USM Appliance 部署指导
系统概览
USM Appliance 部署
设置管理接口
注册USM Appliance
USM Appliance初始设置
初始向导
IDS 配置
VPN 配置
高可靠性配置
插件管理
USM Appliance 更新
Backup and Restoration
系统维护和远程支持和
系统概览
这是AlienVault USM Appliance的基本概述,因为它在您的环境中部署和使用。 系统概述中涵盖的各个主题包括以下内容:
关于USM Appliance
适用于:USM Appliance™ , AlienVault OSSIM®
今天的企业面临着越来越多的威胁:
虽然安全解决方案的目标是检测和防止此类威胁,但是没有任何网络可以完全受到保护。 出于这个原因,USM Appliance专注于降低风险,识别漏洞,检测威胁以及优先响应最高优先级的威胁和漏洞。 降低风险,识别漏洞和检测威胁的措施包括:
风险评估的作用
要正确保护您的基础架构,请首先对您的资产进行风险评估。 风险评估可帮助您确定网络中资产的相对重要性,这些资产与特定利用威胁相关的漏洞以及针对这些资产发生安全事件的可能性。 完成这些分析后,您可以设计安全策略,以响应各种威胁和漏洞带来的相对资产价值和利用风险。
强有力的安全策略专注于如何最好地保护您最重要和最具风险的资产。 例如,如果网络资源很关键并且攻击它的可能性很高,请集中精力创建监视此类攻击的安全策略,并制定响应计划。
USM Appliance如何帮助进行风险评估和缓解
USM Appliance使您能够识别关键资产并设置策略,以便在这些资产存在漏洞或遭受攻击时提醒您。 USM Appliance将根据与USM Appliance中捕获的任何给定安全事件相关的风险生成警报。
任何特定安全事件的重要性取决于三个因素:
这些因素是传统风险定义的基石:衡量威胁对您资产的潜在影响以及威胁执行的可能性。
USM Appliance中生成的每个事件都会根据其相关风险进行评估;换句话说,与风险资产成比例,事件所代表的威胁以及威胁是真实的概率。因此,USM Appliance使您能够识别所有高风险事件,其中一些将导致警报,并允许您正确确定响应的优先级。
USM Appliance如何帮助检测威胁并确定响应的优先级
下图突出显示了USM Appliance提供的功能和相关工具,可帮助您在自己的环境中执行安全管理任务。
资产发现(Asset Discovery) - 结合三种核心发现和库存技术,使您可以了解网络中的设备。 功能包括:
执行资产发现和清单是了解网络上的系统和设备的第一步。 USM Appliance结合了三种核心发现和库存技术,使您可以了解要监控的设备。
注意: AlienVault USM Appliance和AlienVaultOSSIM®包含许多用于资产和网络发现,枚举和漏洞扫描的内置工具。这些工具利用各种方法进行发现,通常通过模仿他们试图保护您的流量行为来确定您对此类流量的暴露程度。这使合法扫描的可能性被误解为恶意流量。
为了打击互联网上的恶意行为,一些互联网服务提供商和托管服务提供商在合同中增加了扫描限制。许多国家都制定了有关这些做法的法律。在许多情况下,违反这些规则的回应可能包括书面警告,合同取消,甚至是民事或刑事指控。因此,在尝试扫描内部网络空间之外的主机或网络之前,请咨询您的互联网服务提供商,托管服务提供商和当地政府,以确定任何法律或合同限制。
漏洞评估(Vulnerability Assessment ) - 使用未修补的软件,不安全的配置以及网络上的其他漏洞识别资产和设备。 功能包括:
集成的内部漏洞扫描可让您及时了解网络中的漏洞,因此您可以优先考虑补丁部署和修复。 动态资产清单与漏洞数据库的持续关联可为您提供有关网络漏洞的最新信息,这些信息位于您的计划扫描之间。
注意事项同上
入侵检测 - 通过内置的安全监控技术,AlienVault Labs的新兴威胁情报以及快速补救的无缝闭环工作流,协调整个网络的事件响应和威胁管理。功能包括:
安装在服务器上的基于主机的代理中的内置文件完整性监控可提醒您未经授权修改系统文件,配置文件或内容。使用基于主机和网络的检测系统监控有线和无线网络上的网络访问,确定谁试图访问这些系统,文件和内容。
行为监控 - 识别异常情况和其他模式,以识别网络中新的未知威胁,以及授权用户和设备的可疑行为和违规行为。功能包括:
集成的行为监控可收集数据,帮助您了解“正常”系统和网络活动,从而在调查可疑操作问题或潜在安全事件时简化事件响应。完整的数据包捕获功能可以对网络流量进行完整的协议分析,从而可以全面重播潜在违规期间发生的事件。
安全信息和事件管理(SIEM) - 通过确定风险和响应的优先级来识别,包含和修复网络中的威胁。 功能包括:
您可以自动将日志数据与可操作的安全情报相关联,以识别策略违规并接收上下文相关和工作流驱动的响应过程。 您还可以使用经过数字签名的原始日志对事件进行取证分析。 原始日志还可用于满足证据保存的合规性要求。
基于Web的用户界面提供对AlienVault USM Appliance提供的所有安全管理功能的访问。 “USM Appliance用户指南”提供有关访问和使用USM Appliance中的所有工具以及从此用户界面执行特定安全管理操作的信息。
管理USM Appliance的法规遵从性
除常规安全管理操作外,USM Appliance还提供基本安全功能,帮助您实现法规遵从性。 通过其内置的资产发现,漏洞评估,入侵检测,行为监控,日志管理和文件完整性监控,USM Appliance可以帮助组织遵守PCI DSS,GLBA,ISO / IEC 27001,FISMA,NERC CIP等法规 ,FERPA和SOX。 USM Appliance还生成专门针对HIPAA,PCI,GLBA,ISO 27001,FISMA,NERC CIP,GPG13和SOX的内置报告。
此外,“使用USM Appliance进行PCI合规性”部分提供了有关使用USM Appliance帮助实现PCI DSS合规性的详细信息。 此信息也可用于满足其他标准的合规性规定。
关于AlienVault威胁情报
AlienVault Threat Intelligence通过Threat Intelligence Subscription集成到USM Appliance中,为USM Appliance提供了与当今市场上大多数其他安全管理解决方案不同的功能。 AlienVault威胁情报由AlienVault实验室安全研究团队开发,由OpenThreatExchange®(OTX™)提供支持,是关于网络面临的威胁的可操作信息,包括恶意行为者,他们的工具,基础设施和方法。 AlienVault威胁情报会告诉您威胁是什么,它来自何处,您环境中的哪些资产存在风险,以及如何应对。
AlienVault实验室
AlienVault Labs是AlienVault的内部威胁研究团队,由安全专家组成,他们对新出现的全球威胁和漏洞进行持续研究和分析。该团队不断监控,分析,逆向工程和报告复杂的零日威胁,包括恶意软件,僵尸网络和网络钓鱼活动。
该团队定期以相关指令,IDS签名,漏洞签名,资产发现签名,IP信誉数据,数据源插件和报告模板的形式向USM Appliance平台发布威胁情报更新。该团队还提供有关新兴威胁和特定于上下文的补救指南的最新指导,从而加速并简化威胁检测和响应。
AlienVault Labs团队还利用OTX的集体资源,OTX是世界上最大的众包威胁数据库,可提供对攻击趋势和恶意行为者的全局洞察。 AlienVault的安全专家团队分析,验证和策划OTX社区收集的全球威胁数据。
AlienVault实验室威胁研究团队通过提供理解和解决网络中最关键问题所需的威胁情报,提高了任何安全监控计划的效率。他们执行分析,允许您花费您的稀缺时间来修复和减轻威胁,而不是研究它们。
OpenThreatExchange®
Open Threat Exchange(OTX)是世界上最权威的开放式威胁信息共享和分析网络。 OTX提供对威胁研究人员和安全专业人员的全球社区的开放访问。它现在在全球拥有超过100,000名参与者,每天贡献超过1900万个威胁指标。它提供社区生成的威胁数据和 OTX pulses,支持协作研究,并使用来自任何来源的威胁数据自动更新安全基础架构。 OTX使安全社区中的任何人都能够积极地讨论,研究,验证和共享最新的威胁数据,趋势和技术,加强您的防御,同时帮助其他人做同样的事情。
OTX社区和相应的威胁数据是AlienVault Labs团队用于生成AlienVault威胁情报的关键数据源之一。 AlienVault Labs通过分析,验证和策划OTX社区提供的全球威胁数据,充分利用OTX的集体资源。
AlienVault OSSIM限制:AlienVault OSSIM不包括USM Appliance Logger。
什么是遥测收集及其工作原理
适用于:USM Appliance™ , AlienVault OSSIM®
在AlienVault,我们通过了解用户与USM Appliance平台的互动方式,不断努力改进USM Appliance。 通过匿名使用数据,我们将能够改善产品和用户体验。 在AlienVault USM Appliance 5.0版中,我们添加了可选的遥测收集功能,以帮助我们更好地了解客户如何使用我们的产品和服务。
Where Is the Telemetry Data Stored
AlienVault在内部服务器上接收并存储匿名遥测数据:telemetry.alienvault.com。 服务器证书由GoDaddy签名,所有USM Appliance实例都具有必要的证书,以便连接到此外部服务器。 遥测数据在当地时间周日凌晨2:00发送。
注意:如果您选择使用此功能,请确保更新防火墙规则以允许通过端口443向telemetry.alienvault.com发送出站连接。
遥测数据如何在分布式部署中聚集
如果您具有USM Appliance的分布式部署(例如,USM Appliance服务器,USM Appliance传感器和/或USM Appliance Logger),则USM Appliance服务器将从连接的USM Appliance实例收集遥测数据。换句话说,USM Appliance传感器和USM Appliance记录器本身不会发送遥测数据,但会通过USM Appliance服务器发送数据。
收集了哪些类型的数据
我们收集以下平台信息:
您可以查看收集的匿名数据的示例文件。 要了解有关信息使用的更多信息,请查看我们的隐私政策。
启用/禁用遥测收集
部署并注册AlienVault USM Appliance系统后,第一次从Web UI访问它时,系统会提示您创建管理员帐户。 在页面底部,请注意“将匿名使用情况统计信息和系统数据发送到AlienVault以改进USM Appliance”选项。 默认选择它,这意味着将启用遥测收集。 要禁用遥测收集,请取消选择此选项。
可以在5.x版本中随时启用或禁用遥测收集。 在Web UI中,导航到Configuration> Administration> Main,然后打开User Activity选项。 找到“向AlienVault发送匿名使用情况统计信息和系统数据以改进USM Appliance”,选择“是”以启用,或选择“否”以禁用。
未经授权修改USM Appliance可能导致不稳定
AlienVault USM Appliance旨在为客户提供易于使用的解决方案,以帮助监控其基础架构的安全性。它们有三种形式:
这些 Appliance包括AlienVault操作系统和USM Appliance软件,可提供内置的UnifiedSecurityManagement®(USM)安全功能。
这些 Appliance包括从AlienVault控制台访问设备CLI的选项。这可以通过从AlienVault设置菜单中选择“越狱系统”选项来完成,该菜单提供对设备的有限shell访问。此选项可帮助客户解决网络问题,数据收集问题,并帮助AlienVault支持团队与您一起解决在处理支持案例时遇到的任何与产品相关的问题。
根据AlienVault条款和条件,AlienVault不允许修改系统级配置文件,数据库或用于提供产品提供的功能的基础工具。尽管AlienVault集成了各种开源工具,但USM Appliance使用的配置旨在提供产品文档中所述的显式功能。对操作系统,工具配置或软件所做的更改可能会破坏 Appliance的稳定性并阻止 Appliance正常工作。
对操作系统,工具配置或软件的修改可能导致不稳定,因此需要将 Appliance重置为出厂设置以解决它。 AlienVault不鼓励客户进行此类修改。如果有一个用例要求您越狱设备,我们建议您与我们分享用例的详细信息,我们将考虑将来发布该产品的想法。
我们的目标是提供一个简单,稳定,易用的安全平台,帮助您监控环境中的威胁。保持系统稳定并且不受此类修改将防止不必要的停机,性能问题和维护。
如果您有任何疑问,请联系AlienVault技术支持。
如何向AlienVault提交安全问题
我们一直致力于提高产品的安全性。 您,AlienVault社区,帮助我们为客户提供安全软件的能力 - 所以提前感谢!
发现了一个安全漏洞? 通过https://hackerone.com/alienvault_security上的HackerOne计划向我们透露。 您可以在此页面上找到我们目前正在进行的域名的更多信息。
我们正在寻找哪些漏洞信息?
提交问题时,请提供技术说明,以便我们评估问题的可利用性和影响,并在适当情况下包括以下内容:
提供重现问题所需的步骤和任何其他信息。
如果您要报告跨站点脚本(XSS),那么您的漏洞利用至少应该在浏览器中弹出警报。如果XSS漏洞利用显示用户的身份验证cookie,则会好得多。
对于跨站点请求伪造(CSRF),当第三方导致登录受害者执行操作时,请使用正确的CSRF案例。
对于SQL注入,我们希望看到漏洞提取数据库数据,而不仅仅是生成错误消息。
HTTP请求/响应捕获或简单的数据包捕获对我们也非常有用。
请不要向我们发送指向非AlienVault网站的链接,也不要向我们发送PDF / DOC / EXE文件中的问题。图像文件没问题。确保该错误可被用户以外的其他人利用(“自我XSS”)。
注意:我们无法回复通用扫描程序报告。 如果您有安全从业者检查通用扫描报告并且他们已经隔离了需要解决的特定漏洞,我们会要求您单独报告这些漏洞。
关于USM Appliance系统架构和组件
适用于:USM Appliance™ , AlienVault OSSIM®
作为统一的安全平台,USM Appliance将多种关键安全技术集成在一个集成平台中。 USM Appliance可以部署为单个设备,也可以分布在多个服务器(虚拟或硬件)上,以提供额外的可扩展性和可用性。 下图提供了AlienVault USM Appliance系统架构的高级概述。
USM Appliance架构的三个组件协同工作以监控环境并提供安全性
基本的USM Appliance工作流程
USM Appliance在从网络设备收集原始数据时遵循一致的工作流程,然后将该数据解析并标准化为事件流,然后可以对其进行存储,过滤和关联,以识别威胁和漏洞。
有关事件收集和处理的更深入描述,请参阅USM Appliance中的日志收集和规范化。 另请参阅策略管理和事件关联主题。
USM Appliance部署选项
AlienVault USM Appliance可以采用以下两种基本配置之一进行部署:
分布式部署模型还有两个版本,USM Appliance Standard和USM Appliance Enterprise,它们通过为每个USM Appliance组件配置专用系统来提高可扩展性和性能。 有关USM Appliance部署模型和示例的更多详细信息,请参阅USM Appliance部署示例。
AlienVault OSSIM Limitations: AlienVault OSSIM doesn’t include the USM Appliance Logger.
事件收集,处理和关联工作流程
所有AlienVault USM Appliance的安全监控和管理功能源于其从设备收集数据的整体能力,将数据转换为定义事件的一组通用数据字段,然后处理,过滤和关联这些事件以识别潜在的威胁和漏洞 ,或实际发生的攻击。 USM Appliance还通过根据标的资产的价值,已识别威胁的来源和性质以及成功攻击的可能性分配风险值来评估事件的重要性和优先级。 有关以下主题,本节提供了有关此整体工作流程的更多详细信息:
日志数据收集,解析和规范化
日志收集是AlienVault安全管理的根本。 AlienVault USM Appliance从各种来源收集日志:网络设备,如防火墙和路由器,主机服务器和系统,以及在服务器上运行的软件应用程序。某些设备(例如,支持Syslog协议的设备)配置为将其日志直接发送到USM Appliance传感器。对于其他设备,USM Appliance会退出并检索日志。在这两种情况下,日志中的数据都被标准化,以便在定义事件的公共数据字段中提取和存储信息:IP地址,主机名,用户名,接口名称等。这些是安全分析师可以在USM Appliance中分析的事件,用于发现威胁和漏洞,并评估组织的风险。
使用插件记录解析
在USM Appliance传感器上运行,AlienVault USM Appliance代理配置了一组不同的日志解析插件,这些插件定义了如何从特定设备,系统或应用程序收集日志,以及如何将日志数据转换为标准化事件数据将事件发送到USM Appliance服务器之前的字段。插件还控制传感器上的其他事件收集功能,例如入侵检测。 USM Appliance配备了许多常见数据源的插件。联系AlienVault为任何尚未存在插件的数据源或产品请求新插件。您还可以创建自己的自定义插件,或自定义USM Appliance的现有插件。
安全事件的规范化
无论日志消息的格式如何,某些数据(例如用户名或IP和MAC地址)在所有设备日志中都是通用的。从日志消息文本中提取这些值并将它们存储到匹配的公共字段中称为规范化。规范化允许您对从不同来源收集的事件执行查询(例如,“显示源IP为192.168.1.3的所有事件”。)虽然从设备收集的原始数据的格式可能不同,但是相似的信息设备存储在发送到USM Appliance服务器的事件的同一字段中。
日志被分解为它们的消息类型,并且来自它们的信息用于填充定义事件的标准字段集(例如,日期,传感器,plugin_id,优先级,src_ip,src_port,dst_ip,dst_port,username ,userdata1)。
注意:有关规范化事件字段的完整列表,请参阅查看事件详细信息。
事件处理和过滤
规范化从日志文件和其他来源获取的数据后,USM Appliance传感器会将安全事件传输到USM Appliance服务器。 USM Appliance Server还对传入事件执行了几项附加操作,包括:
执行这些操作后,USM Appliance服务器将根据指定的用户策略和过滤条件,将选定或合格的事件保存在SIEM事件数据库中,以便进一步分析和关联。事件数据库通常与USM Appliance服务器位于同一主机上,但在大型部署中,数据库可以安装在单独的主机上,以提高性能和容量。
事件关联,警报和通知
在USM Appliance服务器执行的基本处理,分析和过滤之后,选定或合格的事件将被输入AlienVault USM Appliance关联引擎。通过使用AlienVault USM Appliance关联,分析人员可以查找跨多个设备和系统类型的模式和事件序列。事件实际上可以由关联引擎多次处理,因为不同的关联规则可以采用与输入相同的事件。
关联指令会创建警报
随着事件继续进入关联引擎,USM Appliance会根据关联指令或规则中指定的事件条件生成警报:
此外,当您注册OpenThreatExchange®(OTX™)时,USM Appliance配置为从OTX接收原始“脉冲”数据和危害指示(IoC)。当USM Appliance检测到与您环境中的资产交互的相同IoC时,它会关联该数据并提醒您任何相关的OTX脉冲和与IP信誉相关的安全事件和警报。
登录USM Appliance后,您可以从USM Appliance仪表板中看到哪些OTX指示灯在您的环境中处于活动状态。当OTX中识别的恶意IP地址与您的任何系统资产通信时,或者当USM Appliance识别OTX中看到的任何其他IoC在您的网络中处于活动状态时,您将立即收到事件或警报形式的通知。
注意:有关如何处理和关联USM Appliance警报的详细信息,请参阅警报管理。
事件可视化和分析
从设备日志获取的事件以及由关联引擎本身生成的事件都可以从USM ApplianceWeb UI中进行搜索,查看和报告。 有两种不同的选项可用于访问和查看事件:
有关从USM ApplianceWeb UI查看事件和执行其他安全管理操作的详细信息,请参阅查看安全事件和查看并验证原始日志。
USM Appliance 部署
USM Appliance旨在提供易于部署且易于操作的安全管理解决方案。它特别适合中小型企业,类似于大型企业,需要确保其网络环境的安全性,但可能没有那么大的支持人员来设置和管理更复杂的安全管理系统。
除了比大多数替代系统更易于设置和操作外,USM Appliance还具有模块化架构,可灵活配置性能和容量。 USM Appliance多功能一体机将USM Appliance解决方案的所有组件组合在一台虚拟或硬件机器中。此外,根据您特定环境的当前或未来需求,您还可以在USM Appliance架构中扩展单个组件以在专用计算机上运行,添加传感器以从更多设备和网络收集日志,以及实现其他功能,例如高可用性,远程网络上的设备监控以及USM Appliance的远程管理。
注意:有关更多信息以及部署和配置选项的摘要,请参阅USM Appliance部署类型。 本节还提供了USM Appliance的不同大小和规模部署配置的示例。
部署规模和扩展
有许多因素会影响您的USM Appliance配置以及您选择部署的特定USM Appliance架构。主要因素是您的环境中的设备可能产生的每秒事件数。在估计事件总量时,您需要在环境中包含要使用USM Appliance(包括防火墙,路由器和主机服务器以及已安装的应用程序)监视和管理的所有设备,并估计这些设备上的聚合活动。设备。
此外,您可能需要考虑计划在USM Appliance部署中解决的特定安全管理用例的其他方面,其中可能包括但不限于
您的AlienVault技术代表可以帮助您分析您的环境以确定系统要求,并可以为您提供一份调查问卷,列出影响系统规模调整和扩展的不同因素,这可以帮助您选择正确的系统配置。
注意:AlienVault USM Appliance数据表描述了许多不同USM Appliance系统配置和选项的典型事件处理性能和容量基准。
安装,设置和配置
USM Appliance的安装和配置相对简单。为了在特定环境中实现快速部署,USM Appliance多功能一体机包括一个入门向导,可指导您完成一些初始设置任务。在虚拟环境中,USM Appliance打包为虚拟机,可以使用虚拟资源轻松安装和配置,例如VMware ESX或Hyper-V管理的虚拟资源。有关详细信息,请参阅虚拟机要求
执行USM Appliance配置的一些高级步骤包括
您可以使用AlienVault设置菜单执行大部分任务。有关执行这些任务的信息,请参阅USM Appliance初始设置部分。
USM Appliance 部署类型
适用于:USM Appliance™
本节介绍各种USM Appliance组件,并说明不同的部署类型。
USM Appliance组件
所有USM Appliance产品都包括这三个核心组件,可用作硬件或虚拟机。 USM Appliance All-in-One将服务器,传感器和记录器组件组合到一个系统上。
USM Appliance传感器
USM Appliance传感器部署在整个网络中,用于收集日志和监控网络流量。它提供了五种基本的USM Appliance安全功能 - 行为监控,SIEM,入侵检测,资产发现和漏洞评估 - 以实现完全可见性。
必须至少有一个USM Appliance传感器。根据您的公司要求,可能需要更多。如果您在总部的网络下属子网上分布分支,则尤其如此。
USM Appliance服务器
聚合并关联传感器收集的信息。提供单一窗格的管理,报告和管理。
通常只有一个USM Appliance Server。
USM Appliance记录器
安全地存档原始事件日志数据,用于法医研究和合规性任务。
通常只有一个USM Appliance记录器。但是,在某些情况下,可能会使用两个。有关信息,请联系AlienVault技术支持。
USM Appliance部署类型
您可以通过以下两种方式之一部署AlienVault USM Appliance:简单或复杂。
注意:USM Appliance Enterprise解决方案不可用作虚拟机。
AlienVault USM Appliance部署解决方案
USM Appliance All-in-One USM Appliance Standard USM Appliance Enterprise
User Type 小型组织 中型组织 大型型组织
Environment Single-tier deployment Multi-tier deployments & distributed environment Multi-tier deployments and distributed environment
Virtual Appliance x x
Hardware Appliance x x x
USM Appliance部署示例
本主题提供三个USM Appliance部署选项的拓扑示例
使用USM Appliance All-in-One进行简单部署
通过All-in-One和一个或多个远程传感器的组合进行扩展的简单部署
具有多个分支的大型公司的复杂部署
USM Appliance 部署需求
适用于:USM Appliance™
虚拟机的最低硬件要求
所有AlienVault USM Appliance硬件均符合下表中列出的要求。 要获得足够的性能,您需要使用类似或更好的硬件来托管每个AlienVault USM Appliance虚拟机。 在系统资源不足的情况下托管USM Appliance虚拟机可能会影响其执行必要任务的能力,还可能影响规定的吞吐量。 此外,如果您满足硬件规范但尝试在其上运行多个USM Appliance虚拟机,则性能会下降。
警告:在USM Appliance版本5.4中,AlienVault更新了其网络IDS以包含Hyperscan库,该库需要CPU支持SSSE3(补充流式SIMD扩展3)指令集。 要检查您的CPU是否包含SSSE3,
cat /proc/cpuinfo | grep ssse3
Name Value
CPU Type Intel® Xeon E5620
RAM Type DDR3 1333 MHz
Disk Type SAS 10000 RPM (204 MB/s)
Memory Performance (MEMCPY) 3310.32 MiB/s
Disk Performance (random read/write) 15.97 MB/s (120 Mb/s)
虚拟机要求
下表列出了部署不同AlienVault USM Appliance虚拟机的系统要求。 有关更完整的列表,请参阅AlienVault网站上的USM Appliance数据表。
**要点:虚拟机必须在硬件虚拟化模式(HVM)中运行。 目前不支持半虚拟化,因为设备需要SCSI设备总线(SDx)连接器。
USM Appliance All-in-One Remote Sensor USM Appliance Standard
1TB 500GB 1TB 250GB Server Logger Sensor
Total Cores[1] 8 4 8
RAM (GB) 16 8 24
Storage (TB) 1.0 0.5 1.0 0.25 1.2 1.8 1.2
虚拟化环境 ESXi 5.5 and later [2] Windows 2008 SP2 and later)
支持的浏览器
AlienVault支持以下浏览器。 所有USM Appliance版本都在最新版本的浏览器和最新版本之前进行了测试。
Browser/Platform Windows Mac OS X Linux
Chrome Yes Yes Yes
Edge Yes N/A N/A
Firefox Yes Yes Yes
Internet Explorer 11 Yes N/A N/A
Safari N/A Yes N/A
防火墙权限
USM Appliance组件必须使用特定的URL,协议和端口才能正常运行。
注意:如果部署USM Appliance多功能一体机,则只需打开与受监控资产关联的端口,因为多功能一体机包括USM Appliance服务器和USM Appliance传感器,因此它们之间的通信将变为内部。
如果您的公司在高度安全的环境中运行,则必须更改防火墙上的某些权限,以便USM Appliance获得访问权限。
USM Appliance功能使用的外部URL和端口号:
Server URL 端口 AlienVault Features in Use Applicable Release
data.alienvault.com 80 AlienVault product and feed update All
maps-api-ssl.google.com maps.googleapis.com 443 Asset Location All
maps.google.com maps.gstatic.com 80 Asset Location All
messages.alienvault.com 443 Message Center All
otx.alienvault.com1 443 Open Threat Exchange® 5.1+
reputation.alienvault.com 443 AlienVault IP Reputation All
telemetry.alienvault.com 443 Telemetry Data Collection All
tractorbeam.alienvault.com 22, 443 Remote Support All
www.google.com2 80 AlienVault API All
cdn.walkme.com3
playerserver.walkme.com
ec.walkme.com
rapi.walkme.com
papi.walkme.com None AlienVault Product Management 5.4.3+
下图显示了USM Appliance组件用于彼此通信以及与受监控资产通信的端口号。 箭头的方向指示网络流量的方向。
重要提示:标有*的端口是可选的。
在您计划部署AlienVault HIDS代理的主机上,为了允许初始部署,您必须打开TCP端口135,TCP端口139或TCP端口445,以及高TCP端口(1024或更高)。 请参阅Microsoft有关分布式文件系统命名空间(DFSN)的端口要求的文档。
您还需要打开UDP端口1514,以便在AlienVault HIDS代理和USM Appliance传感器之间进行持续通信。 有关部署的帮助,请参阅部署AlienVault HIDS代理。
要在USM Appliance中使用SNMP,您需要在SNMP代理上打开UDP端口161,在USM Appliance传感器上打开UDP端口162。 有关更多详细信息,请参阅USM Appliance中的SNMP配置。
如果运行5.6.5之前的USM Appliance版本,则还需要在Sensor上为漏洞扫描程序打开TCP端口9391。 但是从版本5.6.5开始,使用UNIX域套接字进行漏洞扫描,因此不再使用端口9391。
关于VPN的使用
图中显示的端口33800是默认值,仅在启用VPN时使用。 如果需要,您可以为VPN使用不同的端口。
注意:启用VPN时,您无需打开USM Appliance传感器和USM Appliance服务器之间的其他端口,因为所有通信都通过VPN隧道。
如果启用VPN,除了为VPN隧道打开端口33800 / TCP之外,还需要允许该端口的TLS传输,以防您使用可以执行检查或拦截TLS流量的防火墙/安全设备。
配置USM Appliance硬件
在VMware中部署USM Appliance
使用Hyper-V Manager部署USM Appliance
使用AMI部署USM Appliance
AlienVault OSSIM® 安装进程
可以在AlienVault OSSIM产品页面上找到免费的开源AlienVaultOSSIM®ISO文件。 下载ISO文件并将其保存到您的计算机。 在安装之前,请务必确保您已满足下面列出的系统要求。 AlienVault OSSIM不支持半虚拟化,需要完全虚拟化网络和存储。
最低系统要求
对于AlienVault OSSIM的安装,最低系统要求如下
注意:这些只是基本操作的最低系统要求,可能不是所有实例的最佳设置。 例如,建议使用AlienVault OSSIM平均处理1000-2000 EPS(每秒事件数)的实例,具有8CPU内核,16-24GB RAM和500GB-1TB HDD的系统。
在虚拟机上安装AlienVault OSSIM
下载AlienVault OSSIM ISO文件后,即可将其安装到虚拟机中。
安装AlienVault OSSIM
您现在可以使用root帐户登录系统,并输入在设置过程中指定的密码。
Web UI Access
安装过程完成后,您可以访问Web UI并设置管理员帐户。
开始使用AlienVault OSSIM
部署后配置USM Appliance 传感器
部署后配置USM Appliance 记录器
配置USM Appliance 企业服务器和企业数据库
设置管理接口
首次启动USM设备硬件或在部署后启动虚拟机控制台时,必须配置管理界面以建立网络连接。 您可以手动配置管理界面或使用DHCP(动态主机配置协议)。 但在初始设置之后,DHCP配置不再可用。
要点:使用DHCP配置时,应在配置之前为USM Appliance创建地址预留。 为确保正常运行,USM Appliance需要静态IP地址。
配置管理接口使用DHCP
手工配置管理接口IP
注册USM Appliance
………
USM Appliance 初始设置
在执行设置任务之前,您必须已成功部署USM Appliance并设置管理界面。 您还需要访问AlienVault设置菜单。
您可以通过以下方式之一访问AlienVault设置菜单:
为简化程序,以下任务步骤引用SSH客户端PuTTY的用户界面(UI)作为解释如何访问AlienVault控制台的方法。
访问AlienVault控制台
出现USM Appliance的AlienVault启动画面。 如果这是第一次,它会显示根用户名和随机生成的密码供您输入。
使用默认用户名和随机生成的密码初次登录后,USM Appliance会提示您更改密码。
要点:如果要为USM Appliance Standard或Enterprise组件配置高可用性(HA),则必须为主节点和辅助节点提供相同的root密码。 请参阅高可用性配置。
要更改root密码
注意:光标在字段上不可见。 要验证光标位于正确的位置,请在字段的开头查找黑色左边框。 这告诉您光标应该在哪里。
入门指导
IDS设置
入侵检测系统(IDS)监视网络和主机,以搜索恶意活动或策略违规,例如危害机密性,系统安全性或完整性。一些IDS系统可能能够阻止入侵尝试,但这既不是IDS系统所必需也不是预期的。 IDS系统主要侧重于识别可能的入侵,记录有关它们的信息以及报告尝试,安全分析师可以进一步分析这些入侵。
传统网络防火墙分析网络和传输层标头,例如源和目标IP地址,协议以及源和目标端口。然而,今天的攻击者不仅仅是针对网络和传输层,因为网络防火墙可以很好地保护它们;相反,他们专注于利用操作系统,应用程序和协议中的漏洞。网络防火墙无法检测到此类攻击。因此,您需要其他安全系统(如IDS)才能检测到它们。 IDS可以检测到的其他攻击示例,但防火墙不能包括:
IDS系统通常分为两类:
Network Intrusion Detection System (NIDS)
您通常在网络防火墙内部放置网络入侵检测系统(NIDS),它可以监控来自所有设备的流量。这样,NIDS就可以检测到通过网络防火墙的恶意活动。 NIDS通常通过监视网络流量的副本在混杂模式下工作。它通过将流量与已知攻击数据库(也称为签名)进行比较,或通过检测流量模式中的异常来分析流量。识别后,生成NIDS事件并报告给管理站。
您可以使用以下设备将网络流量转发到NIDS:
NIDS的优点:
NIDS的局限性:
Host Intrusion Detection System (HIDS)
基于主机的入侵检测系统(HIDS)监视计算机系统的行为和状态,以及系统发送和接收的网络数据包。 HIDS作为系统上的代理运行,将检测到的事件发送到管理站。 HIDS代理通常监视哪些程序访问哪些资源,并确定应用程序是否在内存,文件或数据库中进行了未经授权的更改。 HIDS还可以查看系统状态并监视系统特定的日志,以便检测系统上的任何重大更改。
当NIDS检测到通过NIDS监控的网络发送的攻击时,HIDS会检测到网络上主机的攻击。 NIDS无法检测使用加密的数据包流中的事件,但HIDS可以在主机解密流量之后。理想情况下,HIDS应与NIDS并行工作。您可以关联两个系统检测到的事件,以确定攻击是否成功。例如,检测到的网络攻击,然后在服务器上创建管理员帐户,可能意味着攻击成功。
HIDS的优点:
HIDS的局限性:
AlienVault OSSIM限制:AlienVault OSSIM和USM ApplianceHIDS解码器功能齐全,其所有信息均来自USM Appliance和AlienVault OSSIM提供的插件源更新。 但是,AlienVault OSSIM缺乏通过威胁情报更新提供给USM Appliance的NIDS信息的深度。
AlienVault HIDS(基于ossec开源HIDS)
包含在USM Appliance中的AlienVault HIDS提供以下功能:
AlienVault HIDS使用服务器/代理体系结构,HIDS代理驻留在您要监控的主机上;并且HIDS服务器驻留在USM Appliance传感器上。 USM Appliance传感器从HIDS代理接收事件,对其进行规范化,并将它们发送到USM Appliance服务器以进行分析,关联和存储。 AlienVault HIDS也对Linux上的无代理操作提供了一些有限的支持,仅用于日志检索。
您需要将HIDS代理部署到客户端系统。 HIDS代理作为连续的内存服务运行,通过UDP端口1514与USM Appliance传感器交互.USM Appliance传感器生成并向HIDS代理分发预共享密钥,HIDS代理然后使用密钥验证HIDS代理和USM Appliance传感器之间的通信。
虽然HIDS代理是收集Windows安全和系统事件日志的理想选择,但使用NXLog在Windows上收集应用程序日志更为有效。 AlienVault为Microsoft IIS,Microsoft DHCP服务器,Microsoft Exchange Server和Microsoft SQL Server提供NXLog插件。 有关完整列表,请参阅NXLog插件。
部署 AlienVault HIDS Agents
您可以将AlienVault HIDS代理部署到主机
Deploy AlienVault HIDS Agents to Windows Hosts
对于Microsoft Windows主机,USM Appliance会生成包含相应服务器配置和身份验证密钥的二进制文件。您可以选择让USM Appliance为您安装该文件,或者下载该文件并自行将其安装在主机上。
在将HIDS代理部署到Windows计算机之前,请确保它符合以下要求。
注意:出于安全原因,默认情况下,在当前主流支持的所有Windows版本上禁用本地管理员帐户。 为了使HIDS部署成功,您需要启用本地管理员帐户(不推荐),或创建用户帐户并将其添加到内置Administrators组。
……没有完成
AlienVault NIDS
AlienVault NIDS在USM Appliance中扮演着重要角色。通过检测恶意网络事件,它为关联指令和互相关规则提供重要信息。将此信息与从其他设备收集的事件相结合,USM Appliance可以全面了解恶意活动。
AlienVault NIDS功能(包括监控网络流量和检测恶意事件)在USM Appliance传感器上进行。您应该在USM Appliance传感器或USM Appliance多功能一体机上配置至少两个网络接口:
USM Appliance Server通过插件使用NIDS签名,这些插件生成AlienVault NIDS事件。关联引擎处理并关联规范化事件,然后将它们存储在SIEM数据库中。
AlienVault OSSIM限制:AlienVault OSSIM和USM ApplianceHIDS解码器功能齐全,其所有信息均来自USM Appliance和AlienVault OSSIM提供的插件源更新。 但是,AlienVault OSSIM缺乏通过威胁情报更新提供给USM Appliance的NIDS信息的深度。
配置NIDS
USM Appliance已启用AlienVault NIDS,但您需要执行以下步骤以监控网络流量。
重要提示:AlienVault建议您通过SPAN /镜像端口发送未标记的数据包。 这是因为目前不支持VLAN中继。 因此,丢弃通过其他第2层协议发送的网桥协议数据单元(BPDU)或数据包。 第2层协议包括但不限于思科发现协议(CDP),动态中继协议(DTP),链路聚合控制协议(LACP),端口聚合协议(PAgP),生成树协议(STP)和VLAN 中继协议(VTP)。
启用监控网络接口
如果您有USM Appliance多功能一体机并且尚未完成初始配置,则可以使用“入门向导”启用NIDS监控界面。 请参阅配置网络接口。
否则,您可以使用Web UI(推荐)或AlienVault设置菜单配置网络接口。
To enable an interface using the web UI
To enable an interface in the AlienVault Setup menu
Add Monitored Networks
默认情况下,USM Appliance监控所有RFC 1918专用网络(10.0.0.0/8,172.16.0.0/12和192.168.0.0/16)。 因此,如果您的网络使用私有IP地址,则无需采取任何进一步操作。 但是,如果要使用公共IP地址监视网络,则必须将网络添加到受监视网络列表中。 您可以使用Web UI(推荐)或AlienVault设置菜单为NIDS监控添加网络。
To add a network using the web UI
To add a network in the AlienVault Setup menu
AlienVault OSSIM限制:AlienVault OSSIM和USM ApplianceHIDS解码器功能齐全,其所有信息均来自USM Appliance和AlienVault OSSIM提供的插件源更新。 但是,AlienVault OSSIM缺乏通过威胁情报更新提供给USM Appliance的NIDS信息的深度。
查看NIDS事件
您可以像处理任何其他安全事件一样查看AlienVault NIDS事件。 有关参考,请参阅安全事件视图。
查看AlienVault NIDS活动
AlienVault NIDS事件表明可能发生了攻击,但他们并不保证已发生此类攻击。 因此,在继续调查之前,您必须检查触发签名的流量并验证恶意。
在事件详细信息页面的底部,所有AlienVault NIDS事件都包含有效负载和确定问题的规则。 您可以检查有问题的数据包的有效负载,研究规则或下载PCAP文件以进行离线分析。
定制 NIDS规则
有时,您可能希望自定义AlienVault NIDS规则或启用默认禁用的规则,以便检测在网络中更好地运行。 本节介绍如何完成这两项工作。
重要提示:以下步骤是针对USM Appliance多功能一体机编写的。
如果USM Appliance服务器和USM Appliance传感器分开,则必须在每个传感器上执行步骤#1至步骤#7,步骤9和步骤#10。 将local.rules文件从Sensor复制到服务器后,必须在USM Appliance服务器上执行步骤#8。 这是因为数据库仅存在于服务器上。
To customize the AlienVault NIDS rule(s)
确定要启用的规则。
通过SSH连接到AlienVault控制台并使用您的凭据登录。显示AlienVault设置菜单。
在AlienVault Setup主菜单上,选择Jailbreak System以获取命令行访问权限。出现提示时选择Yes。 您将位于根目录中。
将要启用的规则放入/etc/suricata/rules/local.rules并保存更改。 一种方法是从原始规则文件中复制规则并将其粘贴到local.rules中。
cat /etc/suricata/rules/emerging_pro-policy.rules | grep 2009294 | cut -d’#’ -f2 >> /etc/suricata/rules/local.rules
# 在此命令中,grep用于搜索已禁用的信用卡策略规则的唯一ID,从/etc/suricata/rules/emerging_pro-policy.rules复制它,删除行开头的“#”(使用 剪切),并将其粘贴到/etc/suricata/rules/local.rules。
打开local.rules以确认规则已正确复制
cat /etc/suricata/rules/local.rules
alert ip any any > any any (msg:"ET POLICY Credit Card Number Detected in Clear (15 digit dashed 2)"; pcre:"/ (3[4|7]\d{2}|2014|2149|2131|1800)-\d{6}-\d{5} /"; reference:url,www.beachnet.com/~hstiles/cardtype.html; reference:url,doc.emergingthreats.net/2009294; classtype:policy-violation; sid:2009294; rev:1;)
#注意:要确保规则不与现有规则冲突,应使用介于5,000,000和5,999,999之间的SID。
对要启用的所有规则重复该命令。
如果需要,修改规则并保存更改。
使用您选择的命令行文本编辑器,在/etc/suricata/rule-files.yaml底部添加对local.rules的引用
%YAML 1.1
—
default-rule-path: /etc/suricata/rules
rule-files:
- emerging_pro-activex.rules
- emerging_pro-attack_response.rules
- emerging_pro-chat.rules
[…]
- suricata-smtp-events.rules
- suricata-stream-events.rules
- local.rules
运行以下脚本以将规则导入数据库
perl /usr/share/ossim/scripts/create_sidmap.pl /etc/suricata/rules
重新启动AlienVault NIDS服务以使更改生效
#service suricata restart
重新启动AlienVault代理服务以应用更改
#service ossim-agent restart
警告:如果您使用的是USM Appliance 5.3.3或更早版本,则运行威胁情报或插件源更新将覆盖您对local.rules文件所做的任何更改。 要避免此问题,请升级到USM Appliance版本5.3.4或更高版本。
AlienVault OSSIM限制:AlienVault OSSIM和USM ApplianceHIDS解码器功能齐全,其所有信息均来自USM Appliance和AlienVault OSSIM提供的插件源更新。 但是,AlienVault OSSIM缺乏通过威胁情报更新提供给USM Appliance的NIDS信息的深度。
升级NIDS规则和签名
AlienVault Labs威胁研究团队向所有USM Appliance客户提供威胁情报,例如IDS签名。
要使用AlienVault NIDS检测最新威胁,您应该使USM Appliance中的IDS签名保持最新。 USM Appliance每15分钟检查一次威胁情报更新。 更新可用后,消息中心中将显示一条消息。 有关详细信息,请参阅消息中心
查看USM Appliance是否具有新的或更新的NIDS签名
在威胁情报更新中查看信息并决定安装后,您需要通过Web界面(推荐)或AlienVault设置菜单手动运行更新。
使用Web界面安装威胁情报更新
在AlienVault设置菜单中安装威胁情报更新
高可靠性配置
如果一个或多个组件因任何原因停止运行,则高可用性(HA)会复制数据以避免任何可能的事件,资产或配置丢失。
AlienVault强烈建议您配置USM设备以实现高可用性,特别是满足合规性要求,以免丢失数据。
注意:AlienVaultUSM Appliance仅在其USM Appliance标准版和USM Appliance企业版中支持HA。
高可用性解决方案如何工作?
AlienVaultUSM设备高可用性解决方案由一组彼此镜像的冗余USM设备节点组成。
此HA系统保持运行,主(主)实例处于活动状态,辅助(从)实例处于被动状态。 如果主实例失败,则辅助实例将自动变为活动状态,从而替换失败的节点。
USM设备系统组件的活动(左)和被动(右)节点
当您准备好将故障节点重新联机时,它将再次成为活动节点,并且取代它的节点将恢复为被动节点。 用户必须手动进行切换。
每个节点都有一个唯一的IP地址,但与其克隆共享相同的虚拟IP地址。
HA部署始终从USM Appliance Server和USM Appliance Sensor开始。 如果USM设备记录器是USM设备部署的一部分,则应该最后配置它。
插件管理
USM Appliance插件提供逻辑,用于从外部应用程序和设备中提取特定于安全性的数据,以生成由USM Appliance Server管理的事件。 USM Appliance配备了许多常见数据源的插件,您可以选择这些插件并启用特定资产以开始收集数据。有关USM Appliance支持的所有插件的列表,请参阅USM Appliance支持的插件列表。
AlienVault提供了多种方法来启用USM Appliance中的插件。您可以在特定的已发现资产上启用插件,也可以在USM Appliance传感器上全局启用插件。此外,根据插件类型,您可以使用不同的工具启用插件,包括USM ApplianceWeb UI,入门向导或AlienVault控制台。
USM Appliance中的大多数插件在启用后不需要其他配置,尤其是在资产上启用插件时。但是,如果您选择在传感器级别启用插件,并且USM Appliance在传感器上没有所需的配置文件;或者如果要启用数据库插件,SDEE插件或WMI插件,则需要在插件正常运行之前执行一些额外的步骤。
在有限数量的环境中,内置插件可能不太适合特定需求或提供足够的智能来规范化数据并从收到的所有日志中提取所需信息。在这种情况下,您可以自定义现有插件或请求创建AlienVault提供的新插件。您还可以创建自己的自定义插件,从可用于创建插件的各种选项中进行选择,并直接编辑插件配置文件;或使用USM Appliance Web UI中提供的插件构建器,使用交互式程序向导创建插件。
本节涉及的主题包括
插件基础
启用插件
配置插件
配置日志转发和常用数据源
自定义和开发新插件
插件基础
USM Appliance传感器使用插件提取和标准化从不同数据源接收的数据。
注意:您可以通过检查 /etc/ossim/agent/plugins目录的内容,或通过检查AlienVault控制台或USM ApplianceWeb UI中列出的数据源来检查默认支持的数据源。
在数据规范化期间,插件会评估每个日志文件行并将其转换为标识USM Appliance事件分类中的事件类型和子类型的事件。
每个USM Appliance插件都包含两个文件
插件配置文件结构
下图显示了.cfg数据源插件文件的示例。 此示例中显示的文件使USM Appliance Sensor能够解析SSH事件。
插件配置文件由几个部分组成。
The Plugin File Header
所有插件配置文件都必须包含标头。
# Plugin {{ plugin_name }} id:{{ plugin_id }} version: -
# Last modification: {{ LAST_MODIFICATION_DATE }}
#
# Plugin Selection Info:
# 插件选择信息部分包括相关的供应商,产品,版本和每个资产信息。
# 产品和供应商信息 - 使用以下格式表达插件的产品名称和供应商信息:Fortinet:Fortigate。
# 在此示例中,Fortigate是产品,Fortinet是该产品的供应商。
# 版本信息 - 版本信息允许您在任何一个版本存在多个插件时,或者根据日志格式或预期输出存在多个插件
# 时选择正确的插件。
# 所有插件都将版本信息设置为“ - ”开箱即用,因为并非所有应用程序都使用版本。如果你的插件是
# 这种情况,你可以保持版本字段的默认设置。在自定义或创建新插件时,请验证您的插件是否已版本
# 化,如果是,请添加版本信息。
# 每个资产信息 - 是否在所有资产上激活插件。如果未设置“每个资产”,则USM Appliance默认为“是”
# {{vendor}}:{{model}}:{{version}}:{{per_asset}}
# END-HEADER
#
# Accepted products:
#
# Description
The DEFAULT Section
插件配置文件的[DEFAULT]部分指定plugin_id,它是插件数据源的唯一ID。 例如,plugin_id = 4003是OpenSSH的插件。 在引用关联规则中的插件时以及在USM Appliance中定义策略时,也会使用插件ID。
用户可以使用9001到2147483647的范围作为插件ID,但以下值是保留的
90003, 90005, 90007, 90008, 10002, 12001, 19004, 19005, 19006, 20505
The Config Section
插件配置文件的[config]部分指定此插件的基本设置。 例如
type - 例如,指定插件类型,检测器。
enable - 指定是否启用插件。
source - 使用以下关键字标识插件源
log - 文本日志文件(例如:SSH,Apache)
mssql - Microsoft SQL Server数据库(例如:panda-se)
mysql - MySQL数据库(例如:moodle)
wmi - Windows Management Instrumentation(wmi-system-logger)
location - 指定插件正在读取的日志文件的名称和位置,例如location = /var/log/file.log。 rsyslog规则定义用于存储来自不同数据源的传入日志的日志文件的位置。
注意:location仅存在于使用日志作为源的插件中。 使用其他源的插件包含其他特定于插件的信息(例如,如何连接到MySQL数据库)。
The Translation Section
[translation]部分转换源日志的标记值,并将它们分配给规范化的事件字段。 当您具有描述不同事件的类似日志消息时,翻译很有用,例如,消息之间的差异仅在于令牌的值而不是消息本身的结构。 在这种情况下,您只能使用一个规则来解析不同的消息,并使用转换将消息中的(非数字)值转换为可用作plugin_sid(事件类型ID)值的数值。
翻译由两部分组成
The Rules Section
插件配置文件的其余部分属于规则部分。 它包含定义每个事件格式的规则,以及如何将每个事件的正则表达式提取的数据标准化为标准事件字段。 插件中的每个规则都使用名称和事件类型定义,该类型是使用插件配置文件中的event_type = event行定义的。
regexp字段包含定义事件格式的正则表达式,并提取信息以对其进行规范化。 正则表达式使用Python正则表达式语法编写。
[0000 - Failed password]
event_type=event
regexp=(?P\w{3}\s+\d{1,2}\s\d\d:\d\d:\d\d)\s+(?P\S+) sshd[\d+]: Failed password for\s(?Pinvalid user\s)?(?P\S+)\sfrom\s(?P\S+)\sport\s(?P\d{1,5})
date={normalize_date(KaTeX parse error: Expected 'EOF', got '}' at position 6: date)}̲ plugin_sid…src)}
dst_ip={resolv(KaTeX parse error: Expected 'EOF', got '}' at position 5: dst)}̲src_port={sport}
username={KaTeX parse error: Expected 'EOF', got '}' at position 5: user}̲ userdata1=…info}
userdata2={KaTeX parse error: Expected 'EOF', got '}' at position 4: dst}̲ device={re…dst)}
注意:有关正则表达式的语法或构造的详细信息,请参阅Internet上可用主题的资源。 您可能还想查看AlienVault®培训课程,这些课程提供有关插件开发的更多信息和动手实验,特别是用于定义插件规则的正则表达式
事件数据库字段映射
除了正则表达式之外,每个规则还必须指定如何将提取的信息从日志映射到规范化的SIEM数据库事件。 下图显示了可以使用为特定规则定义的正则表达式映射从日志中提取的信息的事件字段。
在图中
在每个规范化事件中,以斜体显示的字段是必需的。
以蓝色(★)显示的字段包括始终必须在插件文件中定义的值。
以绿色(♦)显示的字段包括将在日志中找不到值时自动填充的值(例如,源IP地址设置为0.0.0.0,源端口和目标端口设置为0, 如果没有在日志中找到)。
以灰色(ᴑ)显示的字段是可选字段,如果在日志中找不到值,则可以将其保留为空。
规则处理顺序
插件规则按顺序加载,插件文件的规则名称是必需的。 一旦日志与一个规则的正则表达式之一匹配,USM Appliance传感器就会停止处理该事件。
建议在名称中使用较小的数值定义特定规则,并在名称中使用较大的数值定义一般规则。 使用较低值命名特定规则允许在一般规则之前处理它们,一般规则被定义为捕获先前未匹配的所有事件。
For example:
[0001 - Specific rule]
[0002 - Specific rule]
[9999 - General rule]
Plugin .SQL 文件
与插件关联的.SQL文件定义从插件源数据或日志文件中提取的事件插入的所有数据库条目。
下图显示了与前面部分中描述的ssh.cfg文件关联的ssh.sql文件。
如果有,则需要使用以下命令将相应的插件.sql文件导入SIEM数据库:
cat
USM Appliance中的日志收集和规范化
USM Appliance插入从不同数据源收集的过程数据,解析和规范化数据,并将该数据作为标准格式事件保存在SIEM数据库中。然后,用户可以在USM ApplianceWeb UI中查看和分析这些事件。
插件定义
插件是一种软件组件,它提供特定于提取从外部应用程序和设备收集的数据的逻辑。 USM Appliance传感器中启用了插件,USM Appliance传感器使用以下源或协议从远程主机接收数据
处理日志的任何系统都需要解析器来读取它们,并将其数据提取并转换为标准事件字段。下图显示了USM Appliance传感器从不同设备收集系统日志消息的方式,其中启用的插件可以处理并规范化特定日志文件中包含的事件数据。
在数据规范化期间,插件会评估日志文件每行的信息,并将其转换为标识USM Appliance分类中事件类型和子类型的事件。 (请参阅USM Appliance事件分类。)规范化还将每个日志行的部分转换为公共数据字段,例如用户,日期和时间以及源或目标IP地址。
将信息规范化为标准事件数据字段可使USM Appliance统一显示信息,并关联来自各个系统的事件以生成警报。
插件类型
USM Appliance中包含的插件称为探测器插件。 他们从日志中接收和提取事件,包括:
每个插件文件的Source字段表示检测器插件的类型。
[config]
type=detector
enable=true
source=log
USM Appliance中有四种类型的检测器插件,如下表所示。
Plugin Source 描述 示例
Database 监视外部数据库的内容。 数据库插件从外部数据库中提取数据并将其转换为USM Appliance事件。 支持的数据库是MySQL和Microsoft SQL Server。 数据库插件配置文件提供有关USM Appliance应如何连接和查询数据库的信息。 有关数据库插件配置文件的示例,请参阅配置数据库插件 ,以获取有关配置数据库插件的详细信息。 mcafee-epo
Log 监视日志文件,通常通过syslog接收数据。 日志插件通过使用正则表达式匹配日志文件中的每一行来从日志文件中提取事件。 然后,插件将文本中的信息规范化,以创建包含来自文本的事件字段数据的事件。 有关日志插件配置文件的示例,请参阅 配置日志插件,以获取有关配置日志插件的详细信息。 cisco-asa
SDEE 使用SDEE协议监控Cisco设备。 Cisco Systems IPS Sensor 5.0使用安全设备事件交换(SDEE)协议来指定用于传达某些思科安全设备生成的事件的消息格式。 有关SDEE插件配置文件的示例,请参阅配置SDEE插件并获取有关配置的更多信息 SDEE插件。 cisco-ips
WMI 无需代理即可远程连接到Microsoft Windows事件和数据。 Windows Management Instrumentation(WMI)插件远程收集Microsoft Windows事件和数据。 这些插件使用Windows Management Instrumentation命令行(WMIC)在没有代理的情况下收集信息。 有关WMI插件配置文件的示例,请参阅配置WMI插件并获取有关配置的详细信息 wmi-application-logger
启用它们后,大多数探测器插件无需额外配置即可自动工作。 (请参阅启用插件。)
IDM插件
IDM插件是一种特殊类型的检测器插件,可收集有关设备和应用程序的其他信息。 当USM Appliance处理从其他插件收集的事件数据时,此信息用于增强单个事件的元数据。 USM Appliance中的IDM插件包括
注意:默认情况下,prads插件会在启动时自动启用,该插件用于标识和收集有关在主机上运行的网络服务的信息。 因此,在开始利用IDM信息之前,无需其他设置或配置。 虽然不是必需的,但您可以启用其他IDM插件来收集来自不同来源的信息。 有关更多信息,请参阅启用插件。
计划的清单任务(如资产发现扫描,WMI扫描和可用性监视)也可以收集IDM信息。 IDM插件和其他计划进程收集的信息存储在内部数据库中,该数据库还维护为相同主机检索的历史数据。
USM Appliance查询此数据以丰富从其他设备和特定于应用程序的插件处理的事件的元数据。 此外,如果为IDM数据源维护的历史数据中的值已更改,则USM Appliance将生成一个异常事件,该事件显示新值和先前值之间的更改。 有关查看包含IDM信息的异常事件的更多信息,请参阅查看安全事件。
主机根据其IP地址收集的IDM信息包括
插件更新
AlienVault USM Appliance会在插件更新时通知用户,可从USM Appliance消息中心访问。 更新可以包括对现有插件或新插件的更新。
这些更新通常每两周进行一次。 从版本5.4开始,还可以安排插件更新,您可以配置威胁情报和插件更新以自动运行。 请参阅在线更新USM Appliance。
注意:USM Appliance传感器和USM Appliance服务器必须单独更新。
验证是否有新的插件更新
要检查是否有插件更新,请打开USM Appliance消息中心。
如果您看到类似于“插件Feed更新 - ”的消息,则表示您有一个插件Feed更新。 插件源更新消息显示发行说明,如图所示。
Update Plugins
安装最新的插件更新
注意:如果选择“全部更新”选项,而不是“仅更新源”,USM Appliance将应用完整系统升级,其中将包括可用的任何插件更新。
启用插件
AlienVault提供了多种方法来启用USM Appliance中的插件。 首先,您可以在特定的已发现资产上启用插件,也可以在USM Appliance传感器上全局启用插件。 此外,根据特定插件,您可以使用不同的工具启用插件,包括USM ApplianceWeb UI,入门向导或AlienVault控制台。
以下主题提供了有关启用插件的两个选项的详细信息。
重要提示:注意不要两次启用相同的插件,因为这会生成重复的事件。
以下是只能在传感器级别启用的插件列表。
Plugin Name Description
av-useractivity A MySQL database plugin.
drupal-wiki A MySQL database plugin.
eljefe A MySQL database plugin.
linuxdhcp-idm An IDM plugin for Linux DHCP server.
monit Plugin for the monit service used in USM Appliance.
moodle A MySQL database plugin.
ossec-idm-single-line An IDM plugin for AlienVault HIDS.
ossec-single-line Also known as the AlienVault HIDS plugin. Enabled by default.
post_correlation A MySQL database plugin.
prads An IDM plugin for passive asset discovery. Enabled by default.
ssh-remote A pluign for OpenSSH.
suricata Also known as the AlienVault NIDS plugin. Enabled by default.
对于那些允许它的插件,通常建议在USM Appliance传感器上启用插件,以启用特定资产上的插件。 在资产级别启用的插件会自动配置,而在传感器级别启用的插件通常必须先配置。 对于基于日志的插件,这意味着设置rsyslog收集和处理以及日志轮换。 (请参阅配置USM Appliance传感器以通过Syslog接收日志。)
方便性和性能也可能是选择是否在单个资产上启用插件或在USM Appliance传感器上启用它们的因素。 在单个资产上启用插件可以通过在多个处理器或内核上运行插件的副本而不是在单个处理器或内核上来帮助分配处理大量流量的负载。 但是,如果您想使用具有大量资产的相同插件,并且流量不是问题,您可能会发现在传感器上启用和配置插件更容易。
注意:除了启用插件之外,还必须配置插件用于将其日志转发到USM Appliance的应用程序或设备。 为方便起见,AlienVault列出了最常用的设备列表以及如何配置它们的日志转发。 请参阅在常用数据源上配置日志转发。
在资产上启用插件
运行网络扫描以发现资产后,发现的资产将保存在USM Appliance数据库中。 (有关资产发现的信息,请参阅通过扫描新资产添加资产。)然后,您可以在已发现的资产上选择并启用插件。 每个资产最多可以启用10个插件。
Enabling Plugins from Asset Details in the Web UI
Enabling Plugins on Assets Using the Getting Started Wizard
在传感器启用插件
您可以从USM ApplianceWeb UI或AlienVault控制台在USM Appliance传感器上启用最多100个插件。
注意:如果要确认已启用正确的插件,请越狱系统并打开/etc/ossim/agent/config.cfg。 新插件将出现在[plugins]部分中。
验证插件是否工作正常
在USM Appliance中启用插件并将应用程序或设备配置为将日志转发到USM Appliance后,最好测试插件是否正常工作。
注意:您可以通过查看/etc/ossim/agent/config.cfg文件的[plugin]部分来确认在传感器级别启用的插件。 每资产插件配置存储在/etc/ossim/agent/config.yml文件中。
确认从远端设备收到日志
确认日志被保存在日志文件中
如果在相应的日志文件中未找到新消息,但您已确认USM Appliance正通过UDP端口514从您的设备接收数据包,请验证rsyslog配置是否将消息定向到正确的文件。 如果需要,重新启动rsyslog。
/etc/init.d/rsyslog restart
如果您在日志文件中看到新消 息,但没有事件,则错误在插件或代理配置中。
验证插件是否正在生成事件
连接到控制台
选择Maintenance & Troubleshooting.
选择 Troubleshooting Tools.
选择View AlienVault Components Logs.
选择 View AlienVault Agent log.
确认后,/var/log/alienvault/agent/agent.log的内容将显示在控制台中。 您可以按“q”返回菜单。
在日志文件中搜索插件名称。
例如,键入“/ ssh”并按Enter键。 如果插件正在运行,您应该看到类似于以下内容的输出
WatchDog[24430] Checking process sshd for plugin ssh
WatchDog[24430] plugin (ssh) is running
WatchDog[24430] plugin (ssh) is enabled
此外,您将看到有关每10秒输出一次的插件的信息。 例如
Aug 10 13:01:24 Alienvault-Agent[INFO]: ssh[4003] Total lines [12759] TotalEvents:[643] EPS: [0.00] elapsed [10.01] seconds
Aug 10 13:01:34 Alienvault-Agent[INFO]: ssh[4003] Total lines [12759] TotalEvents:[643] EPS: [0.00] elapsed [10.00] seconds
Aug 10 13:01:44 Alienvault-Agent[INFO]: ssh[4003] Total lines [12859] TotalEvents:[683] EPS: [4.00] elapsed [10.00] seconds
where
Total lines和TotalEvents可能不一样,因为不是每一行都可以变成一个事件。 如果TotalEvents为0,则表示插件未生成任何事件。 如果Total lines也为0,则表示数据源日志文件为空,因此插件没有要处理的数据。 但如果Total lines不为0,则表示该插件不会将这些行转换为事件。 您可以查看插件配置文件以进一步调查或联系AlienVault技术支持。
配置插件
USM Appliance中的大多数插件在启用后不需要其他配置,尤其是在资产上启用插件时。 但是,如果您选择在传感器级别启用插件并且USM Appliance未在传感器上提供所需的配置文件,或者如果您要启用数据库插件,SDEE插件或WMI插件,则需要执行某些操作 插件可以正常运行之前的额外步骤。
本节介绍这些插件类型的最小配置任务。 大多数任务都要求您通过SSH连接到AlienVault控制台并越狱系统以获得命令行访问权限。 建议您熟悉一些基本的Linux命令以及基于终端的文本编辑器,例如vim或nano。
Configure Log Plugins
Configure Database Plugins
Configure SDEE Plugins
Configure WMI Plugins
配置日志转发和常用数据源
USM Appliance插入从许多不同数据源收集的过程数据,解析和规范化数据,然后将数据作为标准格式事件保存在数据库中。 USM Appliance服务器根据策略过滤事件,并关联事件以在符合指定规则和条件时触发警报。 然后,用户可以在USM ApplianceWeb UI中查看和分析这些事件和警报。
本节提供USM Appliance中提供的插件支持的最常用数据源的集成信息。 对于每个集成,说明描述了如何配置数据源以将日志数据发送到USM Appliance,如何在USM ApplianceWeb UI中选择和启用插件,以及从数据源供应商的Web获取其他配置和故障排除信息的位置 现场。
A10 Thunder Web Application Firewall (WAF)
Array Networks Secure Access Gateway
Arpalert
Artillery Honeypot
Atomic Software HoneyBOT
ASUSTeK Router
Avaya Media Gateway
Avaya Wireless LAN
Barracuda NextGen Firewalls
Blackboard Learn
Blue Coat ProxySG
Brocade Router/Switch
Check Point Firewall
Check Point MEPP
Cisco ASA
Cisco ACS
Cisco Meraki
Cisco PIX
Cisco RV
Cisco WLC
Citrix NetScaler
Cisco Unified Communications Manager
Click Studios Passwordstate
Comodo Antivirus
CrowdStrike Falcon
CrushFTP
CyberArk Enterprise Password Vault
Dell EMC RecoverPoint
Dell EqualLogic
Dell SonicWALL
DenyAll Web Application Firewall (WAF)
D-Link UTM Firewall
D-Link Wireless Controller
Dtex Systems Dtex
Duo Security
F5 BIG-IP APM
ForeScout CounterACT
Fortinet FortiGate
FreeIPA
GTA Firewall
HAProxy
Huawei IPS Module
HP BladeSystem Chassis
HP MSM Integrated Controller
Imperva SecureSphere
Juniper SRX
Kaspersky Security Center
Kaspersky Security Center DataBase
Kerio Connect
LOGbinder for SharePoint
ManageEngine ADAudit Plus
McAfee AntiSpam
McAfee Web Gateway
Microsoft ATA
Microsoft Office 365 Cloud App Security
MikroTik Router
Motorola RFS 4000
NBS System Naxsi
NETGEAR Switch
NetMotion Mobility
NXLog Plugins
Microsoft DHCP Server through NXLog
Microsoft DNS Server through NXLog
Microsoft Exchange Server through NXLog
Microsoft IIS through NXLog
Microsoft IIS FTP Server through NXLog
Microsoft IIS SMTP Server through NXLog
Microsoft NPS through NXLog
Microsoft SCOM through NXLog
Microsoft SQL Server through NXLog
Microsoft Sysmon through NXLog
Microsoft Windows Event Logs through NXLog
Microsoft Windows Firewall through NXLog
Netwrix Auditor through NXLog
ObserveIT through NXLog
Oracle through NXLog
Sophos Enterprise Console through NXLog
Wing FTP Server through NXLog
Oracle JD Edwards EnterpriseOne
Oracle WebLogic Server
PacketFence
Palo Alto Networks PAN-OS
Palo Alto Networks Traps
ProFTPD
Proofpoint Protection Server
Pure Storage Purity Operating Environment
Rapid7 Nexpose
Red Hat JBoss Middleware
RSA SecurID Access Identity Router (IDR)
SecureAuth
SentinelOne
Shorewall Firewall
Sophos Antivirus
Sophos Central
Sophos XG Firewall
STEALTHbits StealthINTERCEPT
Symantec ATP
Symantec EPM
Thycotic Software Secret Server
Trend Micro Deep Security
Trend Micro Deep Security Inspector
Trend Micro Vulnerability Protection
Tufin Orchestration Suite
Ubiquiti TOUGHSwitch PoE
Untangle NG Firewall
Varonis DatAdvantage
VMware ESXi
VMware SSO
VMware vCenter
VMware View Administrator
Watchguard XCS
Watchguard XTM
Websense Web Security 7
zScaler NSS
自定义和开发新插件
AlienVault提供大量插件作为其默认安装的一部分。在大多数环境中,这应该涵盖您要集成的外部应用程序和设备。但是,如果您的环境中有一些不存在插件的新产品或应用程序,您可以向AlienVault提交请求以开发新插件。此外,AlienVault不断为现有插件添加新插件和发布更新。
有时您可能需要具有特殊属性或事件处理的插件。自定义插件是指重新利用特定类型的现有插件以更好地满足您的需求。在大多数情况下,自定义不会更改插件类型。
开发插件是指从头开始创建新插件,通常用于从当前不存在插件的特定设备类型中收集事件。要创建新插件,您可以手动编辑和配置所有插件的配置和正则表达式设置,或者您可以使用USM Appliance Web UI中内置的插件构建器向导来简化该过程。
本节提供了使用这些自定义或创建新USM设备插件的方法的更多信息。
本节中包含的主题是
通过AlienVault请求新插件或更新已有插件
AlienVault 应客户要求为公众提供的产品和设备构建或更新插件。 要利用此功能,客户必须拥有有效的AlienVault支持和维护合同。
重要提示:此策略不适用于定制软件或设备的插件。
有关USM Appliance开箱即用的插件的信息,请参阅此插件列表。
在提交您的请求之前
我们收到的信息越多,我们构建插件的速度就越快,就越准确。
完整的插件请求必须包含以下信息:
为请求的插件创建示例日志文件和数据
作为提交新AlienVault USM Appliance 插件请求的一部分,您还需要包含一个日志示例或数据库转储,其中包含您希望插件能够处理和分析事件的所有相关事件和数据模式。 在将示例文件作为请求的一部分发送之前,您可能还需要检查示例文件,删除不需要捕获的任何无关的数据模式条目,同时确保示例文件包含您执行的尽可能多的数据模式 希望插件处理。
为基于资产日志的插件创建示例文件
除了直接检查和清除资产生成的日志文件外,AlienVault还建议您将资产的syslog文件直接转发到USM设备传感器的过程。 然后,在几天的时间内,尝试调用尽可能多的事件类型,以便相关数据将被捕获为USM Appliance Sensor 上的/var/log/alienvault/devices/文件夹中。
注意:每个资产的插件syslog文件都保存在USM设备传感器的/var/log/alienvault/devices/文件夹中,每个资产IP地址一个文件夹。
在此数据收集期之后,您可以从传感器中提取此日志文件并将其与您的插件请求一起提供,因此AlienVault插件团队将获得用于开发新插件的良好数据模式样本。
为基于Windows的应用程序创建示例日志文件
为仅将事件记录到Windows事件查看器的Windows应用程序创建插件样本日志文件需要采用不同的方法。 在这种情况下,创建有用的样本日志文件(使用新的插件请求提交)的一种有效方法是在相关的Windows主机上部署AlienVault HIDS代理。 然后,您可以配置代理程序的ossec.conf文件以从Windows主机捕获相应的事件。
注意:有关部署HIDS代理的详细信息,请参阅部署AlienVault HIDS代理。 有关为事件日志记录配置HIDS代理的详细信息,请参阅教程:在Windows上使用HIDS代理读取日志文件。
要配置HIDS代理记录事件,可以执行本教程中的任务1和2,以便使用HIDS代理读取日志文件。 任务1指定Windows应用程序生成的数据的源位置。 本教程中的任务2设置记录到LOGALL的事件范围(基于ossec.conf配置文件中定义的事件范围)。
在允许HIDS代理收集日志条目一段时间后,您可以检查USM Appliance上的/var/ossec/archives/archives.log文件,以获取Windows应用程序中的特定事件。 要创建要使用插件请求提交的示例日志文件,可以使用cat和grep等命令(任务3)来减少archives.log文件,使其仅包含您希望新插件捕获的特定事件的日志行。
注意:作为使用HIDS代理收集基于Windows的主机和应用程序的日志条目的替代方法,您还可以使用随USM Appliance提供的NXLog插件。 使用此方法,您可以更新nxlog.conf文件以定义要为特定设备收集的Windows事件数据。 然后,您可以使用新的插件请求提交NXLog插件(位于USM Appliance传感器上的/var/log/alienvault/devices/文件夹中)收集的日志文件数据。有关详细信息,请参阅通过NXLog记录Microsoft Windows 事件。
为数据库中存储的事件创建示例数据
为存储在数据库中的事件创建插件通常需要两件事。 首先,您必须定义提取要在事件中查看的信息所需的查询,将数据库信息映射到标准化的USM设备事件字段。 (您可能还希望提供某种类型的数据库模式映射,以及要包含在捕获的事件数据中的表中的列的定义。)其次,您需要提供某种类型的导出或转储的子集。 存储在数据库中的数据以测试插件。
注意:导出数据或创建数据转储和数据库查询的方法将根据使用的特定数据库引擎(例如Oracle或SQL Server)而有所不同。 有关执行上述任务的具体信息,请参阅供应商的文档。
自己定制已有插件
您可能希望自定义现有插件,例如,如果需要更新配置文件设置,添加或更新规则,排除事件或进行正则表达式更改。 您可能还向AlienVault提交了修改插件或创建新插件的请求,但您需要在等待更新时更快地更改插件行为。
注意:要提交新插件或更新的请求,请参阅通过AlienVault申请新插件或更新现有插件。 AlienVault每两周更新一次插件。
在你开始之前
对于要对其进行更改的任何现有插件文件,必须先创建一个具有相同名称的新空文件,并将.local扩展名附加到文件中
.cfg.local
然后,您可以将更改添加到.local文件中的插件中。您只需要包含要从原始插件文件更改的增量或项目,以及它所属的section name。然后,本地文件中的更改将优先于原始插件文件中定义的任何先前设置,并且系统更新也不会覆盖您的本地文件。
重要提示:AlienVault建议您保留自定义或开发的任何插件文件,直到您可以验证AlienVault是否在其每两周一次的更新中包含您请求的插件或修订版。
您可以更改插件文件中的任何内容,但plugin ID, enable,type, source参数除外。
例如,您可以更改插件文件中的文件位置或现有规则。如果要向插件添加新规则,可以修改regex参数并将匹配项分配给受影响的事件字段。您可以更改事件字段映射并使用自定义函数。
典型的定制包括但不限于
传感器不处理特定事件
启用插件后,USM设备传感器会处理插件的日志数据,并将收集的事件发送到USM Appliance服务器,并将其存储在SIEM数据库中。 然后,您可以通过选择Analysis > Security Events (SIEM)选项来查看USM ApplianceWeb UI中的事件。
使用插件一段时间后,您可能会发现许多您认为无需显示或跟踪的事件,只是在SIEM数据库中创建噪音并占用空间。 您可以将exclude_sids参数包含在插件配置文件的.local副本中,以实现相同的结果,而不是创建USM Appliance策略来过滤掉这些会产生一些处理开销的事件。
从插件中排除特定事件类型ID的集合
Connect to USM Appliance through SSH.
On the AlienVault Setup menu select Jailbreak System.
If the file does not already exist, create the file/etc/ossim/agent/plugins/
In the
[CONFIG]
exclude_sids=200,302,404,403
Save the file and restart ossim-agent:
/etc/init.d/ossim-agent restart
您使用exclude_sids参数指定的SID是USM设备分配给与插件配置文件中的特定规则匹配的每个事件的事件类型ID。 找到特定事件类型的SID编号的最快方法是转到“分析”>“安全事件(SIEM)”页面,然后单击要排除的特定事件的行。 在显示的“事件详细信息”屏幕中,您可以找到与事件关联的事件类型ID。 将该值用于插件配置文件中的exclude_sids参数。
另一种可以查看与每个插件关联的事件类型ID的方法是转到 Configuration > Threat Intelligence页面并选择Data Source选项卡。 从那里,显示的每一行都列出了有关插件的信息,您可以双击特定的行来查看所选插件的所有相关事件类型ID。
修改插件时区
如果您有一个插件来处理来自位于与传感器不同的时区的资产的日志,有时由于源设备使用了不正确的时区或无法更改的时区,您可以修改插件文件中的时区。 以下任务说明如何使用SSH插件作为示例。
更改插件使用的时区
Connect to USM Appliance through SSH.
On the AlienVault Setup menu select Jailbreak System.
Check the default timezone that ossim-agent uses.
~# grep tzone /etc/ossim/agent/config.cfg
tzone=Europe/Dublin
This should match the timezone of where your USM Appliance Sensor resides.
Create the file /etc/ossim/agent/plugins/ssh.cfg.local.
In ssh.cfg.local, add the following parameter:
[DEFAULT]
tzone=Australia/Melbourne
# Australia/Melbourne 表示您正在收集日志的资产的时区。
Note: USM Appliance validates timezones against this list.
Save the file and then restart ossim-agent.
/etc/init.d/ossim-agent restart
Check the agent log to make sure the new timezone has been applied:
~# grep -A1 “Starting detector” /var/log/alienvault/agent/agent.log
2016-01-18 10:39:38,948 AlienVault-Agent [INFO]: Starting detector ssh (4003)…Plugin tzone: Australia/Melbourne
2016-01-18 10:39:38,950 AlienVault-Agent [WARNING]: Using custom plugin tzone data: Australia/Melbourne
自定义日期和时间格式
不同的设备通常在其日志中使用不同的日期和时间格式。 USM Appliance通过提供内置函数normalize_date()来解决此问题,该函数将不同的日期格式转换为ISO 8601(USM Appliance Server接受的格式)。 有关函数可识别的格式列表,请参阅normalize_date()函数支持的格式。
如果normalize_date()函数不支持日期和时间格式,例如DD/MM/YYYY HH:MM:SS,则可以创建自定义函数来处理所需的特定日期和时间格式。
注意:现有日期格式在date_formats.json文件中定义。 建议不要修改此文件,因为USM Appliance更新将覆盖您对文件所做的任何更改。
以下示例为名为normalize_date_not_american()的自定义函数提供模板,您可以在其中定义要格式化的日期和时间模式。
#
# Description:
# This function should only be called when a date
# is in this format:
# 12/08/2016 21:44:47
# dd/mm/yyyy hh:mm:ss
#
# Usage:
# date={:normalize_date_not_american( $date_log )}
#
Start Function normalize_date_not_american
from re import compile
from datetime import datetime
def normalize_date_not_american( self, string = “” ):
pattern = compile( r’(?P\d{1,2})/(?P\d+)/
(?P\d{4})\s(?P\d+)??P\d+)
??P\d+)’ )
result = pattern.search(string)
groups = result.groupdict()
date = datetime(year=int(groups[‘year’]),
month=int(groups[‘month’]), day=int(groups[‘day’]),
hour=int(groups[‘hour’]), minute=int(groups[‘minute’]),
second=int(groups[‘second’])).isoformat(’ ')
return date
End Function
创建并保存自定义函数后,您可以在插件配置文件中使用它。 有关在插件中使用自定义函数的详细信息,请参阅定义和使用自定义函数。
定义和使用自定义函数
除了USM Appliance支持的内置函数之外,您还可以创建自己的自定义函数,以将提取的数据转换为特定事件字段类型所需的格式。
创建新的自定义功能
In the Config section, specify the location of a new file containing one or more new function definitions.
[config]
custom_functions_file=/etc/ossim/agent/plugin/custom.cfg
Create a text file that matches the custom function’s file name. In the new file, define the operation of each new custom function you want to create. Each new function must start with Start Function <function_name>and end with End function.
The following example shows the definition of two new functions , log_hello and log_hello_data.
Start Function log_hello
def log_hello(self):
return “Hello log!”
End Function
Start Function og_hello_data
def log_hello_data(self,data):
return "Hello log: %s" % data
End Function
In this example, the log_hello() function returns the string “Hello log!” and the value assigned to a normalized event field. The second function returns the “Hello log!” string concatenated with the extracted user name value.
Save and close the custom function file.
注意:如果向插件添加自定义函数或访问专有数据库,请务必小心。 如果设计不当,这会降低性能。 添加后,自定义插件最多可能需要五分钟才会显示在USM设备Web UI中。
要使用新的自定义函数,您可以简单地包含任何事件字段分配的一部分,该字段分配对应于为特定规则或日志事件返回的提取数据。 例如
[ssh - Failed password]
# Feb 8 10:09:06 server1 sshd[24472]: Failed password for dgil from
192.168.6.69 port 33992 ssh2
event_type=event
regexp="(\w{3}\s+\d{1,2}\s\d\d:\d\d:\d\d)\s+(?P\S*).*ssh.Failed
password for
(?P\S+)\s+from\s+.?(?P\IPV4).*port\s+(?P\d{1,5})"
plugin_sid=1
sensor={resolv($sensor)}
date={normalize_date(KaTeX parse error: Expected 'EOF', got '}' at position 3: 1)}̲ src_ip={src}
dst_ip={resolv(KaTeX parse error: Expected 'EOF', got '}' at position 8: sensor)}̲ src_port={sport}
username={KaTeX parse error: Expected 'EOF', got '}' at position 5: user}̲ userdata1=…user)}
要点:不允许在内置函数中使用自定义函数,例如translate(:log_hello()),因为自定义函数是规则中要执行的最后一个函数。
向插件添加规则
以下任务说明如何更改现有规则并将新规则添加到插件,在本例中为Cisco ASA。
要将规则更改或添加到现有插件
Connect to USM Appliance through SSH.
On the AlienVault Setup menu select Jailbreak System.
Create the file /etc/ossim/agent/plugins/cisco-asa.cfg.local.
(根据需要)更改重新使用的插件所需的任何现有正则表达式映射或规则。
以下示例以粗体显示已更改的规则,作为regexp参数的值。 注释部分显示regexp参数的映射目标。
#Sep 17 06:25:31 5.5.5.5 : Sep 17 06:26:10 EDT: %ASA-ids-4-401004: #Shunned packet: 1.1.1.1 > 1.1.1.2 on interface inside
[0001 - cisco-asa - Shunned packet]
regexp="(?P\w{3}\s+\d{1,2}\s(\d{4}\s)?\d\d:\d\d:\d\d)\s*:?((?P\S+)\s*:?)?\s+[\w:\s]%?(?P
(根据需要)添加修订插件所需的任何新规则,如以下示例所示。 注释部分显示regexp参数的映射目标。
#Mar 28 12:03:04 testbox %ASA-7-609002: Teardown local-host inside:1.1.1.1 duration 0:02:12
[9000 - cisco-asa - Teardown local-host]
precheck=“Teardown”
regexp="(?P\w{3}\s+\d{1,2}\s(\d{4}\s)?\d\d:\d\d:\d\d)\s*:?((?P\S+)\s*:?)?\s+[\w:\s]%?(?P
event_type=event
date={normalize_date(KaTeX parse error: Expected 'EOF', got '}' at position 6: date)}̲ device={re…device)}
plugin_sid={KaTeX parse error: Expected 'EOF', got '}' at position 4: sid}̲ src_ip={src_ip}
userdata1={KaTeX parse error: Expected 'EOF', got '}' at position 14: asa_short_msg}̲ userdata2=…iface}
userdata3={KaTeX parse error: Expected 'EOF', got '}' at position 9: duration}̲ userdata4=…userdata}
Save the file and then restart ossim-agent:
/etc/init.d/ossim-agent restart
检查正则表达式以及文件中的字段分配
/var/log/cisco-asa.log.
我们建议您使用Internet上提供的任何实用程序来测试您添加的Python正则表达式是否与日志匹配。
创建新规则后,您还需要定义新的事件类型ID以分配给与新规则匹配的事件。
但是,如果要添加许多新的事件类型,则应该使用插件.sql文件,因为它要快得多。 当您只有一个或两个要添加的事件类型时,Web UI会更好。
注意:如果您不执行此任务,这些事件将不会出现在USM设备Web UI的“安全事件”视图中。
添加新事件类型
此过程使用USM Appliance Web UI将自定义事件类型添加到现有或新开发的插件。
添加新事件类型的字段含义
Name* 事件描述。此处介绍的文本是指事件名称,它出现在安全事件(SIEM)页面的“事件名称”列中。
Event type ID* 参考plugin_sid,不能使用已有的ID,否则USM Appliance会返回错误。
Category 事件类型类别取决于事件类型ID。
Subcategory 选择新事件类型的子类别。 例如,事件类型ID可能包含子类别,例如Attack,Brute Force或Policy。
Reliability* 值范围从0到10,其中10是最大可靠性。
Priority* 值的范围为0到5,其中5为最高优先级。
USM Appliance 插件中使用的默认函数
USM Appliance Server必须以预定义格式接收规范化事件。 USM Appliance提供了许多内置函数,您可以使用这些函数将从匹配正则表达式获得的提取数据转换为规范化USM Appliance事件字段中预期的格式。
例如,USM Appliance中的时间和日期格式为YYYY-MM-DD HH:MM:SS(例如,2013-12-31 22:57:00),但不同的数据源可能会使用不同的格式 和日期。 您可以使用normalize_date()函数,通过将不同的时间格式转换为服务器接受的格式,简化事件规范化的过程。
另一个经常使用的函数是resolv(),它通过执行DNS查询将主机名转换为IPv4地址。
date={normalize_date($date)}
dst_ip={resolv($dst_ip)}
src_ip={resolv($src_ip)}
下表提供了内置USM Appliance默认函数。
Function Description
C O N C A T ( CONCAT( CONCAT(val1, v a l 2 , c h a r s ) 连 接 作 为 参 数 传 递 的 值 和 字 符 g e o i p g e t C i t y ( i p a d d r ) 根 据 内 置 的 G e o I P 数 据 库 获 取 相 应 的 城 市 。 g e o i p g e t C o u n t r y ( a d d r ) 根 据 内 置 的 G e o I P 数 据 库 获 取 相 应 的 国 家 / 地 区 。 g e o i p g e t C o u n t r y N a m e ( a d d r ) 从 I P 地 址 获 取 国 家 / 地 区 名 称 。 g e o i p g e t L a t i t u d e ( a d d r ) 从 I P 地 址 获 取 纬 度 。 g e o i p g e t L o n g i t u d e ( a d d r ) 从 I P 地 址 获 取 经 度 。 g e o i p g e t M e t r o C o d e ( a d d r ) 从 I P 地 址 获 取 城 域 代 码 。 g e o i p g e t P o s t a l C o d e ( a d d r ) 如 果 可 能 , 从 I P 地 址 获 取 邮 政 编 码 。 g e o i p g e t R e g i o n C o d e ( a d d r ) 从 I P 地 址 获 取 区 域 代 码 。 g e o i p g e t R e g i o n N a m e ( a d d r ) 从 I P 地 址 获 取 区 域 名 称 。 g e o i p g e t T i m e Z o n e ( a d d r ) 获 取 此 I P 地 址 所 在 位 置 的 时 区 。 r e s o l v ( h o s t ) 返 回 主 机 的 I P 地 址 。 首 先 在 传 感 器 上 的 资 产 数 据 库 的 本 地 副 本 上 执 行 查 找 , 然 后 尝 试 配 置 的 解 析 器 ( 通 常 是 D N S ) 。 未 找 到 主 机 将 导 致 值 0.0.0.0 。 r e s o l v i p ( i p a d d r ) r e s o l v p o r t ( p o r t n u m b e r ) r e s o l v i f a c e ( i n t e r f a c e n a m e ) m d 5 s u m ( s t r i n g ) n o r m a l i z e p r o t o c o l ( p r o t o c o l ) 返 回 协 议 信 息 。 n o r m a l i z e d a t e a m e r i c a n ( d a t e s t r i n g ) 返 回 U N I X 纪 元 日 期 。 n o r m a l i z e d a t e ( d a t e s t r i n g ) 返 回 U N I X 纪 元 日 期 。 u p p e r ( s t r i n g ) 返 回 提 供 的 字 符 串 的 大 写 版 本 。 s a n i t i z e ( s t r i n g ) 将 “ n ” 的 出 现 转 换 为 “ r ” 。 h e x t o i n t ( s t r i n g ) 返 回 十 六 进 制 字 符 串 的 i n t 表 示 形 式 。 t r a n s l a t e ( s t r i n g ) 返 回 转 换 表 中 的 右 侧 值 , 左 侧 是 “ s t r i n g ” 。 有 关 详 细 信 息 , 请 参 阅 插 件 基 础 中 的 转 换 部 分 。 t r a n s l a t e 2 ( val2, chars) 连接作为参数传递的值和字符 geoip_getCity(ipaddr) 根据内置的GeoIP数据库获取相应的城市。 geoip_getCountry(addr) 根据内置的GeoIP数据库获取相应的国家/地区。 geoip_getCountryName(addr) 从IP地址获取国家/地区名称。 geoip_getLatitude(addr) 从IP地址获取纬度。 geoip_getLongitude(addr) 从IP地址获取经度。 geoip_getMetroCode(addr) 从IP地址获取城域代码。 geoip_getPostalCode(addr) 如果可能,从IP地址获取邮政编码。 geoip_getRegionCode(addr) 从IP地址获取区域代码。 geoip_getRegionName(addr) 从IP地址获取区域名称。 geoip_getTimeZone(addr) 获取此IP地址所在位置的时区。 resolv(host) 返回主机的IP地址。 首先在传感器上的资产数据库的本地副本上执行查找,然后尝试配置的解析器(通常是DNS)。 未找到主机将导致值0.0.0.0。 resolv_ip(ipaddr) resolv_port(portnumber) resolv_iface(interfacename) md5sum(string) normalize_protocol(protocol) 返回协议信息。 normalize_date_american(datestring) 返回UNIX纪元日期。 normalize_date(datestring) 返回UNIX纪元日期。 upper(string) 返回提供的字符串的大写版本。 sanitize(string) 将“\ n”的出现转换为“\ r”。 hextoint(string) 返回十六进制字符串的int表示形式。 translate(string) 返回转换表中的右侧值,左侧是“string”。有关详细信息,请参阅插件基础中的转换部分。 translate2( val2,chars)连接作为参数传递的值和字符geoipgetCity(ipaddr)根据内置的GeoIP数据库获取相应的城市。geoipgetCountry(addr)根据内置的GeoIP数据库获取相应的国家/地区。geoipgetCountryName(addr)从IP地址获取国家/地区名称。geoipgetLatitude(addr)从IP地址获取纬度。geoipgetLongitude(addr)从IP地址获取经度。geoipgetMetroCode(addr)从IP地址获取城域代码。geoipgetPostalCode(addr)如果可能,从IP地址获取邮政编码。geoipgetRegionCode(addr)从IP地址获取区域代码。geoipgetRegionName(addr)从IP地址获取区域名称。geoipgetTimeZone(addr)获取此IP地址所在位置的时区。resolv(host)返回主机的IP地址。首先在传感器上的资产数据库的本地副本上执行查找,然后尝试配置的解析器(通常是DNS)。未找到主机将导致值0.0.0.0。resolvip(ipaddr)resolvport(portnumber)resolviface(interfacename)md5sum(string)normalizeprotocol(protocol)返回协议信息。normalizedateamerican(datestring)返回UNIX纪元日期。normalizedate(datestring)返回UNIX纪元日期。upper(string)返回提供的字符串的大写版本。sanitize(string)将“ n”的出现转换为“ r”。hextoint(string)返回十六进制字符串的int表示形式。translate(string)返回转换表中的右侧值,左侧是“string”。有关详细信息,请参阅插件基础中的转换部分。translate2(value, t r a n s l a t i o n t a b l e ) 返 回 名 为 “ t r a n s l a t i o n t a b l e ” 的 转 换 表 中 的 右 侧 值 , 其 中 左 侧 是 translation_table) 返回名为“translation_table”的转换表中的右侧值,其中左侧是 translationtable)返回名为“translationtable”的转换表中的右侧值,其中左侧是 value中包含的值。
normalize_date()函数支持的格式
当USM Appliance插入从各种设备接收的解析日志时,它们使用内置函数normalize_date()将不同的日期格式转换为ISO 8601(USM Appliance Server接受的格式)。
下表显示了normalize_date()函数支持的日期格式。normalize_date()函数按照此表中显示的顺序将日志中的日期格式与支持的格式进行比较,直到找到匹配项为止。
如果此表中未列出您的设备的日期格式,您可以编写自定义函数来自行解析它。 有关说明,请参阅自定义插件日期和时间格式。
normalize_date()支持的日期格式
设备或格式名称 示例
DC 2/15/2012 12:00:36 PM
Syslog Oct 27 10:50:46
Apache 29/Jan/2007:17:02:20
Syslog-ng Oct 27 2007 10:50:46
Bind9 10-Aug-2009 07:53:44
Snare Sun Jan 28 15:15:32 2007
Snort 11/08-19:19:06
Suricata-http 03/20/2012-12:12:24.376349
Arpwatch Monday, March 15, 2004 15:39:19 +0000
Heartbeat 2006/10/19_11:40:05
Netgear 11/03/2004 19:45:46
Tarantella 2007/10/18 14:38:03
Citrix 02/28/2013:12:00:00
OSSEC 2007 Nov 17 06:26:18
IBM 11/03/07 19:22:22
Lucent1 084658,1516697218 (hhmmss,timestamp)
Lucent2 084658+/- (hhmmss+/-)
Lucent3 084658 (hhmmss)
Nagios rrd 1162540224
FileZilla 11.03.2009 19:45:46
HP Eva 2 18 2009 14 9 52
Websense2 11 Jan 2011 09:44:18 AM
Exchange 2011-07-08T14:13:42.237Z
Sonnicwall 2011-05-12 07 59 01
CSV 09/30/2011,10:56:11
Honeyd 2011-05-17-09:42:24
Epilog 2011-11-21 06: 15:02
WMI 20180121084344.000000-000
Spanish Date 20120202 12:12:12
SNMPTRAP Mar 07, 2012 - 08:39:49
CheckPoint 1Feb2012;0:05:58 or 1Feb2012 0:05:58
Lilian* Date 11270 02:00:16
Bluecoat 2015-08-14 09:30:00
American Date 08/14/15 09:30:00 or 08/14/2015 09:30:00
Fortigate date=2015-03-17 time=22:03:55
Sophos UTM 2014:09:06-00:00:06
Snare_2 Jan. 22 11:20 AM
Aruba-airwave 01/22/2018 11:20 AM
Anti-Spam SMTP Proxy (ASSP) 01-22-18 11:21:35
使用插件生成器创建新插件
除了描述用于自定义或创建新USM设备插件的其他方法之外,您还可以使用USM设备Web UI中提供的插件生成器来创建新的自定义插件。 插件构建器提供了一个交互式智能向导程序,该程序将指导您完成自动创建和配置新插件以使用USM Appliance进行部署的过程。
使用插件生成器创建一个新的自定义插件
插件生成器向导程序允许您上载示例日志文件,然后使用该文件来标识要在新插件的USM设备事件字段中规范化的数据。
使用插件生成器
从USM Appliance Web UI中选择Configuration > Deployment选项。
选择Plugin Builder 选项卡。
USM Appliance Web UI显示以前使用Plugin Builder创建的任何自定义插件的列表。
注意:插件生成器显示仅显示自身创建的新插件。 它没有显示可能已在插件生成器之外创建或自定义的任何其他自定义插件。 但是,您可以通过查看USM Appliance插件配置文件夹的内容来找到这些插件:/etc/ossim/agent/plugins.
您还可以通过建立与AlienVault控制台的SSH连接并从AlienVault设置菜单中选择Configure Sensor >Configure data source plugin 选项来查看和启用自定义插件。
单击“添加新插件”按钮。
USM Appliance Web UI显示Plugin Builder向导的第一步。 系统将提示您选择插件生成器将用于标识可以规范化为USM设备事件字段的数据的示例日志文件。
单击“浏览”按钮以导航到要用于标识可能的事件字段映射的示例日志文件的位置。
选择日志文件后,插件构建器将确定是否可以上载文件以进行事件字段映射,并在成功时显示绿色复选标记
点击下一步。
插件生成器前进到步骤2,在该步骤中,系统会提示您输入有关日志文件源的信息。
注意:供应商和型号条目不得包含空格或特殊字符。 插件配置文件名中只包含插件ID。 供应商,型号和版本信息包含在插件文件头中。
对于“产品类型”字段,从弹出列表中显示的选项中选择产品类型。 (类别列表与USM Appliance SIEM分类法匹配。完成插件属性条目后,单击“下一步”。
插件生成器现在显示日志文件条目到USM设备事件字段的初始映射,以显示特定的命名事件规则。
顶部显示您提交的样本日志文件中包含的数据,底部显示插件生成器为一个或多个命名事件规则标识的相应事件字段映射。
7. 单击编辑()按钮。
插件生成器显示一组字段,您可以在其中编辑将在插件生成符合特定规则的事件时将在USM设备中使用的名称,类别(和子类别)。
在事件属性字段下方的区域中,“编辑标记”部分允许您编辑或更新分配或映射到USM设备事件字段的数据标记。您还可以映射在日志数据之后图案化的其他未分配数据,并将这些数据标记分配给新事件字段。
您可以使用显示屏底部的滑动条来调整从示例日志文件中获取的映射到事件字段的数据标记的起点和终点。
注意:当前的插件生成器不允许从USM设备Web UI重新编辑自定义插件。 但是,您可以使用文本编辑器直接打开插件配置文件,并进行其他配置更改。 (自定义插件保存在/etc/alienvault/plugins/custom文件夹中。)您还可以从Plugin Builder的表格列表视图中删除现有插件,删除现有插件,然后重新开始使用插件创建新插件 生成器向导。
部署自定义插件
通过为各个资产或USM设备传感器启用插件,您可以使用与所有其他插件相同的方式使用插件生成器创建的自定义插件。 创建新的自定义插件后,插件配置文件将保存到USM Appliance服务器(用于USM Appliance All-in-One),并且还会分发到所有已配置的远程或外部传感器。 插件.sql文件自动应用于USM Appliance Server数据库。 无需在外部传感器上复制和运行插件.sql,因为它们没有单独的数据库。
注意:仅当您要将新的自定义插件部署到环境中部署的其他USM Appliance安装时,才需要导出或手动复制插件.cfg配置和.sql文件。 导出新的自定义插件仅导出插件.cfg配置文件。 因此,您仍然需要手动下载插件.sql文件,并将其应用于与您在环境中部署的任何其他USM ApplianceServer安装相关联的数据库。
从Scratch开发新的插件
本节概述了从头开始创建新插件可以遵循的过程,直接编辑和更新从特定数据源收集和规范化事件所需的插件配置(cfg)和.sql文件。
创建新插件的过程
以下过程详细介绍了创建新USM Appliance插件过程中的高级步骤。
插件设计最佳实践
AlienVault提供以下有关开发新插件或自定义插件的建议。
注意:如果向插件添加自定义函数或访问专有数据库,请务必小心。如果设计不当,这会降低性能。添加后,自定义插件最多可能需要五分钟才能显示在USM设备Web界面中。
教程:为Microsoft Exchange创建插件
在本教程中,我们使用Microsoft Exchange来展示如何开发日志插件。 从Exchange Server收集日志的首选方法是通过NXLog。 有关详细信息,请参阅Microsoft Exchange Server到NXLog。
插件开发步骤
创建插件配置文件
此任务为名为“exchangews”的数据源创建插件配置文件,该文件使用SNMP进行数据传输。
创建插件配置文件
使用9001到2147483647范围内的任何值更改plugin_id字段,但以下情况除外::
90003, 90005, 90007, 90008, 10002, 12001, 19004, 19005, 19006, 20505
注意:因为您复制了SSH.cfg,所以不需要创建header。 如果您从头开始创建文件,则需要在此时创建一个文件。 参见 The Plugin File Header.
将位置更改为指向日志文件/var/log/exchangews.log。
删除startup和shutdown字段。 这些字段不会被使用。 没有与此插件关联的应用程序。
(可选)创建新的转换表。
转换表将字符串转换为数字,以便可以将其用作plugin_sid。
HELLO=1
MAIL=2
RCPT=3
DATA=4
QUIT=5
xxxx=6
DEFAULT_=9999
创建新规则,填写下面的字段。
创建两个正则表达式来解析数据,因为日志文件中有两种不同的格式。
[exchangews - Generic rule]
#2011-10-09 05:00:15 1.1.1.1 36A42160 SMTPSVC1 MEE-PDC 192.168.1.2 0 HELO - +36A42160 250 0 48 13 0 SMTP - - - -
#2011-10-09 05:00:16 1.1.1.1 36A42160 SMTPSVC1 MEE-PDC 192.168.1.2 0 MAIL - +FROM:[email protected] 250 0 57 45 0 SMTP - - - -
event_type=event
regexp="(?P\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2})\s(?P
date={normalize_date(KaTeX parse error: Expected 'EOF', got '}' at position 6: date)}̲ plugin_sid…type)}
dst_ip={resolv(KaTeX parse error: Expected 'EOF', got '}' at position 8: dst_ip)}̲ src_ip={re…src_ip)}
hostname={KaTeX parse error: Expected 'EOF', got '}' at position 9: hostname}̲ userdata2=…userdata2}
userdata3={KaTeX parse error: Expected 'EOF', got '}' at position 10: userdata3}̲ [exchangew…date)}
plugin_sid={translate(KaTeX parse error: Expected 'EOF', got '}' at position 6: type)}̲ dst_ip={re…dst_ip)}
src_ip={resolv($src_ip)}
使用文件/var/log/exchangews.log中的日志检查正则表达式。
Internet上有几个实用程序来测试用Python编写的正则表达式。 建议使用其中一个实用程序检查创建的正则表达式是否与日志匹配。
注意:location参数限制为100个文件。
为插件创建一个 Plugin .sql 文件
以下示例显示了插件配置文件示例对应的插件.sql文件。
INSERT INTO plugin (id, type, name, description) VALUES (9001, 1, 'exchangews', 'Exchange E-mail Web server');
INSERT INTO plugin_sid (plugin_id, sid, category_id, class_id, name, priority, reliability) VALUES (9001, 1, NULL, NULL, 'exchangews: HELO' ,3, 2);
INSERT INTO plugin_sid (plugin_id, sid, category_id, class_id, name, priority, reliability) VALUES (9001, 9999, NULL, NULL, 'exchangews: Generic exchange event' ,3, 2);
更新SIEM 数据库
USM Appliance必须先将所有插件ID和事件类型存储在其数据库中,然后才能存储任何事件。 因此,如果您开发新插件并且不首先使用该数据更新数据库,则USM Appliance Server会删除这些事件,即使插件工作正常也是如此。
更新SIEM数据库
USM Appliance 更新
如果您部署了多个USM Appliance实例,AlienVault强烈建议您将USM Appliance安装保持最新并保持相同版本。 虽然USM Appliance是向后兼容的,但版本之间的差异可能会导致您错过安全事件。
更新不同的USM Appliance组件时,请遵循以下顺序。
按照此顺序,如果更新包含任何格式更改,则确保USM Appliance服务器/多功能一体机正确处理从USM Appliance传感器接收的任何数据。
同样,在更新包含Enterprise Server和Enterprise Database的USM Appliance Enterprise Server时,必须先更新Enterprise Server,然后再更新Enterprise Database。 这样,您可以确保Enterprise Server了解更新所引起的任何数据库更改
USM Appliance产品发布
AlienVault提供包含现有版本的安全更新和缺陷修复程序的修补程序。 这有时包括对底层操作系统的更新。 客户不应自行更改或更新操作系统,有关详细信息,请参阅USM Appliance未经授权的修改可能导致不稳定。
AlienVault communicates any new major releases before general availability. To see what we are currently working on, check out this post in the Success Center.
要了解每个产品版本的详细信息,请参阅消息中心中的“新更新:AlienVault <版本>已发布”消息。或USM Appliance发行说明
AlienVault实验室威胁情报更新
AlienVault Labs每周都会向USM Appliance平台提供威胁情报更新。 这些更新通常包括
注意:由于威胁情报更新会刷新漏洞扫描使用的漏洞威胁数据库,因此如果正在运行任何扫描作业,则无法完成。
要查找每个威胁情报更新的详细信息,请查看消息中心以获取AlienVault实验室威胁情报更新摘要消息。
插件Feed更新
AlienVault Labs通常每三周向USM Appliance平台提供一次插件Feed更新。 这些更新通常包括
在USM Appliance 5.4及更高版本中,您可以配置威胁情报和插件更新以自动运行。 有关说明,请参阅配置威胁情报和插件的自动更新。
Update USM Appliance Online
You need to update USM Appliance manually after a release becomes available. You can perform the update either from the USM Appliance web UI or the AlienVault Setup menu.
In USM Appliance version 5.4 and later, you can configure threat intelligence and plugin updates to run automatically, but you still need to run the product updates manually.
Important: To ensure performance, based on the USM Appliance data sheet, the update process terminates when you have more than 200 million events in the database.
Finding Out the Version of Your USM Appliance
Updating from the Web UI
Updating from the AlienVault Setup Menu
Configuring Automatic Updates for Threat Intelligence and Plugins
Update USM Appliance Offline
离线更新USM设备需要使用以下项目
要在AlienVault USM设备上执行脱机更新,首先需要下载所需版本的ISO映像。有关说明,请参阅Download a USM Appliance ISO Image.。
然后,您需要将ISO映像刻录到USB驱动器。有关说明,请参阅Burn the USM Appliance ISO Image to a USB Drive.
使用刻录到USB驱动器的ISO映像是脱机更新USM设备的首选方法。但是,USM设备VMware映像不包含USB控制器,因此您无法将USB驱动器连接到它。有关如何在虚拟机中添加USB控制器的说明,请参阅VMware’s knowledge base article about USB support.。
如果无法使用USB驱动器,则可以将ISO映像上载到数据存储区,然后通过CD或DVD驱动器访问它。单击以下链接以获取VMware文档中的说明
注意:选择“数据存储ISO文件”作为设备类型,并选择“连接时打开电源”以在虚拟机开启时连接设备。
最后,您可以按照以下步骤更新USM设备。
要点:为确保性能,基于USM Appliance数据表,当数据库中有超过2亿个事件时,更新过程将终止。
要脱机更新USM设备
更新过程将扫描任何连接的文件系统(USB或CD / DVD),并自动安装。
备份和恢复
AlienVault USM设备不提供集中备份或恢复整个系统的工具。 但是,您可以单独备份或还原数据和系统配置。 如果需要,您还可以将USM设备硬件设备恢复为出厂状态。
如果您需要将备份文件从一个USM设备传输到另一个USM设备(例如,从有缺陷的USM设备到其RMA(退货授权)更换,则可以使用Windows上的SFTP客户端,例如WinSCP; 或Linux上的SCP协议。
本节涉及的主题包括以下内容:
Back Up and Restore Alarms
Back Up and Restore Events
Back Up and Restore MongoDB
Back Up and Restore NetFlow Data
Back Up and Restore Raw Logs
Back Up and Restore System Configuration
Migrate Your USM Appliance Deployment
Restore Software on a USM Appliance Hardware
Update Your AlienVault License Key
系统维护和远程支持
AlienVault USM Appliance使用消息中心集中所有系统内错误,警告和消息。消息中心还包括AlienVault发送的有关产品发布和订阅源更新的外部消息。您只能通过Web UI访问消息中心。
USM Appliance中的Remote Support功能通过Web UI或AlienVault控制台打开与AlienVault支持服务器的安全加密连接。这允许AlienVault支持人员访问,诊断和解决USM设备组件中发生的任何问题。将USM设备组件连接到支持服务器后,远程支持允许AlienVault支持人员独立解决问题。与AlienVault支持交换的所有数据都经过加密以确保安全。交换的信息仅供AlienVault支持或工程团队使用。
您应定期删除USM设备系统日志和/或旧事件日志,否则设备可能会空间不足。从版本5.2.1开始,USM Appliance会对其更新脚本添加预检查,以便在计算机没有足够的磁盘空间时更新失败。
如果其中一个发生故障,您可能需要更换AlienVault USM设备硬件上的电源或硬盘驱动器。这两个组件代表了硬件故障的最常见原因,并且可以在必要时进行更换。
有关更多详细信息,请参阅以下主题。
Message Center
Remote Support
Locate the AlienVault License and System ID
Purge Old System Logs
Replace Disk Drives or Power Supplies