则必须为主节点和辅助节点提供相同的root密码。 请参阅高可用性配置。

要更改root密码

  1. 在第一个“更改根密码”面板上,在“新建根密码”字段中键入新密码,然后按Enter键。

注意:光标在字段上不可见。 要验证光标位于正确的位置,请在字段的开头查找黑色左边框。 这告诉您光标应该在哪里。

  1. 在第二个“更改根密码”面板上,键入先前输入的密码,然后按Enter键。
  2. 在第三个也是最后一个“更改根密码”面板上,将显示一条确认消息,表明您已成功更新密码。
  3. 应用程序现在使用新创建的密码提示您再次登录。

入门指导

IDS设置

入侵检测系统(IDS)监视网络和主机,以搜索恶意活动或策略违规,例如危害机密性,系统安全性或完整性。一些IDS系统可能能够阻止入侵尝试,但这既不是IDS系统所必需也不是预期的。 IDS系统主要侧重于识别可能的入侵,记录有关它们的信息以及报告尝试,安全分析师可以进一步分析这些入侵。

传统网络防火墙分析网络和传输层标头,例如源和目标IP地址,协议以及源和目标端口。然而,今天的攻击者不仅仅是针对网络和传输层,因为网络防火墙可以很好地保护它们;相反,他们专注于利用操作系统,应用程序和协议中的漏洞。网络防火墙无法检测到此类攻击。因此,您需要其他安全系统(如IDS)才能检测到它们。 IDS可以检测到的其他攻击示例,但防火墙不能包括:

  • 在合法流量或加密中使用隧道(也称为“端口转发”)的攻击
  • 内部网络内的攻击

IDS系统通常分为两类:

  • 网络IDS(NIDS) - 放置在网络中的关键点,用于监控网络中设备和主机之间的流量。
  • 基于主机的IDS(HIDS) - 在各个主机系统上运行,并监控来自和到达主机系统的流量以及系统本身的活动。
    USM Appliance提供基于网络和主机的入侵检测功能。

Network Intrusion Detection System (NIDS)

您通常在网络防火墙内部放置网络入侵检测系统(NIDS),它可以监控来自所有设备的流量。这样,NIDS就可以检测到通过网络防火墙的恶意活动。 NIDS通常通过监视网络流量的副本在混杂模式下工作。它通过将流量与已知攻击数据库(也称为签名)进行比较,或通过检测流量模式中的异常来分析流量。识别后,生成NIDS事件并报告给管理站。

您可以使用以下设备将网络流量转发到NIDS:

  • 网络 hubs
  • 具有镜像或跨区端口的网络交换机

NIDS的优点:

  • 如果正确放置在网络中,它会监控整个网络的流量。
  • 它对网络性能和吞吐量没有影响,因为它只分析网络流量的副本。
  • 它对网络可用性没有影响,因为它不是串行部署。

NIDS的局限性:

  • 它无法分析加密信息。
  • 它需要持续的签名更新。
  • 它需要特定的网络配置才能接收流量的副本。
  • 它无法阻止攻击。

Host Intrusion Detection System (HIDS)

基于主机的入侵检测系统(HIDS)监视计算机系统的行为和状态,以及系统发送和接收的网络数据包。 HIDS作为系统上的代理运行,将检测到的事件发送到管理站。 HIDS代理通常监视哪些程序访问哪些资源,并确定应用程序是否在内存,文件或数据库中进行了未经授权的更改。 HIDS还可以查看系统状态并监视系统特定的日志,以便检测系统上的任何重大更改。

当NIDS检测到通过NIDS监控的网络发送的攻击时,HIDS会检测到网络上主机的攻击。 NIDS无法检测使用加密的数据包流中的事件,但HIDS可以在主机解密流量之后。理想情况下,HIDS应与NIDS并行工作。您可以关联两个系统检测到的事件,以确定攻击是否成功。例如,检测到的网络攻击,然后在服务器上创建管理员帐户,可能意味着攻击成功。

HIDS的优点:

  • 它可以检测攻击是否成功。
  • 它监视系统活动。
  • 它可以检测文件,内存和应用程序的更改。
  • 它可以检测NIDS无法检测到的攻击,例如系统控制台的更改。

HIDS的局限性:

  • 您需要将代理部署到要监视的每个主机。
  • 它不会检测网络扫描或侦察攻击。
  • 它所驻留的主机易受攻击和被禁用。

AlienVault OSSIM限制:AlienVault OSSIM和USM ApplianceHIDS解码器功能齐全,其所有信息均来自USM Appliance和AlienVault OSSIM提供的插件源更新。 但是,AlienVault OSSIM缺乏通过威胁情报更新提供给USM Appliance的NIDS信息的深度。

AlienVault HIDS(基于ossec开源HIDS)

包含在USM Appliance中的AlienVault HIDS提供以下功能:

  • 日志监控和收集
  • Rootkit检测
  • 文件完整性监控
  • Windows注册表完整性监控
  • 可以在服务器上运行应用程序以响应某些触发器(例如特定警报或警报级别)的主动响应

AlienVault HIDS使用服务器/代理体系结构,HIDS代理驻留在您要监控的主机上;并且HIDS服务器驻留在USM Appliance传感器上。 USM Appliance传感器从HIDS代理接收事件,对其进行规范化,并将它们发送到USM Appliance服务器以进行分析,关联和存储。 AlienVault HIDS也对Linux上的无代理操作提供了一些有限的支持,仅用于日志检索。

您需要将HIDS代理部署到客户端系统。 HIDS代理作为连续的内存服务运行,通过UDP端口1514与USM Appliance传感器交互.USM Appliance传感器生成并向HIDS代理分发预共享密钥,HIDS代理然后使用密钥验证HIDS代理和USM Appliance传感器之间的通信。

虽然HIDS代理是收集Windows安全和系统事件日志的理想选择,但使用NXLog在Windows上收集应用程序日志更为有效。 AlienVault为Microsoft IIS,Microsoft DHCP服务器,Microsoft Exchange Server和Microsoft SQL Server提供NXLog插件。 有关完整列表,请参阅NXLog插件。

部署 AlienVault HIDS Agents

您可以将AlienVault HIDS代理部署到主机

  • 通过入门向导
    此选项支持部署到Windows主机和无代理部署到Linux主机。 有关说明,请参阅“入门向导”主题中的“将HIDS部署到服务器”。
  • 从资产列表视图
    此选项仅支持部署到Microsoft Windows服务器。 有关说明,请参阅资产管理中的部署HIDS代理。
  • 从HIDS管理视图
    此选项支持部署到Windows和Linux主机。

Deploy AlienVault HIDS Agents to Windows Hosts

对于Microsoft Windows主机,USM Appliance会生成包含相应服务器配置和身份验证密钥的二进制文件。您可以选择让USM Appliance为您安装该文件,或者下载该文件并自行将其安装在主机上。

在将HIDS代理部署到Windows计算机之前,请确保它符合以下要求。

  • 如果在环境中使用任何网络加速器设备,则必须将USM Appliance传感器添加到其白名单中。这是因为USM Appliance传感器利用SMB(服务器消息块)将HIDS代理安装包传输到Windows计算机。如果网络加速器尝试优化来自USM Appliance传感器的流量,则可能导致HIDS部署失败。
  • 操作系统必须是以下之一
    • Microsoft Windows XP
    • Windows 7,8或10
    • Windows Server 2003,2008R2或2012R2
  • 您需要使用与本地管理员帐户属于同一管理员组的用户帐户。

注意:出于安全原因,默认情况下,在当前主流支持的所有Windows版本上禁用本地管理员帐户。 为了使HIDS部署成功,您需要启用本地管理员帐户(不推荐),或创建用户帐户并将其添加到内置Administrators组。

  • 您必须根据以下步骤更改目标Windows计算机。
    To change the settings on Windows XP
    1. Go to Control Panel > Folder Options > View.
    2. Deselect Use simple file sharing.
    3. Go to Control Panel > Windows Firewall > Exceptions.
    4. Select File and Printer Sharing.
      To change the settings on Windows 7
    5. Go to Control Panel > Folder Options > View.
    6. Deselect Use Sharing Wizard (Recommended).
    7. Go to Control Panel > System and Security > Windows Firewall > Advanced Settings > Inbound Rules.
    8. Enable File and Printer Sharing (SMB-In).
    9. Go to Control Panel > User Accounts > Change User Account Control Settings.
    10. Move the slider to Never notify.
      To change the settings on Windows Server 2003, 2008 R2, and 2012 R2
    11. Go to Control Panel > Windows Firewall > Advanced Settings > Inbound Rules.
    12. Enable File and Printer Sharing (SMB-In).
    13. To allow NTLMv2 security, run gpedit.msc.
    14. Go to Local Security > Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options and change these settings.
      1. Network Security: Minimum session security for NTLMSPP based (including secure RPC) clients
        , select
        • Require NTLMv2 session security
        • Require 128-bit encryption
      2. Network Security: Minimum session security for NTLMSPP based (including secure RPC) servers
        , select
        • Require NTLMv2 session security
        • Require 128-bit encryption
      3. Network Security: LAN Manager Authentication level
        , select
        • Send NTLMv2 response only\refuse LM & NTLM
          To change the settings on Windows 8 and 10
    15. Go to Control Panel > Folder Options > View.
    16. Deselect Use Sharing Wizard (Recommended).
    17. Go to Control Panel > System and Security > Windows Firewall > Advanced Settings > Inbound Rules.
    18. Enable File and Printer Sharing (SMB-In).
    19. Enable Windows Management Instrumentation (WMI) entry.
    20. Go to Control Panel > User Accounts > Change User Account Control Settings.
    21. Move the slider to Never notify.
    22. Open Group Policy.
      1. Go to Local Policies > Security Options
      2. Set Network access: Shares that can be accessed anonymously to IPC.
      3. Set User Account Control: Run all administrators in Admin Approval Mode to Disabled (recommended).
    23. Apply changes and restart the machine.
      注意:即使Winexe远程安装是授权操作,Winexe安装实用程序也可能在授权应用程序安装期间触发误报警警作为“潜在的黑客工具”。 在这种情况下,最佳做法是将USM Appliance的IP地址列入白名单,或者在安装期间暂时禁用防病毒软件。
      将AlienVault HIDS代理部署到Windows主机
    24. 转到 Environment > Detection.
    25. 转至HIDS > Agents > Agent Control > Add Agent.
    26. 在New HIDS Agent上,从资产树中选择主机。
      USM Appliance使用主机名填充Agent Name,并使用主机IP地址自动填充 IP/CIDR。
    27. 点击 Save.
    28. 点击 按钮部署代理
    29. 在“自动部署Windows”中,键入主机的“域(可选)”,“用户”和“密码”; 然后单击“保存”,USM Appliance组装预配置的二进制文件并将其部署到主机。
    30. 或者,要下载预配置的二进制文件,请单击“操作”列中的按钮。您的浏览器会自动下载文件或提示您下载。
    31. 将名为ossec_installer_ .exe的文件传输到Microsoft Windows主机。
    32. 在Windows主机上,双击以运行可执行文件。安装程序会在控制台中短暂运行,然后显示进度条直到完成。

……没有完成

AlienVault NIDS

AlienVault NIDS在USM Appliance中扮演着重要角色。通过检测恶意网络事件,它为关联指令和互相关规则提供重要信息。将此信息与从其他设备收集的事件相结合,USM Appliance可以全面了解恶意活动。

AlienVault NIDS功能(包括监控网络流量和检测恶意事件)在USM Appliance传感器上进行。您应该在USM Appliance传感器或USM Appliance多功能一体机上配置至少两个网络接口:

  • 管理接口 - 使用IP地址配置接口,您可以从网络访问该地址。使用此界面进行管理以及与其他USM Appliance组件进行通信。请参阅设置管理界面。
  • 网络监控接口 - 请勿在接口上配置IP地址。而是将接口连接到网络交换机上的跨区或镜像端口,以便USM Appliance可以检查吞吐量。您可以使用多个网络监视接口从单个USM Appliance传感器观察多个网络。请参阅配置AlienVault NIDS。

USM Appliance Server通过插件使用NIDS签名,这些插件生成AlienVault NIDS事件。关联引擎处理并关联规范化事件,然后将它们存储在SIEM数据库中。

AlienVault OSSIM限制:AlienVault OSSIM和USM ApplianceHIDS解码器功能齐全,其所有信息均来自USM Appliance和AlienVault OSSIM提供的插件源更新。 但是,AlienVault OSSIM缺乏通过威胁情报更新提供给USM Appliance的NIDS信息的深度。

配置NIDS

USM Appliance已启用AlienVault NIDS,但您需要执行以下步骤以监控网络流量。

  1. 启用一个或多个接口进行监控
  2. 添加受监控网络
  3. 使用SPAN或镜像端口,配置网络设备以将流量发送到监控接口。

重要提示:AlienVault建议您通过SPAN /镜像端口发送未标记的数据包。 这是因为目前不支持VLAN中继。 因此,丢弃通过其他第2层协议发送的网桥协议数据单元(BPDU)或数据包。 第2层协议包括但不限于思科发现协议(CDP),动态中继协议(DTP),链路聚合控制协议(LACP),端口聚合协议(PAgP),生成树协议(STP)和VLAN 中继协议(VTP)。

启用监控网络接口

如果您有USM Appliance多功能一体机并且尚未完成初始配置,则可以使用“入门向导”启用NIDS监控界面。 请参阅配置网络接口。

否则,您可以使用Web UI(推荐)或AlienVault设置菜单配置网络接口。

To enable an interface using the web UI

  1. Go to Configuration > Deployment > Components > AlienVault Center.
  2. Double-click the instance you want to configure.
  3. Click Sensor Configuration.
  4. Click Detection.
  5. In the Listening Interfaces area, click the plus (+) sign next to the interface you want to add.
  6. Click Apply Changes.

To enable an interface in the AlienVault Setup menu

  1. Connect to the AlienVault Console through SSH and use your credentials to log in.
    The AlienVault Setup menu displays.
  2. Select Configure Sensor.
  3. Select Configure Network Monitoring.
  4. Use the keyboard arrow keys to move to the interface, select the interface by pressing the spacebar, and then press Enter ().
  5. Press until you are on the AlienVault Setup menu again. Select Apply all Changes.
  6. Press to confirm.
    USM Appliance applies the changes and restarts all the services, which may take several minutes.

Add Monitored Networks

默认情况下,USM Appliance监控所有RFC 1918专用网络(10.0.0.0/8,172.16.0.0/12和192.168.0.0/16)。 因此,如果您的网络使用私有IP地址,则无需采取任何进一步操作。 但是,如果要使用公共IP地址监视网络,则必须将网络添加到受监视网络列表中。 您可以使用Web UI(推荐)或AlienVault设置菜单为NIDS监控添加网络。

To add a network using the web UI

  1. Go to Configuration > Deployment > Components > AlienVault Center.
  2. Double-click the appliance you want to configure.
  3. Click Sensor Configuration.
  4. Click Detection.
  5. In Monitored Networks, type the network address and click Add.
  6. Click Apply Changes.

To add a network in the AlienVault Setup menu

  1. Connect to the AlienVault Console through SSH and use your credentials to log in.
    The AlienVault Setup menu displays.
  2. Select Configure Sensor.
  3. Select Network CIDRs.
  4. Type the network addresses you want to monitor, separating with comma, and then press Enter ().
  5. Press until you are on the AlienVault Setup menu again. Select Apply all Changes.
  6. Press to confirm.
    USM Appliance applies the changes and restarts all the services, which may take several minutes.

AlienVault OSSIM限制:AlienVault OSSIM和USM ApplianceHIDS解码器功能齐全,其所有信息均来自USM Appliance和AlienVault OSSIM提供的插件源更新。 但是,AlienVault OSSIM缺乏通过威胁情报更新提供给USM Appliance的NIDS信息的深度。

查看NIDS事件

您可以像处理任何其他安全事件一样查看AlienVault NIDS事件。 有关参考,请参阅安全事件视图。

查看AlienVault NIDS活动

  1. Go to Analysis > Security Events (SIEM) > SIEM.
  2. From the Data Sources list, select AlienVault NIDS.

AlienVault NIDS事件表明可能发生了攻击,但他们并不保证已发生此类攻击。 因此,在继续调查之前,您必须检查触发签名的流量并验证恶意。

在事件详细信息页面的底部,所有AlienVault NIDS事件都包含有效负载和确定问题的规则。 您可以检查有问题的数据包的有效负载,研究规则或下载PCAP文件以进行离线分析。

定制 NIDS规则

有时,您可能希望自定义AlienVault NIDS规则或启用默认禁用的规则,以便检测在网络中更好地运行。 本节介绍如何完成这两项工作。

重要提示:以下步骤是针对USM Appliance多功能一体机编写的。
如果USM Appliance服务器和USM Appliance传感器分开,则必须在每个传感器上执行步骤#1至步骤#7,步骤9和步骤#10。 将local.rules文件从Sensor复制到服务器后,必须在USM Appliance服务器上执行步骤#8。 这是因为数据库仅存在于服务器上。

To customize the AlienVault NIDS rule(s)

  1. 确定要启用的规则。

  2. 通过SSH连接到AlienVault控制台并使用您的凭据登录。显示AlienVault设置菜单。

  3. 在AlienVault Setup主菜单上,选择Jailbreak System以获取命令行访问权限。出现提示时选择Yes。 您将位于根目录中。

  4. 将要启用的规则放入/etc/suricata/rules/local.rules并保存更改。 一种方法是从原始规则文件中复制规则并将其粘贴到local.rules中。
    cat /etc/suricata/rules/emerging_pro-policy.rules | grep 2009294 | cut -d’#’ -f2 >> /etc/suricata/rules/local.rules

    # 在此命令中,grep用于搜索已禁用的信用卡策略规则的唯一ID,从/etc/suricata/rules/emerging_pro-policy.rules复制它,删除行开头的“#”(使用 剪切),并将其粘贴到/etc/suricata/rules/local.rules。
    打开local.rules以确认规则已正确复制
    cat /etc/suricata/rules/local.rules
    
    alert ip any any > any any (msg:"ET POLICY Credit Card Number Detected in Clear (15 digit dashed 2)"; pcre:"/ (3[4|7]\d{2}|2014|2149|2131|1800)-\d{6}-\d{5} /"; reference:url,www.beachnet.com/~hstiles/cardtype.html; reference:url,doc.emergingthreats.net/2009294; classtype:policy-violation; sid:2009294; rev:1;)
    
    #注意:要确保规则不与现有规则冲突,应使用介于5,000,000和5,999,999之间的SID。
    
  5. 对要启用的所有规则重复该命令。

  6. 如果需要,修改规则并保存更改。

  7. 使用您选择的命令行文本编辑器,在/etc/suricata/rule-files.yaml底部添加对local.rules的引用
    %YAML 1.1

    default-rule-path: /etc/suricata/rules
    rule-files:
    - emerging_pro-activex.rules
    - emerging_pro-attack_response.rules
    - emerging_pro-chat.rules
    […]
    - suricata-smtp-events.rules
    - suricata-stream-events.rules
    - local.rules

  8. 运行以下脚本以将规则导入数据库
    perl /usr/share/ossim/scripts/create_sidmap.pl /etc/suricata/rules

  9. 重新启动AlienVault NIDS服务以使更改生效
    #service suricata restart

  10. 重新启动AlienVault代理服务以应用更改
    #service ossim-agent restart

警告:如果您使用的是USM Appliance 5.3.3或更早版本,则运行威胁情报或插件源更新将覆盖您对local.rules文件所做的任何更改。 要避免此问题,请升级到USM Appliance版本5.3.4或更高版本。

AlienVault OSSIM限制:AlienVault OSSIM和USM ApplianceHIDS解码器功能齐全,其所有信息均来自USM Appliance和AlienVault OSSIM提供的插件源更新。 但是,AlienVault OSSIM缺乏通过威胁情报更新提供给USM Appliance的NIDS信息的深度。

升级NIDS规则和签名

AlienVault Labs威胁研究团队向所有USM Appliance客户提供威胁情报,例如IDS签名。

要使用AlienVault NIDS检测最新威胁,您应该使USM Appliance中的IDS签名保持最新。 USM Appliance每15分钟检查一次威胁情报更新。 更新可用后,消息中心中将显示一条消息。 有关详细信息,请参阅消息中心

查看USM Appliance是否具有新的或更新的NIDS签名

  1. 打开消息中心。
  2. 在邮件主题中搜索包含“AlienVault Labs威胁情报”的任何邮件。
  3. 单击该消息并阅读有关添加的NIDS签名的信息。

在威胁情报更新中查看信息并决定安装后,您需要通过Web界面(推荐)或AlienVault设置菜单手动运行更新。

使用Web界面安装威胁情报更新

  1. Go to Configuration > Deployment > Components > AlienVault Center.
  2. Click the yellow arrow in the New Updates column next to the USM Appliance you want to install the updates on.
  3. Examine the available updates.
    NIDS updates contain “suricata” in the package name.
  4. Click Update Feed Only.
    注意:这会更新更新摘要中列出的所有程序包的签名和规则,而不仅仅是IDS签名。
    升级过程可能需要几分钟。 完成后,页面将显示一条消息,指示更新成功。

在AlienVault设置菜单中安装威胁情报更新

  1. Launch the AlienVault console.
  2. Select System Preferences.
  3. Select Update AlienVault System.
  4. Select Update Threat Intelligence.
  5. Confirm your selection.

高可靠性配置

如果一个或多个组件因任何原因停止运行,则高可用性(HA)会复制数据以避免任何可能的事件,资产或配置丢失。

AlienVault强烈建议您配置USM设备以实现高可用性,特别是满足合规性要求,以免丢失数据。

注意:AlienVaultUSM Appliance仅在其USM Appliance标准版和USM Appliance企业版中支持HA。

高可用性解决方案如何工作?
AlienVaultUSM设备高可用性解决方案由一组彼此镜像的冗余USM设备节点组成。

此HA系统保持运行,主(主)实例处于活动状态,辅助(从)实例处于被动状态。 如果主实例失败,则辅助实例将自动变为活动状态,从而替换失败的节点。

USM设备系统组件的活动(左)和被动(右)节点

当您准备好将故障节点重新联机时,它将再次成为活动节点,并且取代它的节点将恢复为被动节点。 用户必须手动进行切换。

每个节点都有一个唯一的IP地址,但与其克隆共享相同的虚拟IP地址。

HA部署始终从USM Appliance Server和USM Appliance Sensor开始。 如果USM设备记录器是USM设备部署的一部分,则应该最后配置它。

插件管理

USM Appliance插件提供逻辑,用于从外部应用程序和设备中提取特定于安全性的数据,以生成由USM Appliance Server管理的事件。 USM Appliance配备了许多常见数据源的插件,您可以选择这些插件并启用特定资产以开始收集数据。有关USM Appliance支持的所有插件的列表,请参阅USM Appliance支持的插件列表。

AlienVault提供了多种方法来启用USM Appliance中的插件。您可以在特定的已发现资产上启用插件,也可以在USM Appliance传感器上全局启用插件。此外,根据插件类型,您可以使用不同的工具启用插件,包括USM ApplianceWeb UI,入门向导或AlienVault控制台。

USM Appliance中的大多数插件在启用后不需要其他配置,尤其是在资产上启用插件时。但是,如果您选择在传感器级别启用插件,并且USM Appliance在传感器上没有所需的配置文件;或者如果要启用数据库插件,SDEE插件或WMI插件,则需要在插件正常运行之前执行一些额外的步骤。

在有限数量的环境中,内置插件可能不太适合特定需求或提供足够的智能来规范化数据并从收到的所有日志中提取所需信息。在这种情况下,您可以自定义现有插件或请求创建AlienVault提供的新插件。您还可以创建自己的自定义插件,从可用于创建插件的各种选项中进行选择,并直接编辑插件配置文件;或使用USM Appliance Web UI中提供的插件构建器,使用交互式程序向导创建插件。

本节涉及的主题包括

插件基础

启用插件

配置插件

配置日志转发和常用数据源

自定义和开发新插件

插件基础

USM Appliance传感器使用插件提取和标准化从不同数据源接收的数据。

注意:您可以通过检查 /etc/ossim/agent/plugins目录的内容,或通过检查AlienVault控制台或USM ApplianceWeb UI中列出的数据源来检查默认支持的数据源。

在数据规范化期间,插件会评估每个日志文件行并将其转换为标识USM Appliance事件分类中的事件类型和子类型的事件。

每个USM Appliance插件都包含两个文件

  • .cfg - 驻留在每个USM Appliance传感器 /etc/ossim/agent/plugins下。 此文件指定插件配置参数以及日志行必须匹配的规则,然后USM Appliance才会收集和规范化它们。
  • .sql - 驻留在 USM Appliance Server 的/usr/share/doc/ossim-mysql/contrib/plugins下。 此文件描述了插件可以存储在SIEM数据库中的每个事件和相应的事件字段,以用于从数据源提取的事件。

插件配置文件结构

下图显示了.cfg数据源插件文件的示例。 此示例中显示的文件使USM Appliance Sensor能够解析SSH事件。

插件配置文件由几个部分组成。

  1. The Plugin File Header
    所有插件配置文件都必须包含标头。
    # Plugin {{ plugin_name }} id:{{ plugin_id }} version: -
    # Last modification: {{ LAST_MODIFICATION_DATE }}
    #
    # Plugin Selection Info:
    # 插件选择信息部分包括相关的供应商,产品,版本和每个资产信息。
    # 产品和供应商信息 - 使用以下格式表达插件的产品名称和供应商信息:Fortinet:Fortigate。
    # 在此示例中,Fortigate是产品,Fortinet是该产品的供应商。
    # 版本信息 - 版本信息允许您在任何一个版本存在多个插件时,或者根据日志格式或预期输出存在多个插件
    # 时选择正确的插件。
    # 所有插件都将版本信息设置为“ - ”开箱即用,因为并非所有应用程序都使用版本。如果你的插件是
    # 这种情况,你可以保持版本字段的默认设置。在自定义或创建新插件时,请验证您的插件是否已版本
    # 化,如果是,请添加版本信息。
    # 每个资产信息 - 是否在所有资产上激活插件。如果未设置“每个资产”,则USM Appliance默认为“是”
    # {{vendor}}:{{model}}:{{version}}:{{per_asset}}
    # END-HEADER
    #
    # Accepted products:
    #
    # Description

  2. The DEFAULT Section
    插件配置文件的[DEFAULT]部分指定plugin_id,它是插件数据源的唯一ID。 例如,plugin_id = 4003是OpenSSH的插件。 在引用关联规则中的插件时以及在USM Appliance中定义策略时,也会使用插件ID。
    用户可以使用9001到2147483647的范围作为插件ID,但以下值是保留的
    90003, 90005, 90007, 90008, 10002, 12001, 19004, 19005, 19006, 20505

  3. The Config Section
    插件配置文件的[config]部分指定此插件的基本设置。 例如
    type - 例如,指定插件类型,检测器。
    enable - 指定是否启用插件。
    source - 使用以下关键字标识插件源
    log - 文本日志文件(例如:SSH,Apache)
    mssql - Microsoft SQL Server数据库(例如:panda-se)
    mysql - MySQL数据库(例如:moodle)
    wmi - Windows Management Instrumentation(wmi-system-logger)
    location - 指定插件正在读取的日志文件的名称和位置,例如location = /var/log/file.log。 rsyslog规则定义用于存储来自不同数据源的传入日志的日志文件的位置。
    注意:location仅存在于使用日志作为源的插件中。 使用其他源的插件包含其他特定于插件的信息(例如,如何连接到MySQL数据库)。

  4. The Translation Section
    [translation]部分转换源日志的标记值,并将它们分配给规范化的事件字段。 当您具有描述不同事件的类似日志消息时,翻译很有用,例如,消息之间的差异仅在于令牌的值而不是消息本身的结构。 在这种情况下,您只能使用一个规则来解析不同的消息,并使用转换将消息中的(非数字)值转换为可用作plugin_sid(事件类型ID)值的数值。
    翻译由两部分组成

    1. 转换表 - 定义日志消息中的值与规范化事件中的值之间的映射。
    2. translate()函数 - 通过跟随转换表将标记中的值转换为规范化事件字段中的值。
      在示例配置文件(如ssh.cfg插图中所示)中,日志消息中的“sid”标记可以采用以下非数字值:none,open, publickey,version,throughput,closed和password。 sid令牌的不同值表示不同的日志消息。 sid标记的值将转换为转换表定义的数值,然后用作各个事件的plugin_sid值。 还可以定义翻译以将其他文本值转换为数字。
  5. The Rules Section
    插件配置文件的其余部分属于规则部分。 它包含定义每个事件格式的规则,以及如何将每个事件的正则表达式提取的数据标准化为标准事件字段。 插件中的每个规则都使用名称和事件类型定义,该类型是使用插件配置文件中的event_type = event行定义的。
    regexp字段包含定义事件格式的正则表达式,并提取信息以对其进行规范化。 正则表达式使用Python正则表达式语法编写。
    [0000 - Failed password]
    event_type=event
    regexp=(?P\w{3}\s+\d{1,2}\s\d\d:\d\d:\d\d)\s+(?P\S+) sshd[\d+]: Failed password for\s(?Pinvalid user\s)?(?P\S+)\sfrom\s(?P\S+)\sport\s(?P\d{1,5})
    date={normalize_date(KaTeX parse error: Expected 'EOF', got '}' at position 6: date)}̲ plugin_sid…src)}
    dst_ip={resolv(KaTeX parse error: Expected 'EOF', got '}' at position 5: dst)}̲src_port={sport}
    username={KaTeX parse error: Expected 'EOF', got '}' at position 5: user}̲ userdata1=…info}
    userdata2={KaTeX parse error: Expected 'EOF', got '}' at position 4: dst}̲ device={re…dst)}
    注意:有关正则表达式的语法或构造的详细信息,请参阅Internet上可用主题的资源。 您可能还想查看AlienVault®培训课程,这些课程提供有关插件开发的更多信息和动手实验,特别是用于定义插件规则的正则表达式
    事件数据库字段映射
    除了正则表达式之外,每个规则还必须指定如何将提取的信息从日志映射到规范化的SIEM数据库事件。 下图显示了可以使用为特定规则定义的正则表达式映射从日志中提取的信息的事件字段。

    在图中
    在每个规范化事件中,以斜体显示的字段是必需的。
    以蓝色(★)显示的字段包括始终必须在插件文件中定义的值。
    以绿色(♦)显示的字段包括将在日志中找不到值时自动填充的值(例如,源IP地址设置为0.0.0.0,源端口和目标端口设置为0, 如果没有在日志中找到)。
    以灰色(ᴑ)显示的字段是可选字段,如果在日志中找不到值,则可以将其保留为空。
    规则处理顺序
    插件规则按顺序加载,插件文件的规则名称是必需的。 一旦日志与一个规则的正则表达式之一匹配,USM Appliance传感器就会停止处理该事件。
    建议在名称中使用较小的数值定义特定规则,并在名称中使用较大的数值定义一般规则。 使用较低值命名特定规则允许在一般规则之前处理它们,一般规则被定义为捕获先前未匹配的所有事件。
    For example:
    [0001 - Specific rule]
    [0002 - Specific rule]
    [9999 - General rule]

Plugin .SQL 文件

与插件关联的.SQL文件定义从插件源数据或日志文件中提取的事件插入的所有数据库条目。

  • 插件ID
  • 事件类型ID
  • 为每个事件编写的数据库字段
  • 分配给活动的名称
  • 优先级和可靠性值

下图显示了与前面部分中描述的ssh.cfg文件关联的ssh.sql文件。

如果有,则需要使用以下命令将相应的插件.sql文件导入SIEM数据库:

cat .sql | ossim-db

USM Appliance中的日志收集和规范化

USM Appliance插入从不同数据源收集的过程数据,解析和规范化数据,并将该数据作为标准格式事件保存在SIEM数据库中。然后,用户可以在USM ApplianceWeb UI中查看和分析这些事件。

插件定义

  • 如何从应用程序或设备收集信息
  • 如何在以标准格式事件的形式向USM Appliance Server发送数据之前规范化收集的信息

插件是一种软件组件,它提供特定于提取从外部应用程序和设备收集的数据的逻辑。 USM Appliance传感器中启用了插件,USM Appliance传感器使用以下源或协议从远程主机接收数据

  • 系统日志
  • Windows Management Instrumentation(WMI)
  • 安全设备事件交换(SDEE)
  • 数据库
  • 其他协议

处理日志的任何系统都需要解析器来读取它们,并将其数据提取并转换为标准事件字段。下图显示了USM Appliance传感器从不同设备收集系统日志消息的方式,其中启用的插件可以处理并规范化特定日志文件中包含的事件数据。

在数据规范化期间,插件会评估日志文件每行的信息,并将其转换为标识USM Appliance分类中事件类型和子类型的事件。 (请参阅USM Appliance事件分类。)规范化还将每个日志行的部分转换为公共数据字段,例如用户,日期和时间以及源或目标IP地址。

将信息规范化为标准事件数据字段可使USM Appliance统一显示信息,并关联来自各个系统的事件以生成警报。

插件类型

USM Appliance中包含的插件称为探测器插件。 他们从日志中接收和提取事件,包括:

  • 由rsyslog收集创建的文本日志。
    USM Appliance使用rsyslog作为其默认的syslog实现。 所有外部设备的配置文件都位于/etc/rsyslog.d中。
  • 使用其他机制(如SDEE(安全设备事件交换)或WMI(Windows Management Instrumentation))检索日志。
    注意:有关所有AlienVault提供的插件的最新列表,请参阅数据表。

每个插件文件的Source字段表示检测器插件的类型。

[config]
type=detector
enable=true
source=log

USM Appliance中有四种类型的检测器插件,如下表所示。

Plugin Source 描述 示例
Database 监视外部数据库的内容。 数据库插件从外部数据库中提取数据并将其转换为USM Appliance事件。 支持的数据库是MySQL和Microsoft SQL Server。 数据库插件配置文件提供有关USM Appliance应如何连接和查询数据库的信息。 有关数据库插件配置文件的示例,请参阅配置数据库插件 ,以获取有关配置数据库插件的详细信息。 mcafee-epo
Log 监视日志文件,通常通过syslog接收数据。 日志插件通过使用正则表达式匹配日志文件中的每一行来从日志文件中提取事件。 然后,插件将文本中的信息规范化,以创建包含来自文本的事件字段数据的事件。 有关日志插件配置文件的示例,请参阅 配置日志插件,以获取有关配置日志插件的详细信息。 cisco-asa
SDEE 使用SDEE协议监控Cisco设备。 Cisco Systems IPS Sensor 5.0使用安全设备事件交换(SDEE)协议来指定用于传达某些思科安全设备生成的事件的消息格式。 有关SDEE插件配置文件的示例,请参阅配置SDEE插件并获取有关配置的更多信息 SDEE插件。 cisco-ips
WMI 无需代理即可远程连接到Microsoft Windows事件和数据。 Windows Management Instrumentation(WMI)插件远程收集Microsoft Windows事件和数据。 这些插件使用Windows Management Instrumentation命令行(WMIC)在没有代理的情况下收集信息。 有关WMI插件配置文件的示例,请参阅配置WMI插件并获取有关配置的详细信息 wmi-application-logger

启用它们后,大多数探测器插件无需额外配置即可自动工作。 (请参阅启用插件。)

IDM插件

IDM插件是一种特殊类型的检测器插件,可收集有关设备和应用程序的其他信息。 当USM Appliance处理从其他插件收集的事件数据时,此信息用于增强单个事件的元数据。 USM Appliance中的IDM插件包括

  • arpalert-idm
  • cisco-acs-idm
  • linuxdhcp-idm
  • nmap-hosts
  • ossec-idm-single-line
  • prads
  • snare-idm

注意:默认情况下,prads插件会在启动时自动启用,该插件用于标识和收集有关在主机上运行的网络服务的信息。 因此,在开始利用IDM信息之前,无需其他设置或配置。 虽然不是必需的,但您可以启用其他IDM插件来收集来自不同来源的信息。 有关更多信息,请参阅启用插件。

计划的清单任务(如资产发现扫描,WMI扫描和可用性监视)也可以收集IDM信息。 IDM插件和其他计划进程收集的信息存储在内部数据库中,该数据库还维护为相同主机检索的历史数据。

USM Appliance查询此数据以丰富从其他设备和特定于应用程序的插件处理的事件的元数据。 此外,如果为IDM数据源维护的历史数据中的值已更改,则USM Appliance将生成一个异常事件,该事件显示新值和先前值之间的更改。 有关查看包含IDM信息的异常事件的更多信息,请参阅查看安全事件。

主机根据其IP地址收集的IDM信息包括

  • UUID, IP address, and domain of the host
  • ID of the IDM source that generated the event (such as nmap, ocs, nagios)
  • Hostname associated with the IP address
  • MAC address
  • Operating system
  • CPU description and frequency
  • RAM (in megabytes) on the host
  • Host graphics cards
  • List of users that have logged on or off
  • List of active services
  • List of software and hardware installed
  • State of device or asset (on or off, up or down)

插件更新

AlienVault USM Appliance会在插件更新时通知用户,可从USM Appliance消息中心访问。 更新可以包括对现有插件或新插件的更新。

这些更新通常每两周进行一次。 从版本5.4开始,还可以安排插件更新,您可以配置威胁情报和插件更新以自动运行。 请参阅在线更新USM Appliance。

注意:USM Appliance传感器和USM Appliance服务器必须单独更新。

验证是否有新的插件更新
要检查是否有插件更新,请打开USM Appliance消息中心。

如果您看到类似于“插件Feed更新 - ”的消息,则表示您有一个插件Feed更新。 插件源更新消息显示发行说明,如图所示。

Update Plugins

安装最新的插件更新

  1. Go to Configuration > Deployment > Components > AlienVault Center.
  2. Review information about what the plugin package contains by clicking the Arrow icon
  3. Click Update Feed Only.

注意:如果选择“全部更新”选项,而不是“仅更新源”,USM Appliance将应用完整系统升级,其中将包括可用的任何插件更新。

启用插件

AlienVault提供了多种方法来启用USM Appliance中的插件。 首先,您可以在特定的已发现资产上启用插件,也可以在USM Appliance传感器上全局启用插件。 此外,根据特定插件,您可以使用不同的工具启用插件,包括USM ApplianceWeb UI,入门向导或AlienVault控制台。

以下主题提供了有关启用插件的两个选项的详细信息。

  • 在资产上启用插件
  • 从传感器配置启用插件

重要提示:注意不要两次启用相同的插件,因为这会生成重复的事件。

以下是只能在传感器级别启用的插件列表。

Plugin Name Description
av-useractivity A MySQL database plugin.
drupal-wiki A MySQL database plugin.
eljefe A MySQL database plugin.
linuxdhcp-idm An IDM plugin for Linux DHCP server.
monit Plugin for the monit service used in USM Appliance.
moodle A MySQL database plugin.
ossec-idm-single-line An IDM plugin for AlienVault HIDS.
ossec-single-line Also known as the AlienVault HIDS plugin. Enabled by default.
post_correlation A MySQL database plugin.
prads An IDM plugin for passive asset discovery. Enabled by default.
ssh-remote A pluign for OpenSSH.
suricata Also known as the AlienVault NIDS plugin. Enabled by default.

对于那些允许它的插件,通常建议在USM Appliance传感器上启用插件,以启用特定资产上的插件。 在资产级别启用的插件会自动配置,而在传感器级别启用的插件通常必须先配置。 对于基于日志的插件,这意味着设置rsyslog收集和处理以及日志轮换。 (请参阅配置USM Appliance传感器以通过Syslog接收日志。)

方便性和性能也可能是选择是否在单个资产上启用插件或在USM Appliance传感器上启用它们的因素。 在单个资产上启用插件可以通过在多个处理器或内核上运行插件的副本而不是在单个处理器或内核上来帮助分配处理大量流量的负载。 但是,如果您想使用具有大量资产的相同插件,并且流量不是问题,您可能会发现在传感器上启用和配置插件更容易。

注意:除了启用插件之外,还必须配置插件用于将其日志转发到USM Appliance的应用程序或设备。 为方便起见,AlienVault列出了最常用的设备列表以及如何配置它们的日志转发。 请参阅在常用数据源上配置日志转发。

在资产上启用插件

运行网络扫描以发现资产后,发现的资产将保存在USM Appliance数据库中。 (有关资产发现的信息,请参阅通过扫描新资产添加资产。)然后,您可以在已发现的资产上选择并启用插件。 每个资产最多可以启用10个插件。

Enabling Plugins from Asset Details in the Web UI

Enabling Plugins on Assets Using the Getting Started Wizard

在传感器启用插件

您可以从USM ApplianceWeb UI或AlienVault控制台在USM Appliance传感器上启用最多100个插件。

注意:如果要确认已启用正确的插件,请越狱系统并打开/etc/ossim/agent/config.cfg。 新插件将出现在[plugins]部分中。

验证插件是否工作正常

在USM Appliance中启用插件并将应用程序或设备配置为将日志转发到USM Appliance后,最好测试插件是否正常工作。

注意:您可以通过查看/etc/ossim/agent/config.cfg文件的[plugin]部分来确认在传感器级别启用的插件。 每资产插件配置存储在/etc/ossim/agent/config.yml文件中。

确认从远端设备收到日志

  1. 连接到控制台通过Jailbreak System并进入后台.
  2. 通过抓包确认是否收到数据包
    tcpdump –i eth0 –v –w /dev/null src <设备IP地址> and port 514
    如果没有收到日志,请确保你的设备syslog设置正确

确认日志被保存在日志文件中

  1. 连接到控制台通过Jailbreak System并进入后台.
  2. 检查日志文件,来自设备的日志存储依赖于你启用插件的方式.
    • 如果以每个资产为基础启用插件,则会保存传入的syslog消息在 /var/log/alienvault/devices/每个IP一个文件夹.
      tail -f /var/log/alienvault/devices//*<*asset_IP>.log查看日志
    • 如果在传感器级别启用插件,则rsyslog通常配置为将消息转发到唯一文件,该文件在插件文件的[config]部分下的location参数中定义。 确定文件后,键入以下内容
      tail -f /path/to/.log
    • 如果系统日志消息未出现在上述任一文件中,您可以检查所有系统日志消息的默认位置。
      tail -f /var/log/syslog

如果在相应的日志文件中未找到新消息,但您已确认USM Appliance正通过UDP端口514从您的设备接收数据包,请验证rsyslog配置是否将消息定向到正确的文件。 如果需要,重新启动rsyslog。

/etc/init.d/rsyslog restart

如果您在日志文件中看到新消 息,但没有事件,则错误在插件或代理配置中。

验证插件是否正在生成事件

  1. 连接到控制台

  2. 选择Maintenance & Troubleshooting.

  3. 选择 Troubleshooting Tools.

  4. 选择View AlienVault Components Logs.

  5. 选择 View AlienVault Agent log.
    确认后,/var/log/alienvault/agent/agent.log的内容将显示在控制台中。 您可以按“q”返回菜单。

  6. 在日志文件中搜索插件名称。
    例如,键入“/ ssh”并按Enter键。 如果插件正在运行,您应该看到类似于以下内容的输出
    WatchDog[24430] Checking process sshd for plugin ssh
    WatchDog[24430] plugin (ssh) is running
    WatchDog[24430] plugin (ssh) is enabled

  7. 此外,您将看到有关每10秒输出一次的插件的信息。 例如
    Aug 10 13:01:24 Alienvault-Agent[INFO]: ssh[4003] Total lines [12759] TotalEvents:[643] EPS: [0.00] elapsed [10.01] seconds
    Aug 10 13:01:34 Alienvault-Agent[INFO]: ssh[4003] Total lines [12759] TotalEvents:[643] EPS: [0.00] elapsed [10.00] seconds
    Aug 10 13:01:44 Alienvault-Agent[INFO]: ssh[4003] Total lines [12859] TotalEvents:[683] EPS: [4.00] elapsed [10.00] seconds

    where

    • total lines [12759]显示插件在启用后处理的行数(在数据源日志文件中)。
  • TotalEvents:[643]显示插件从这些行生成的事件数。
    • EPS:[0.00]表示每秒事件数,每10秒计算一次。
      EPS 0.00表示在过去10秒内已生成零事件; EPS 4.00表示在过去10秒内已生成40个事件(683 - 643)。
    • elapsed [10.01]秒表示此信息每10秒收集一次。

Total lines和TotalEvents可能不一样,因为不是每一行都可以变成一个事件。 如果TotalEvents为0,则表示插件未生成任何事件。 如果Total lines也为0,则表示数据源日志文件为空,因此插件没有要处理的数据。 但如果Total lines不为0,则表示该插件不会将这些行转换为事件。 您可以查看插件配置文件以进一步调查或联系AlienVault技术支持。

配置插件

USM Appliance中的大多数插件在启用后不需要其他配置,尤其是在资产上启用插件时。 但是,如果您选择在传感器级别启用插件并且USM Appliance未在传感器上提供所需的配置文件,或者如果您要启用数据库插件,SDEE插件或WMI插件,则需要执行某些操作 插件可以正常运行之前的额外步骤。

本节介绍这些插件类型的最小配置任务。 大多数任务都要求您通过SSH连接到AlienVault控制台并越狱系统以获得命令行访问权限。 建议您熟悉一些基本的Linux命令以及基于终端的文本编辑器,例如vim或nano。

Configure Log Plugins

Configure Database Plugins

Configure SDEE Plugins

Configure WMI Plugins

配置日志转发和常用数据源

USM Appliance插入从许多不同数据源收集的过程数据,解析和规范化数据,然后将数据作为标准格式事件保存在数据库中。 USM Appliance服务器根据策略过滤事件,并关联事件以在符合指定规则和条件时触发警报。 然后,用户可以在USM ApplianceWeb UI中查看和分析这些事件和警报。

本节提供USM Appliance中提供的插件支持的最常用数据源的集成信息。 对于每个集成,说明描述了如何配置数据源以将日志数据发送到USM Appliance,如何在USM ApplianceWeb UI中选择和启用插件,以及从数据源供应商的Web获取其他配置和故障排除信息的位置 现场。

A10 Thunder Web Application Firewall (WAF)

Array Networks Secure Access Gateway

Arpalert

Artillery Honeypot

Atomic Software HoneyBOT

ASUSTeK Router

Avaya Media Gateway

Avaya Wireless LAN

Barracuda NextGen Firewalls

Blackboard Learn

Blue Coat ProxySG

Brocade Router/Switch

Check Point Firewall

Check Point MEPP

Cisco ASA

Cisco ACS

Cisco Meraki

Cisco PIX

Cisco RV

Cisco WLC

Citrix NetScaler

Cisco Unified Communications Manager

Click Studios Passwordstate

Comodo Antivirus

CrowdStrike Falcon

CrushFTP

CyberArk Enterprise Password Vault

Dell EMC RecoverPoint

Dell EqualLogic

Dell SonicWALL

DenyAll Web Application Firewall (WAF)

D-Link UTM Firewall

D-Link Wireless Controller

Dtex Systems Dtex

Duo Security

F5 BIG-IP APM

ForeScout CounterACT

Fortinet FortiGate

FreeIPA

GTA Firewall

HAProxy

Huawei IPS Module

HP BladeSystem Chassis

HP MSM Integrated Controller

Imperva SecureSphere

Juniper SRX

Kaspersky Security Center

Kaspersky Security Center DataBase

Kerio Connect

LOGbinder for SharePoint

ManageEngine ADAudit Plus

McAfee AntiSpam

McAfee Web Gateway

Microsoft ATA

Microsoft Office 365 Cloud App Security

MikroTik Router

Motorola RFS 4000

NBS System Naxsi

NETGEAR Switch

NetMotion Mobility

NXLog Plugins

Microsoft DHCP Server through NXLog

Microsoft DNS Server through NXLog

Microsoft Exchange Server through NXLog

Microsoft IIS through NXLog

Microsoft IIS FTP Server through NXLog

Microsoft IIS SMTP Server through NXLog

Microsoft NPS through NXLog

Microsoft SCOM through NXLog

Microsoft SQL Server through NXLog

Microsoft Sysmon through NXLog

Microsoft Windows Event Logs through NXLog

Microsoft Windows Firewall through NXLog

Netwrix Auditor through NXLog

ObserveIT through NXLog

Oracle through NXLog

Sophos Enterprise Console through NXLog

Wing FTP Server through NXLog

Oracle JD Edwards EnterpriseOne

Oracle WebLogic Server

PacketFence

Palo Alto Networks PAN-OS

Palo Alto Networks Traps

ProFTPD

Proofpoint Protection Server

Pure Storage Purity Operating Environment

Rapid7 Nexpose

Red Hat JBoss Middleware

RSA SecurID Access Identity Router (IDR)

SecureAuth

SentinelOne

Shorewall Firewall

Sophos Antivirus

Sophos Central

Sophos XG Firewall

STEALTHbits StealthINTERCEPT

Symantec ATP

Symantec EPM

Thycotic Software Secret Server

Trend Micro Deep Security

Trend Micro Deep Security Inspector

Trend Micro Vulnerability Protection

Tufin Orchestration Suite

Ubiquiti TOUGHSwitch PoE

Untangle NG Firewall

Varonis DatAdvantage

VMware ESXi

VMware SSO

VMware vCenter

VMware View Administrator

Watchguard XCS

Watchguard XTM

Websense Web Security 7

zScaler NSS

自定义和开发新插件

AlienVault提供大量插件作为其默认安装的一部分。在大多数环境中,这应该涵盖您要集成的外部应用程序和设备。但是,如果您的环境中有一些不存在插件的新产品或应用程序,您可以向AlienVault提交请求以开发新插件。此外,AlienVault不断为现有插件添加新插件和发布更新。

有时您可能需要具有特殊属性或事件处理的插件。自定义插件是指重新利用特定类型的现有插件以更好地满足您的需求。在大多数情况下,自定义不会更改插件类型。

开发插件是指从头开始创建新插件,通常用于从当前不存在插件的特定设备类型中收集事件。要创建新插件,您可以手动编辑和配置所有插件的配置和正则表达式设置,或者您可以使用USM Appliance Web UI中内置的插件构建器向导来简化该过程。

本节提供了使用这些自定义或创建新USM设备插件的方法的更多信息。

本节中包含的主题是

通过AlienVault请求新插件或更新已有插件

AlienVault 应客户要求为公众提供的产品和设备构建或更新插件。 要利用此功能,客户必须拥有有效的AlienVault支持和维护合同。

重要提示:此策略不适用于定制软件或设备的插件。

有关USM Appliance开箱即用的插件的信息,请参阅此插件列表。

在提交您的请求之前

我们收到的信息越多,我们构建插件的速度就越快,就越准确。

完整的插件请求必须包含以下信息:

  • 产品的供应商,型号和版本。
  • 日志格式的说明。最常用的格式是Syslog。对于更通用的插件应用程序,如果可用且适合您的需要,则最好选择标准事件格式(如公共事件格式(CEF))。
    您可能还需要考虑使用产品的默认日志设置来定义要记录的字段。但是,如果产品具有您希望插件支持的特定日志记录配置,则应在请求中包含该配置。
  • 有关如何使用产品的说明,包括哪些消息以及这些消息中的哪些字段与您的业务最相关。
  • 来自相关设备的特定日志样本或数据库转储。为了获得最佳结果,请从日志样本中排除任何无关的噪音,同时仍保留区分要使用插件捕获的各种事件所需的所有数据。
    重要提示:提交日志样本时,必须从样本中删除或混淆所有个人身份信息(PII),如社会安全号码,信用卡号或医疗信息。
  • 如果您需要从日志中提取的日期,来源,目的地,用户名和协议以外的信息,请在请求中指定此信息,并提供示例。 这有助于我们测试插件以确保它可以成功提取数据。
  • 新插件的用例以及组织中应用程序或设备的业务价值。 此信息有助于我们为您的请求分配优先级。

为请求的插件创建示例日志文件和数据

作为提交新AlienVault USM Appliance 插件请求的一部分,您还需要包含一个日志示例或数据库转储,其中包含您希望插件能够处理和分析事件的所有相关事件和数据模式。 在将示例文件作为请求的一部分发送之前,您可能还需要检查示例文件,删除不需要捕获的任何无关的数据模式条目,同时确保示例文件包含您执行的尽可能多的数据模式 希望插件处理。

为基于资产日志的插件创建示例文件
除了直接检查和清除资产生成的日志文件外,AlienVault还建议您将资产的syslog文件直接转发到USM设备传感器的过程。 然后,在几天的时间内,尝试调用尽可能多的事件类型,以便相关数据将被捕获为USM Appliance Sensor 上的/var/log/alienvault/devices/文件夹中。

注意:每个资产的插件syslog文件都保存在USM设备传感器的/var/log/alienvault/devices/文件夹中,每个资产IP地址一个文件夹。

在此数据收集期之后,您可以从传感器中提取此日志文件并将其与您的插件请求一起提供,因此AlienVault插件团队将获得用于开发新插件的良好数据模式样本。

为基于Windows的应用程序创建示例日志文件

为仅将事件记录到Windows事件查看器的Windows应用程序创建插件样本日志文件需要采用不同的方法。 在这种情况下,创建有用的样本日志文件(使用新的插件请求提交)的一种有效方法是在相关的Windows主机上部署AlienVault HIDS代理。 然后,您可以配置代理程序的ossec.conf文件以从Windows主机捕获相应的事件。

注意:有关部署HIDS代理的详细信息,请参阅部署AlienVault HIDS代理。 有关为事件日志记录配置HIDS代理的详细信息,请参阅教程:在Windows上使用HIDS代理读取日志文件。

要配置HIDS代理记录事件,可以执行本教程中的任务1和2,以便使用HIDS代理读取日志文件。 任务1指定Windows应用程序生成的数据的源位置。 本教程中的任务2设置记录到LOGALL的事件范围(基于ossec.conf配置文件中定义的事件范围)。

在允许HIDS代理收集日志条目一段时间后,您可以检查USM Appliance上的/var/ossec/archives/archives.log文件,以获取Windows应用程序中的特定事件。 要创建要使用插件请求提交的示例日志文件,可以使用cat和grep等命令(任务3)来减少archives.log文件,使其仅包含您希望新插件捕获的特定事件的日志行。

注意:作为使用HIDS代理收集基于Windows的主机和应用程序的日志条目的替代方法,您还可以使用随USM Appliance提供的NXLog插件。 使用此方法,您可以更新nxlog.conf文件以定义要为特定设备收集的Windows事件数据。 然后,您可以使用新的插件请求提交NXLog插件(位于USM Appliance传感器上的/var/log/alienvault/devices/文件夹中)收集的日志文件数据。有关详细信息,请参阅通过NXLog记录Microsoft Windows 事件。

为数据库中存储的事件创建示例数据

为存储在数据库中的事件创建插件通常需要两件事。 首先,您必须定义提取要在事件中查看的信息所需的查询,将数据库信息映射到标准化的USM设备事件字段。 (您可能还希望提供某种类型的数据库模式映射,以及要包含在捕获的事件数据中的表中的列的定义。)其次,您需要提供某种类型的导出或转储的子集。 存储在数据库中的数据以测试插件。

注意:导出数据或创建数据转储和数据库查询的方法将根据使用的特定数据库引擎(例如Oracle或SQL Server)而有所不同。 有关执行上述任务的具体信息,请参阅供应商的文档。

自己定制已有插件

您可能希望自定义现有插件,例如,如果需要更新配置文件设置,添加或更新规则,排除事件或进行正则表达式更改。 您可能还向AlienVault提交了修改插件或创建新插件的请求,但您需要在等待更新时更快地更改插件行为。

注意:要提交新插件或更新的请求,请参阅通过AlienVault申请新插件或更新现有插件。 AlienVault每两周更新一次插件。

在你开始之前

对于要对其进行更改的任何现有插件文件,必须先创建一个具有相同名称的新空文件,并将.local扩展名附加到文件中

.cfg.local

然后,您可以将更改添加到.local文件中的插件中。您只需要包含要从原始插件文件更改的增量或项目,以及它所属的section name。然后,本地文件中的更改将优先于原始插件文件中定义的任何先前设置,并且系统更新也不会覆盖您的本地文件。

重要提示:AlienVault建议您保留自定义或开发的任何插件文件,直到您可以验证AlienVault是否在其每两周一次的更新中包含您请求的插件或修订版。

您可以更改插件文件中的任何内容,但plugin ID, enable,type, source参数除外。

例如,您可以更改插件文件中的文件位置或现有规则。如果要向插件添加新规则,可以修改regex参数并将匹配项分配给受影响的事件字段。您可以更改事件字段映射并使用自定义函数。

典型的定制包括但不限于

传感器不处理特定事件

启用插件后,USM设备传感器会处理插件的日志数据,并将收集的事件发送到USM Appliance服务器,并将其存储在SIEM数据库中。 然后,您可以通过选择Analysis > Security Events (SIEM)选项来查看USM ApplianceWeb UI中的事件。

使用插件一段时间后,您可能会发现许多您认为无需显示或跟踪的事件,只是在SIEM数据库中创建噪音并占用空间。 您可以将exclude_sids参数包含在插件配置文件的.local副本中,以实现相同的结果,而不是创建USM Appliance策略来过滤掉这些会产生一些处理开销的事件。

从插件中排除特定事件类型ID的集合

  1. Connect to USM Appliance through SSH.

  2. On the AlienVault Setup menu select Jailbreak System.

  3. If the file does not already exist, create the file/etc/ossim/agent/plugins/.cfg.local.

  4. In the .cfg.local file, add the exclude_sids parameter in the [CONFIG] section and specify one or more event type IDs (separated by commas) that you don’t want the sensor to process. For example:
    [CONFIG]
    exclude_sids=200,302,404,403

  5. Save the file and restart ossim-agent:
    /etc/init.d/ossim-agent restart

您使用exclude_sids参数指定的SID是USM设备分配给与插件配置文件中的特定规则匹配的每个事件的事件类型ID。 找到特定事件类型的SID编号的最快方法是转到“分析”>“安全事件(SIEM)”页面,然后单击要排除的特定事件的行。 在显示的“事件详细信息”屏幕中,您可以找到与事件关联的事件类型ID。 将该值用于插件配置文件中的exclude_sids参数。

另一种可以查看与每个插件关联的事件类型ID的方法是转到 Configuration > Threat Intelligence页面并选择Data Source选项卡。 从那里,显示的每一行都列出了有关插件的信息,您可以双击特定的行来查看所选插件的所有相关事件类型ID。

修改插件时区

如果您有一个插件来处理来自位于与传感器不同的时区的资产的日志,有时由于源设备使用了不正确的时区或无法更改的时区,您可以修改插件文件中的时区。 以下任务说明如何使用SSH插件作为示例。

更改插件使用的时区

  1. Connect to USM Appliance through SSH.

  2. On the AlienVault Setup menu select Jailbreak System.

  3. Check the default timezone that ossim-agent uses.
    ~# grep tzone /etc/ossim/agent/config.cfg
    tzone=Europe/Dublin

    This should match the timezone of where your USM Appliance Sensor resides.

  4. Create the file /etc/ossim/agent/plugins/ssh.cfg.local.

  5. In ssh.cfg.local, add the following parameter:
    [DEFAULT]
    tzone=Australia/Melbourne
    # Australia/Melbourne 表示您正在收集日志的资产的时区。

    Note: USM Appliance validates timezones against this list.

  6. Save the file and then restart ossim-agent.
    /etc/init.d/ossim-agent restart

  7. Check the agent log to make sure the new timezone has been applied:
    ~# grep -A1 “Starting detector” /var/log/alienvault/agent/agent.log
    2016-01-18 10:39:38,948 AlienVault-Agent [INFO]: Starting detector ssh (4003)…Plugin tzone: Australia/Melbourne
    2016-01-18 10:39:38,950 AlienVault-Agent [WARNING]: Using custom plugin tzone data: Australia/Melbourne

    自定义日期和时间格式
    不同的设备通常在其日志中使用不同的日期和时间格式。 USM Appliance通过提供内置函数normalize_date()来解决此问题,该函数将不同的日期格式转换为ISO 8601(USM Appliance Server接受的格式)。 有关函数可识别的格式列表,请参阅normalize_date()函数支持的格式。
    如果normalize_date()函数不支持日期和时间格式,例如DD/MM/YYYY HH:MM:SS,则可以创建自定义函数来处理所需的特定日期和时间格式。
    注意:现有日期格式在date_formats.json文件中定义。 建议不要修改此文件,因为USM Appliance更新将覆盖您对文件所做的任何更改。
    以下示例为名为normalize_date_not_american()的自定义函数提供模板,您可以在其中定义要格式化的日期和时间模式。
    #
    # Description:
    # This function should only be called when a date
    # is in this format:
    # 12/08/2016 21:44:47
    # dd/mm/yyyy hh:mm:ss
    #
    # Usage:
    # date={:normalize_date_not_american( $date_log )}
    #
    Start Function normalize_date_not_american
    from re import compile
    from datetime import datetime
    def normalize_date_not_american( self, string = “” ):
    pattern = compile( r’(?P\d{1,2})/(?P\d+)/
    (?P\d{4})\s(?P\d+)??P\d+)
    ??P\d+)’ )
    result = pattern.search(string)
    groups = result.groupdict()
    date = datetime(year=int(groups[‘year’]),
    month=int(groups[‘month’]), day=int(groups[‘day’]),
    hour=int(groups[‘hour’]), minute=int(groups[‘minute’]),
    second=int(groups[‘second’])).isoformat(’ ')
    return date
    End Function

创建并保存自定义函数后,您可以在插件配置文件中使用它。 有关在插件中使用自定义函数的详细信息,请参阅定义和使用自定义函数。

定义和使用自定义函数

除了USM Appliance支持的内置函数之外,您还可以创建自己的自定义函数,以将提取的数据转换为特定事件字段类型所需的格式。

创建新的自定义功能

  1. In the Config section, specify the location of a new file containing one or more new function definitions.
    [config]
    custom_functions_file=/etc/ossim/agent/plugin/custom.cfg

  2. Create a text file that matches the custom function’s file name. In the new file, define the operation of each new custom function you want to create. Each new function must start with Start Function <function_name>and end with End function.
    The following example shows the definition of two new functions , log_hello and log_hello_data.
    Start Function log_hello
    def log_hello(self):
    return “Hello log!”
    End Function

    Start Function og_hello_data
      def log_hello_data(self,data):
      return "Hello log: %s" % data
    End Function
    

    In this example, the log_hello() function returns the string “Hello log!” and the value assigned to a normalized event field. The second function returns the “Hello log!” string concatenated with the extracted user name value.

  3. Save and close the custom function file.
    注意:如果向插件添加自定义函数或访问专有数据库,请务必小心。 如果设计不当,这会降低性能。 添加后,自定义插件最多可能需要五分钟才会显示在USM设备Web UI中。

  4. 要使用新的自定义函数,您可以简单地包含任何事件字段分配的一部分,该字段分配对应于为特定规则或日志事件返回的提取数据。 例如
    [ssh - Failed password]
    # Feb 8 10:09:06 server1 sshd[24472]: Failed password for dgil from
    192.168.6.69 port 33992 ssh2
    event_type=event
    regexp="(\w{3}\s+\d{1,2}\s\d\d:\d\d:\d\d)\s+(?P\S*).*ssh.Failed
    password for
    (?P\S+)\s+from\s+.
    ?(?P\IPV4).*port\s+(?P\d{1,5})"
    plugin_sid=1
    sensor={resolv($sensor)}
    date={normalize_date(KaTeX parse error: Expected 'EOF', got '}' at position 3: 1)}̲ src_ip={src}
    dst_ip={resolv(KaTeX parse error: Expected 'EOF', got '}' at position 8: sensor)}̲ src_port={sport}
    username={KaTeX parse error: Expected 'EOF', got '}' at position 5: user}̲ userdata1=…user)}

    要点:不允许在内置函数中使用自定义函数,例如translate(:log_hello()),因为自定义函数是规则中要执行的最后一个函数。

向插件添加规则

以下任务说明如何更改现有规则并将新规则添加到插件,在本例中为Cisco ASA。

要将规则更改或添加到现有插件

  1. Connect to USM Appliance through SSH.

  2. On the AlienVault Setup menu select Jailbreak System.

  3. Create the file /etc/ossim/agent/plugins/cisco-asa.cfg.local.

  4. (根据需要)更改重新使用的插件所需的任何现有正则表达式映射或规则。
    以下示例以粗体显示已更改的规则,作为regexp参数的值。 注释部分显示regexp参数的映射目标。
    #Sep 17 06:25:31 5.5.5.5 : Sep 17 06:26:10 EDT: %ASA-ids-4-401004: #Shunned packet: 1.1.1.1 > 1.1.1.2 on interface inside
    [0001 - cisco-asa - Shunned packet]
    regexp="(?P\w{3}\s+\d{1,2}\s(\d{4}\s)?\d\d:\d\d:\d\d)\s*:?((?P\S+)\s*:?)?\s+[\w:\s]%?(?P(asa|ASA)-[\w-]-?(\d+)-(?P\d+)):\s+(?P[^:]+:\s+(?P\S+)\s+
    >\s+(?P\S+).*)"

  5. (根据需要)添加修订插件所需的任何新规则,如以下示例所示。 注释部分显示regexp参数的映射目标。
    #Mar 28 12:03:04 testbox %ASA-7-609002: Teardown local-host inside:1.1.1.1 duration 0:02:12
    [9000 - cisco-asa - Teardown local-host]
    precheck=“Teardown”
    regexp="(?P\w{3}\s+\d{1,2}\s(\d{4}\s)?\d\d:\d\d:\d\d)\s*:?((?P\S+)\s*:?)?\s+[\w:\s]%?(?P(asa|ASA)-[\w-]-?(\d+)-(?P\d+)):\s+(?P(?:Teardown\slocal-host\s)(?P[^:])??P\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3})\s\S+\s(?P\S+).)"
    event_type=event
    date={normalize_date(KaTeX parse error: Expected 'EOF', got '}' at position 6: date)}̲ device={re…device)}
    plugin_sid={KaTeX parse error: Expected 'EOF', got '}' at position 4: sid}̲ src_ip={src_ip}
    userdata1={KaTeX parse error: Expected 'EOF', got '}' at position 14: asa_short_msg}̲ userdata2=…iface}
    userdata3={KaTeX parse error: Expected 'EOF', got '}' at position 9: duration}̲ userdata4=…userdata}

  6. Save the file and then restart ossim-agent:
    /etc/init.d/ossim-agent restart

  7. 检查正则表达式以及文件中的字段分配
    /var/log/cisco-asa.log.
    我们建议您使用Internet上提供的任何实用程序来测试您添加的Python正则表达式是否与日志匹配。

创建新规则后,您还需要定义新的事件类型ID以分配给与新规则匹配的事件。

但是,如果要添加许多新的事件类型,则应该使用插件.sql文件,因为它要快得多。 当您只有一个或两个要添加的事件类型时,Web UI会更好。

注意:如果您不执行此任务,这些事件将不会出现在USM设备Web UI的“安全事件”视图中。

添加新事件类型

此过程使用USM Appliance Web UI将自定义事件类型添加到现有或新开发的插件。

  1. 转至Configuration > Threat Intelligence > Data Source.。
  2. 双击数据源以将其打开。
  3. 单击“插入新事件类型”。
    将出现“添加新事件类型”对话框。
  4. 填写字段,从列表中选择值,然后单击“更新”。

添加新事件类型的字段含义

Name* 事件描述。此处介绍的文本是指事件名称,它出现在安全事件(SIEM)页面的“事件名称”列中。
Event type ID* 参考plugin_sid,不能使用已有的ID,否则USM Appliance会返回错误。
Category 事件类型类别取决于事件类型ID。
Subcategory 选择新事件类型的子类别。 例如,事件类型ID可能包含子类别,例如Attack,Brute Force或Policy。
Reliability* 值范围从0到10,其中10是最大可靠性。
Priority* 值的范围为0到5,其中5为最高优先级。

USM Appliance 插件中使用的默认函数

USM Appliance Server必须以预定义格式接收规范化事件。 USM Appliance提供了许多内置函数,您可以使用这些函数将从匹配正则表达式获得的提取数据转换为规范化USM Appliance事件字段中预期的格式。

例如,USM Appliance中的时间和日期格式为YYYY-MM-DD HH:MM:SS(例如,2013-12-31 22:57:00),但不同的数据源可能会使用不同的格式 和日期。 您可以使用normalize_date()函数,通过将不同的时间格式转换为服务器接受的格式,简化事件规范化的过程。

另一个经常使用的函数是resolv(),它通过执行DNS查询将主机名转换为IPv4地址。

date={normalize_date($date)}
dst_ip={resolv($dst_ip)}
src_ip={resolv($src_ip)}

下表提供了内置USM Appliance默认函数。

Function Description
C O N C A T ( CONCAT( CONCAT(val1, v a l 2 , c h a r s ) 连 接 作 为 参 数 传 递 的 值 和 字 符 g e o i p g e t C i t y ( i p a d d r ) 根 据 内 置 的 G e o I P 数 据 库 获 取 相 应 的 城 市 。 g e o i p g e t C o u n t r y ( a d d r ) 根 据 内 置 的 G e o I P 数 据 库 获 取 相 应 的 国 家 / 地 区 。 g e o i p g e t C o u n t r y N a m e ( a d d r ) 从 I P 地 址 获 取 国 家 / 地 区 名 称 。 g e o i p g e t L a t i t u d e ( a d d r ) 从 I P 地 址 获 取 纬 度 。 g e o i p g e t L o n g i t u d e ( a d d r ) 从 I P 地 址 获 取 经 度 。 g e o i p g e t M e t r o C o d e ( a d d r ) 从 I P 地 址 获 取 城 域 代 码 。 g e o i p g e t P o s t a l C o d e ( a d d r ) 如 果 可 能 , 从 I P 地 址 获 取 邮 政 编 码 。 g e o i p g e t R e g i o n C o d e ( a d d r ) 从 I P 地 址 获 取 区 域 代 码 。 g e o i p g e t R e g i o n N a m e ( a d d r ) 从 I P 地 址 获 取 区 域 名 称 。 g e o i p g e t T i m e Z o n e ( a d d r ) 获 取 此 I P 地 址 所 在 位 置 的 时 区 。 r e s o l v ( h o s t ) 返 回 主 机 的 I P 地 址 。 首 先 在 传 感 器 上 的 资 产 数 据 库 的 本 地 副 本 上 执 行 查 找 , 然 后 尝 试 配 置 的 解 析 器 ( 通 常 是 D N S ) 。 未 找 到 主 机 将 导 致 值 0.0.0.0 。 r e s o l v i p ( i p a d d r ) r e s o l v p o r t ( p o r t n u m b e r ) r e s o l v i f a c e ( i n t e r f a c e n a m e ) m d 5 s u m ( s t r i n g ) n o r m a l i z e p r o t o c o l ( p r o t o c o l ) 返 回 协 议 信 息 。 n o r m a l i z e d a t e a m e r i c a n ( d a t e s t r i n g ) 返 回 U N I X 纪 元 日 期 。 n o r m a l i z e d a t e ( d a t e s t r i n g ) 返 回 U N I X 纪 元 日 期 。 u p p e r ( s t r i n g ) 返 回 提 供 的 字 符 串 的 大 写 版 本 。 s a n i t i z e ( s t r i n g ) 将 “   n ” 的 出 现 转 换 为 “   r ” 。 h e x t o i n t ( s t r i n g ) 返 回 十 六 进 制 字 符 串 的 i n t 表 示 形 式 。 t r a n s l a t e ( s t r i n g ) 返 回 转 换 表 中 的 右 侧 值 , 左 侧 是 “ s t r i n g ” 。 有 关 详 细 信 息 , 请 参 阅 插 件 基 础 中 的 转 换 部 分 。 t r a n s l a t e 2 ( val2, chars) 连接作为参数传递的值和字符 geoip_getCity(ipaddr) 根据内置的GeoIP数据库获取相应的城市。 geoip_getCountry(addr) 根据内置的GeoIP数据库获取相应的国家/地区。 geoip_getCountryName(addr) 从IP地址获取国家/地区名称。 geoip_getLatitude(addr) 从IP地址获取纬度。 geoip_getLongitude(addr) 从IP地址获取经度。 geoip_getMetroCode(addr) 从IP地址获取城域代码。 geoip_getPostalCode(addr) 如果可能,从IP地址获取邮政编码。 geoip_getRegionCode(addr) 从IP地址获取区域代码。 geoip_getRegionName(addr) 从IP地址获取区域名称。 geoip_getTimeZone(addr) 获取此IP地址所在位置的时区。 resolv(host) 返回主机的IP地址。 首先在传感器上的资产数据库的本地副本上执行查找,然后尝试配置的解析器(通常是DNS)。 未找到主机将导致值0.0.0.0。 resolv_ip(ipaddr) resolv_port(portnumber) resolv_iface(interfacename) md5sum(string) normalize_protocol(protocol) 返回协议信息。 normalize_date_american(datestring) 返回UNIX纪元日期。 normalize_date(datestring) 返回UNIX纪元日期。 upper(string) 返回提供的字符串的大写版本。 sanitize(string) 将“\ n”的出现转换为“\ r”。 hextoint(string) 返回十六进制字符串的int表示形式。 translate(string) 返回转换表中的右侧值,左侧是“string”。有关详细信息,请参阅插件基础中的转换部分。 translate2( val2,chars)geoipgetCity(ipaddr)GeoIPgeoipgetCountry(addr)GeoIP/geoipgetCountryName(addr)IP/geoipgetLatitude(addr)IPgeoipgetLongitude(addr)IPgeoipgetMetroCode(addr)IPgeoipgetPostalCode(addr)IPgeoipgetRegionCode(addr)IPgeoipgetRegionName(addr)IPgeoipgetTimeZone(addr)IPresolv(host)IPDNS0.0.0.0resolvip(ipaddr)resolvport(portnumber)resolviface(interfacename)md5sum(string)normalizeprotocol(protocol)normalizedateamerican(datestring)UNIXnormalizedate(datestring)UNIXupper(string)sanitize(string) n rhextoint(string)inttranslate(string)stringtranslate2(value, t r a n s l a t i o n t a b l e ) 返 回 名 为 “ t r a n s l a t i o n t a b l e ” 的 转 换 表 中 的 右 侧 值 , 其 中 左 侧 是 translation_table) 返回名为“translation_table”的转换表中的右侧值,其中左侧是 translationtable)translationtable value中包含的值。

normalize_date()函数支持的格式

当USM Appliance插入从各种设备接收的解析日志时,它们使用内置函数normalize_date()将不同的日期格式转换为ISO 8601(USM Appliance Server接受的格式)。

下表显示了normalize_date()函数支持的日期格式。normalize_date()函数按照此表中显示的顺序将日志中的日期格式与支持的格式进行比较,直到找到匹配项为止。

如果此表中未列出您的设备的日期格式,您可以编写自定义函数来自行解析它。 有关说明,请参阅自定义插件日期和时间格式。

normalize_date()支持的日期格式

设备或格式名称 示例
DC 2/15/2012 12:00:36 PM
Syslog Oct 27 10:50:46
Apache 29/Jan/2007:17:02:20
Syslog-ng Oct 27 2007 10:50:46
Bind9 10-Aug-2009 07:53:44
Snare Sun Jan 28 15:15:32 2007
Snort 11/08-19:19:06
Suricata-http 03/20/2012-12:12:24.376349
Arpwatch Monday, March 15, 2004 15:39:19 +0000
Heartbeat 2006/10/19_11:40:05
Netgear 11/03/2004 19:45:46
Tarantella 2007/10/18 14:38:03
Citrix 02/28/2013:12:00:00
OSSEC 2007 Nov 17 06:26:18
IBM 11/03/07 19:22:22
Lucent1 084658,1516697218 (hhmmss,timestamp)
Lucent2 084658+/- (hhmmss+/-)
Lucent3 084658 (hhmmss)
Nagios rrd 1162540224
FileZilla 11.03.2009 19:45:46
HP Eva 2 18 2009 14 9 52
Websense2 11 Jan 2011 09:44:18 AM
Exchange 2011-07-08T14:13:42.237Z
Sonnicwall 2011-05-12 07 59 01
CSV 09/30/2011,10:56:11
Honeyd 2011-05-17-09:42:24
Epilog 2011-11-21 06: 15:02
WMI 20180121084344.000000-000
Spanish Date 20120202 12:12:12
SNMPTRAP Mar 07, 2012 - 08:39:49
CheckPoint 1Feb2012;0:05:58 or 1Feb2012 0:05:58
Lilian* Date 11270 02:00:16
Bluecoat 2015-08-14 09:30:00
American Date 08/14/15 09:30:00 or 08/14/2015 09:30:00
Fortigate date=2015-03-17 time=22:03:55
Sophos UTM 2014:09:06-00:00:06
Snare_2 Jan. 22 11:20 AM
Aruba-airwave 01/22/2018 11:20 AM
Anti-Spam SMTP Proxy (ASSP) 01-22-18 11:21:35

  • Lilian是1582年10月15日格里高利历开始以来的天数

使用插件生成器创建新插件

除了描述用于自定义或创建新USM设备插件的其他方法之外,您还可以使用USM设备Web UI中提供的插件生成器来创建新的自定义插件。 插件构建器提供了一个交互式智能向导程序,该程序将指导您完成自动创建和配置新插件以使用USM Appliance进行部署的过程。

使用插件生成器创建一个新的自定义插件

插件生成器向导程序允许您上载示例日志文件,然后使用该文件来标识要在新插件的USM设备事件字段中规范化的数据。

使用插件生成器

  1. 从USM Appliance Web UI中选择Configuration > Deployment选项。

  2. 选择Plugin Builder 选项卡。
    USM Appliance Web UI显示以前使用Plugin Builder创建的任何自定义插件的列表。
    注意:插件生成器显示仅显示自身创建的新插件。 它没有显示可能已在插件生成器之外创建或自定义的任何其他自定义插件。 但是,您可以通过查看USM Appliance插件配置文件夹的内容来找到这些插件:/etc/ossim/agent/plugins.
    您还可以通过建立与AlienVault控制台的SSH连接并从AlienVault设置菜单中选择Configure Sensor >Configure data source plugin 选项来查看和启用自定义插件。

  3. 单击“添加新插件”按钮。
    USM Appliance Web UI显示Plugin Builder向导的第一步。 系统将提示您选择插件生成器将用于标识可以规范化为USM设备事件字段的数据的示例日志文件。

  4. 单击“浏览”按钮以导航到要用于标识可能的事件字段映射的示例日志文件的位置。
    选择日志文件后,插件构建器将确定是否可以上载文件以进行事件字段映射,并在成功时显示绿色复选标记

  5. 点击下一步。
    插件生成器前进到步骤2,在该步骤中,系统会提示您输入有关日志文件源的信息。

    注意:供应商和型号条目不得包含空格或特殊字符。 插件配置文件名中只包含插件ID。 供应商,型号和版本信息包含在插件文件头中。

  6. 对于“产品类型”字段,从弹出列表中显示的选项中选择产品类型。 (类别列表与USM Appliance SIEM分类法匹配。完成插件属性条目后,单击“下一步”。
    插件生成器现在显示日志文件条目到USM设备事件字段的初始映射,以显示特定的命名事件规则。

顶部显示您提交的样本日志文件中包含的数据,底部显示插件生成器为一个或多个命名事件规则标识的相应事件字段映射。
7. 单击编辑()按钮。
插件生成器显示一组字段,您可以在其中编辑将在插件生成符合特定规则的事件时将在USM设备中使用的名称,类别(和子类别)。
在事件属性字段下方的区域中,“编辑标记”部分允许您编辑或更新分配或映射到USM设备事件字段的数据标记。您还可以映射在日志数据之后图案化的其他未分配数据,并将这些数据标记分配给新事件字段。

  • 在“编辑标记”部分中,单击突出显示的关键字将显示标记数据到指定事件字段的映射。 插件生成器在显示屏底部的对话框中显示当前令牌映射。 您可以调整底部的滑块以更改标记映射并更改事件字段映射的其他属性。
  • 单击显示屏上半部分中未突出显示的标记数据,可以在显示屏底部显示的对话框中为事件字段映射创建其他日志数据。

您可以使用显示屏底部的滑动条来调整从示例日志文件中获取的映射到事件字段的数据标记的起点和终点。

  1. 在修改或添加要映射到事件字段的任何其他日志数据后,单击Return()链接。
  2. 单击 Save & Close,然后单击Next.。

注意:当前的插件生成器不允许从USM设备Web UI重新编辑自定义插件。 但是,您可以使用文本编辑器直接打开插件配置文件,并进行其他配置更改。 (自定义插件保存在/etc/alienvault/plugins/custom文件夹中。)您还可以从Plugin Builder的表格列表视图中删除现有插件,删除现有插件,然后重新开始使用插件创建新插件 生成器向导。

部署自定义插件

通过为各个资产或USM设备传感器启用插件,您可以使用与所有其他插件相同的方式使用插件生成器创建的自定义插件。 创建新的自定义插件后,插件配置文件将保存到USM Appliance服务器(用于USM Appliance All-in-One),并且还会分发到所有已配置的远程或外部传感器。 插件.sql文件自动应用于USM Appliance Server数据库。 无需在外部传感器上复制和运行插件.sql,因为它们没有单独的数据库。

注意:仅当您要将新的自定义插件部署到环境中部署的其他USM Appliance安装时,才需要导出或手动复制插件.cfg配置和.sql文件。 导出新的自定义插件仅导出插件.cfg配置文件。 因此,您仍然需要手动下载插件.sql文件,并将其应用于与您在环境中部署的任何其他USM ApplianceServer安装相关联的数据库。

从Scratch开发新的插件

本节概述了从头开始创建新插件可以遵循的过程,直接编辑和更新从特定数据源收集和规范化事件所需的插件配置(cfg)和.sql文件。

创建新插件的过程

以下过程详细介绍了创建新USM Appliance插件过程中的高级步骤。

  1. 为新插件创建 .cfg文件。您可能希望复制一个类似于您要创建的插件类型的现有.cfg文件,以节省时间。
  2. 为插件指定唯一的插件ID(9001及以上),并指定插件将从中读取的日志文件的位置。可用于用户定义插件的值范围是9001到2147483647,但以下值除外,这些值也是保留的。
    90003, 90005, 90007, 90008, 10002, 12001, 19004, 19005, 19006, 20505
  3. 使用正则表达式创建事件规则以匹配来自源日志文件的事件。
  4. 创建.sql文件,该文件指定写入SIEM数据库的数据,以获取所提取数据的所有事件/规则字段映射。您可能希望复制与要创建的新插件类似的现有.sql文件,并更改字段以描述在新插件中定义的事件。
  5. 激活插件。
  6. 使用以下命令将.sql文件导入SIEM数据库
    cat .sql | ossim-db
  7. 使用USM Appliance Web UI测试插件,以查看是否正在检测事件

插件设计最佳实践

AlienVault提供以下有关开发新插件或自定义插件的建议。

  • 使用尽可能大的日志样本来标识事件和数据模式。这有助于确保已考虑足够数量的数据变化。
  • 通过发出命令grep -v顺序从日志中提取数据,直到不再返回数据。
  • 标识可能包含在事件中的日志数据中的所有值。
  • 丢弃任何重复的日志数据。
  • 寻找数据模式作为将它们分组的方法。例如,一种组织原则可能是具有相同的数据字段分布。
  • USM Appliance使用plugin_sid识别单个事件,plugin_sid由序列号组成。因此,您可能会发现需要添加转换表部分以将捕获的数据日志字段与plugin_sids相关联。 (有关信息,请参阅创建插件配置文件。)
  • 通过计算每个日志行重复的次数来估计从日志生成任何事件类型的频率。
    grep | wc -l
  • 如果您有多个类似的日志行,请评估是否将单个规则应用于每个日志行是有意义的,从而创建两个或多个唯一事件,或者是否应创建一个处理一组类似日志行的规则并仅创建一个事件。
    在后一个示例中,由于需要匹配的数量,您可能会面临使规则过于复杂而无法生效的风险。
  • 仅捕获稍后将用于关联的字段。
  • 您可能会发现需要创建更通用的规则来捕获在应用特定规则后仍然存在的任何事件。
  • 选择预检查字符串。插件使用此字符串在应用规则之前搜索日志行。这可以作为过滤器,以避免将规则应用于无法匹配的行,从而提高插件性能。有关示例,请参阅向插件添加新规则中的步骤3之后的示例。顶部的第四个语句显示Pre-check =“Teardown”,然后是正则表达式。
  • 订购以0001开头并以9999结束的规则。创建编号为0002,0003等的组,为将来的表达留出空间。
    基于特定匹配条件的规则应始终为最低数字,更通用的规则应为最高规则。这有助于避免事件屏蔽,这可能在USM设备在特定规则之前加载通用规则时发生。
  • 当日志行与规则匹配时,USM Appliance会生成一个事件,并且与该队列中的任何其他规则不匹配。
  • sql文件中的plugin_sids不需要是连续的。如果需要,您可以插入间隙以使文件更易于维护。例如,您可以按以下方式为每组事件类型保留Plugin_sids
    • 1000 to 1999
    • 2000 to 2999
      即使您没有1000个不同的事件,此方法也可以使用。
  • USM Appliance支持许多内置函数,以简化将从日志中提取的信息转换为规范化事件的过程。此外,您还可以创建自己的自定义功能。 (参见插件基础知识)。

注意:如果向插件添加自定义函数或访问专有数据库,请务必小心。如果设计不当,这会降低性能。添加后,自定义插件最多可能需要五分钟才能显示在USM设备Web界面中。

教程:为Microsoft Exchange创建插件

在本教程中,我们使用Microsoft Exchange来展示如何开发日志插件。 从Exchange Server收集日志的首选方法是通过NXLog。 有关详细信息,请参阅Microsoft Exchange Server到NXLog。

插件开发步骤

  1. 检查要从中创建插件的数据源的日志文件。确定所有类型的日志消息,以及共享公共结构但使用不同值的消息。
  2. 通过编写新文件或复制现有的类似文件,然后重写它来创建 .cfg文件。
  3. 为插件提供数字ID。 (请参阅为创建插件配置文件获取可用值。)
  4. 指定插件应从中读取的文件的位置。
  5. 编写正则表达式来解析日志文件中的各个消息。
  6. 使用regex101.com上提供的测试工具测试正则表达式,看看它们是否能够正常运行。
  7. 通过复制现有的和类似的.sql文件来创建.sql文件。更改字段以描述自定义插件中包含的事件。
  8. 将.sql文件写入SIEM数据库。
  9. 通过AlienVault设置菜单,USM设备Web UI或USM设备资产启用插件。 (请参阅启用插件。)
  10. 通过将数据源中的日志发送到USM Appliance来测试插件。 (请参阅验证启用的插件是否正常工作。)

创建插件配置文件

此任务为名为“exchangews”的数据源创建插件配置文件,该文件使用SNMP进行数据传输。

创建插件配置文件

  1. (可选)通过复制现有的插件文件(如SSH.cfg)并将其重命名为exchangews.cfg,将现有插件用作新插件的模板。
  2. 编写新的插件配置设置:
    1. 使用9001到2147483647范围内的任何值更改plugin_id字段,但以下情况除外::
      90003, 90005, 90007, 90008, 10002, 12001, 19004, 19005, 19006, 20505
      注意:因为您复制了SSH.cfg,所以不需要创建header。 如果您从头开始创建文件,则需要在此时创建一个文件。 参见 The Plugin File Header.

    2. 将位置更改为指向日志文件/var/log/exchangews.log。

    3. 删除startup和shutdown字段。 这些字段不会被使用。 没有与此插件关联的应用程序。

    4. (可选)创建新的转换表。

    5. 转换表将字符串转换为数字,以便可以将其用作plugin_sid。

    6. HELLO=1
      MAIL=2
      RCPT=3
      DATA=4
      QUIT=5
      xxxx=6
      DEFAULT_=9999
      
    7. 创建新规则,填写下面的字段。

    8. 创建两个正则表达式来解析数据,因为日志文件中有两种不同的格式。
      [exchangews - Generic rule]
      #2011-10-09 05:00:15 1.1.1.1 36A42160 SMTPSVC1 MEE-PDC 192.168.1.2 0 HELO - +36A42160 250 0 48 13 0 SMTP - - - -
      #2011-10-09 05:00:16 1.1.1.1 36A42160 SMTPSVC1 MEE-PDC 192.168.1.2 0 MAIL - +FROM:[email protected] 250 0 57 45 0 SMTP - - - -
      event_type=event
      regexp="(?P\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2})\s(?P\IPV4)\s(?P\S+)\s(?P\S+)\s(?P\S+)\s(?P\IPV4)\s\d\s(?P\w+)"
      date={normalize_date(KaTeX parse error: Expected 'EOF', got '}' at position 6: date)}̲ plugin_sid…type)}
      dst_ip={resolv(KaTeX parse error: Expected 'EOF', got '}' at position 8: dst_ip)}̲ src_ip={re…src_ip)}
      hostname={KaTeX parse error: Expected 'EOF', got '}' at position 9: hostname}̲ userdata2=…userdata2}
      userdata3={KaTeX parse error: Expected 'EOF', got '}' at position 10: userdata3}̲ [exchangew…date)}
      plugin_sid={translate(KaTeX parse error: Expected 'EOF', got '}' at position 6: type)}̲ dst_ip={re…dst_ip)}
      src_ip={resolv($src_ip)}

    9. 使用文件/var/log/exchangews.log中的日志检查正则表达式。

    10. Internet上有几个实用程序来测试用Python编写的正则表达式。 建议使用其中一个实用程序检查创建的正则表达式是否与日志匹配。

    11. 注意:location参数限制为100个文件。

为插件创建一个 Plugin .sql 文件

以下示例显示了插件配置文件示例对应的插件.sql文件。

INSERT INTO plugin (id, type, name, description) VALUES (9001, 1, 'exchangews', 'Exchange E-mail Web server');
INSERT INTO plugin_sid (plugin_id, sid, category_id, class_id, name, priority, reliability) VALUES (9001, 1, NULL, NULL, 'exchangews: HELO' ,3, 2);
INSERT INTO plugin_sid (plugin_id, sid, category_id, class_id, name, priority, reliability) VALUES (9001, 9999, NULL, NULL, 'exchangews: Generic exchange event' ,3, 2);

更新SIEM 数据库

USM Appliance必须先将所有插件ID和事件类型存储在其数据库中,然后才能存储任何事件。 因此,如果您开发新插件并且不首先使用该数据更新数据库,则USM Appliance Server会删除这些事件,即使插件工作正常也是如此。

更新SIEM数据库

  1. 将更改写入SIEM数据库:
    cat exchangews.sql | ossim-db
  2. 在SIEM中应用更改:
    ossim-server restart

USM Appliance 更新

如果您部署了多个USM Appliance实例,AlienVault强烈建议您将USM Appliance安装保持最新并保持相同版本。 虽然USM Appliance是向后兼容的,但版本之间的差异可能会导致您错过安全事件。

更新不同的USM Appliance组件时,请遵循以下顺序。

  • USM Appliance记录器(如果有)
  • USM Appliance服务器或USM Appliance多功能一体机
  • USM Appliance传感器

按照此顺序,如果更新包含任何格式更改,则确保USM Appliance服务器/多功能一体机正确处理从USM Appliance传感器接收的任何数据。

同样,在更新包含Enterprise Server和Enterprise Database的USM Appliance Enterprise Server时,必须先更新Enterprise Server,然后再更新Enterprise Database。 这样,您可以确保Enterprise Server了解更新所引起的任何数据库更改

USM Appliance产品发布

AlienVault提供包含现有版本的安全更新和缺陷修复程序的修补程序。 这有时包括对底层操作系统的更新。 客户不应自行更改或更新操作系统,有关详细信息,请参阅USM Appliance未经授权的修改可能导致不稳定。

AlienVault communicates any new major releases before general availability. To see what we are currently working on, check out this post in the Success Center.

要了解每个产品版本的详细信息,请参阅消息中心中的“新更新:AlienVault <版本>已发布”消息。或USM Appliance发行说明

AlienVault实验室威胁情报更新

AlienVault Labs每周都会向USM Appliance平台提供威胁情报更新。 这些更新通常包括

  • 关联规则
  • 交叉关规则
  • 网络IDS签名
  • 主机IDS签名
  • 漏洞威胁数据库
  • 报告

注意:由于威胁情报更新会刷新漏洞扫描使用的漏洞威胁数据库,因此如果正在运行任何扫描作业,则无法完成。

要查找每个威胁情报更新的详细信息,请查看消息中心以获取AlienVault实验室威胁情报更新摘要消息。

插件Feed更新
AlienVault Labs通常每三周向USM Appliance平台提供一次插件Feed更新。 这些更新通常包括

  • 新的插件
  • 修复现有插件
  • AlienVault HIDS解码器和规则(USM设备版本5.3.2及更高版本)
  • 插件的通用平台枚举(CPE)字典
  • 要查找每个插件源更新的详细信息,请查看消息中心以获取插件源更新消息。

在USM Appliance 5.4及更高版本中,您可以配置威胁情报和插件更新以自动运行。 有关说明,请参阅配置威胁情报和插件的自动更新。

Update USM Appliance Online

You need to update USM Appliance manually after a release becomes available. You can perform the update either from the USM Appliance web UI or the AlienVault Setup menu.

In USM Appliance version 5.4 and later, you can configure threat intelligence and plugin updates to run automatically, but you still need to run the product updates manually.

Important: To ensure performance, based on the USM Appliance data sheet, the update process terminates when you have more than 200 million events in the database.

Finding Out the Version of Your USM Appliance

Updating from the Web UI

Updating from the AlienVault Setup Menu

Configuring Automatic Updates for Threat Intelligence and Plugins

Update USM Appliance Offline

离线更新USM设备需要使用以下项目

  • USM设备ISO映像
  • 带有USB 2.0接口的USB驱动器以刻录ISO映像

要在AlienVault USM设备上执行脱机更新,首先需要下载所需版本的ISO映像。有关说明,请参阅Download a USM Appliance ISO Image.。

然后,您需要将ISO映像刻录到USB驱动器。有关说明,请参阅Burn the USM Appliance ISO Image to a USB Drive.

使用刻录到USB驱动器的ISO映像是脱机更新USM设备的首选方法。但是,USM设备VMware映像不包含USB控制器,因此您无法将USB驱动器连接到它。有关如何在虚拟机中添加USB控制器的说明,请参阅VMware’s knowledge base article about USB support.。

如果无法使用USB驱动器,则可以将ISO映像上载到数据存储区,然后通过CD或DVD驱动器访问它。单击以下链接以获取VMware文档中的说明

  • Upload ISO Image Installation Media for a Guest Operating System
  • Add a CD or DVD Drive to a Virtual Machine in the vSphere Web Client

注意:选择“数据存储ISO文件”作为设备类型,并选择“连接时打开电源”以在虚拟机开启时连接设备。

最后,您可以按照以下步骤更新USM设备。

要点:为确保性能,基于USM Appliance数据表,当数据库中有超过2亿个事件时,更新过程将终止。

要脱机更新USM设备

  1. 通过SSH连接到AlienVault控制台并使用您的凭据登录。
  2. 显示AlienVault设置菜单。
  3. 选择系统首选项。
  4. 选择更新AlienVault系统。
  5. 选择更新(脱机)。
  6. 立即将USB驱动器插入本机,或将CD / DVD驱动器与USM Appliance ISO映像连接,然后按Enter()。

更新过程将扫描任何连接的文件系统(USB或CD / DVD),并自动安装。

备份和恢复

AlienVault USM设备不提供集中备份或恢复整个系统的工具。 但是,您可以单独备份或还原数据和系统配置。 如果需要,您还可以将USM设备硬件设备恢复为出厂状态。

如果您需要将备份文件从一个USM设备传输到另一个USM设备(例如,从有缺陷的USM设备到其RMA(退货授权)更换,则可以使用Windows上的SFTP客户端,例如WinSCP; 或Linux上的SCP协议。

本节涉及的主题包括以下内容:

Back Up and Restore Alarms

Back Up and Restore Events

Back Up and Restore MongoDB

Back Up and Restore NetFlow Data

Back Up and Restore Raw Logs

Back Up and Restore System Configuration

Migrate Your USM Appliance Deployment

Restore Software on a USM Appliance Hardware

Update Your AlienVault License Key

系统维护和远程支持

AlienVault USM Appliance使用消息中心集中所有系统内错误,警告和消息。消息中心还包括AlienVault发送的有关产品发布和订阅源更新的外部消息。您只能通过Web UI访问消息中心。

USM Appliance中的Remote Support功能通过Web UI或AlienVault控制台打开与AlienVault支持服务器的安全加密连接。这允许AlienVault支持人员访问,诊断和解决USM设备组件中发生的任何问题。将USM设备组件连接到支持服务器后,远程支持允许AlienVault支持人员独立解决问题。与AlienVault支持交换的所有数据都经过加密以确保安全。交换的信息仅供AlienVault支持或工程团队使用。

您应定期删除USM设备系统日志和/或旧事件日志,否则设备可能会空间不足。从版本5.2.1开始,USM Appliance会对其更新脚本添加预检查,以便在计算机没有足够的磁盘空间时更新失败。

如果其中一个发生故障,您可能需要更换AlienVault USM设备硬件上的电源或硬盘驱动器。这两个组件代表了硬件故障的最常见原因,并且可以在必要时进行更换。

有关更多详细信息,请参阅以下主题。

Message Center

Remote Support

Locate the AlienVault License and System ID

Purge Old System Logs

Replace Disk Drives or Power Supplies

你可能感兴趣的:(USM Appliance 部署和用户文档)