HPE ArcSight - Formación Técnica

Noviembre 2015
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
ArcSight o parcia
l
Formación Técnica
Agenda
Propied
ad de H
1. Introducción 3. Express
Prohibid ewlett P
1.1 ¿Qué es un SIEM? 3.1 Recorrido por Express
a su rep ackard
1.2 Arquitectura de AS 3.2 Herramientas de Monitorización
roducci Enterpr
1.3 Flujo de datos 3.3 Reglas
ise
3.4 Informes
ón total
2. Logger
o parcia
4. Ejercicios
2.1 Recorrido por Logger
2.2 Búsquedas
2.3 Informes l
2
1 Introducción
P1.2roArquitectura
1.1 ¿Qué es un SIEM?
pieda d dConnectors
de AS
Proh1.2.2 e H e w l et t
1.2.1 Smart/Flex
ibiLogger
d a s u P ac k ard Ent
reprodu e r prise
c ción tot
1.2.3 ESM
1.2.4 ArcMC
al o par
1.2.5 Load Balancer
1.3 Flujo de datos
c ial
1.3.1 Normalización y categorización
3
Propied
a d d e Hewlett
Prohibid
Introducción
Pa
¿Qué es un a su repro ckard E
nterpris
SIEM?
ducción e
total o p
arcial
Confidential – For Training Purposes Only 4

1 Introducción
1.1 ¿Qué es un SIEM?
Propied
Las funcionalidades principales de un SIEM son:
ad de H
– Gestión de eventos: Cumplimiento normativo.
Prohibid ewlett P
– Correlación a tiempo real: Detección de ataques.
a su rep ackard
– Informes, búsquedas y análisis: auditorías.
roducci Enterpr
ón total ise
o parcia
l
5
Propied
a d d e Hewlett
Prohibid
Introducción
P a
Arquitecturaadesu repro ckard E
nterpris
AS
ducción e
total o p
arcial

1 Introducción
1.2 Arquitectura de AS
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
7
1 Introducción
1.2.1 Smart/Flex Connectors
Propied
– Más de 350 conectores disponibles out of the box
ad de H
– Colecta
Prohibid
– Normaliza
ewlett P
a su rep ackard
Enterpr
– Categoriza, establece cliente y zona
roducci ise
ón total
– Filtra y agrega
o parcia
– Envía eventos procesados
8
1 Introducción
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
9
1 Introducción
Propied
– Windows
ad de H
– Microsoft Windows Event Log – Native: Soportado en Windows Server 2008, 2008 R2, 2012 y 2012 R2
ewlett P
– Microsoft Windows Event Log – Unified: Soportado en Windows, Linux y Solaris
Prohibid
– Syslog
ackard
a su rep Enterpr
roducci ise
ón total
o parcia
l
10
1 Introducción
Propied
– Flex
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
11
1 Introducción
1.2.2 Logger
Propied
– Colecta eventos
ad de H
– Agrega
Prohibid
– Almacena
ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
12
1 Introducción
1.2.2 Logger
Propied
– Receivers/Forwarders
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
13
i
1 Introducción
1.2.2 Logger Cada storage group dispone de un
PropieEvent
– Almacenamiento periodo de retención de tamaño
daddata
definido y personalizable
Prohibid d e Hewlett
CORRe
a su rep Packard
roducci Enterpr
ón total ise STORAGE RULES Hasta 40 storage rules
o parcia
l
Hasta 6 storage groups GROUP 1 GROUP 6
PRE INSTALLED AVAILABLE

Internal Default
events group
14
1 Introducción
1.2.2 Logger
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
15
1 Introducción
1.2.3 ESM
Propied
– Colecta
ad de H
– Agrega
Prohibid
– Procesa
ewlett P
a su rep
– Detecta incidentes
ackard
roducci Enterpr
ón total ise
o parcia
l
ArcSight Command Center https://<esmserver>:8443 ESM Console Linux, Windows, Mac
16
1 Introducción
1.2.3 ESM
Propied
ad de H Actors
ewlett P
Users Active
Prohibid
Assets Cases Connectors
Channels
ackard
Stages
a su rep Enterpr
roducci
Customers
Search
Filters
ón total ise
o parcia
Dashboards
Saved
l
Searches
Files
ESM Manager
Rules
Filters
Reports
Integration
Knowledge Commands
Query Pattern
Base
Viewers Discovery Lists
Notifications
17
1 Introducción
1.2.3 ESM
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
18
1 Introducción
1.2.4 ArcMC
Propied ON
ad de H ROADMAP
Prohibid ewlett P
a su rep ackard
Gestión y
Enterpr
Próximamente:
roducci
Monitorización Gestión y
ise
de Logger, Monitorización
ón total
ArcMC, ESM
ConApp y
o parcia
Connectores
100%
l
Funcionalidades
ConApp
19
1 Introducción
1.2.5 Load Balancer
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
20
Propied
ad d e Hewlett
Prohibid
Introducción
Packard
a su rep
Flujo de datos
Enterpr
roducci ise
ón total
o parcia
l

1 Introducción
1.3 Flujo de datos
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
22
1 Introducción
1.3 Flujo de datos
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
23
1 Introducción
1.3 Flujo de datos
1-Recolección de 5-Resolución de
Propied
Eventos nombres
ad de H
7-Filtrado
ewlett P
3- Mapping 9-Agregación
Prohibid personalizado
ackard
a su rep Enterpr
roducci ise
ón total
1 2 3 4 5 6 7 8 9 10
o parcia
l
4-Categorización
8-Corrección de
Tiempo
2-
Parsing/Normalización 6-Modelado de Red
(connector specific) (Zones)
10-Envío al Destino
24
Normalización CEF(Common Event Format)
Propied
Raw Event
ad de H
<166>%ASA-6-106015: Deny TCP (no connection) from 192.168.1.102/59738 to 67.210.229.52/443
ewlett P
flags FIN ACK on interface inside
Prohibid ackard
a su rep
Normalización Enriquecimiento
roducci Enterpr
CATEGORÍAS & TAXONOMÍA
ón total ise
categorySignificance=/informational/Warning
categoryBehavior=/Access
o parcia
CategoryDeviceGroup=/Firewall
categoryOutcome=/Failure
categoryObject=/Host/Application/Service
l ACTIVOS DE INFORMACIÓN
Model [Network, zones, IP ranges, Assets]

Assets Vulnerabilities
Network Services
CONTEXTO DE NEGOCIO
Business context [mission, criticality, …]

Compliance requirement [regulation, policy,
…]
Responsibilities
1 Introducción
1.3 Flujo de datos
Propied
– Categorización
ad de H
Sin…
Prohibid ewlett P
Jun 17 2009 12:16:03: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605 to 204.110.227.16/443
a su rep ackard
flags FIN ACK on interface outside
Enterpr
Jun 17 2009 14:53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx.146.12 src port 2523 dst
roducci
xxx.xxx.10.2 service ms-sql-m proto udp rule 49
ón total ise
o parcia
Con…
l
Device Category Category Category Category
Time (Event Time) name deviceProduct
Vendor Behavior DeviceGroup Outcome Significance
/Informational/
6/17/2009 12:16:03 Deny Cisco PIX /Access /Firewall /Failure
Warning
/Informational/
6/17/2009 14:53:16 Drop Checkpoint Firewall-1/VPN-1 /Access/Start /Firewall /Failure
Warning
Ventajas: Eficiencia en el Análisis Forense

1 Introducción
1.3 Flujo de datos
Propied
– Ciclo de vida de los eventos
ad de H
1. Recolección de Eventos
Prohibid ewlett P
– Adquisición, filtrado, normalización y agregación de eventos
ackard
– Categorización de eventos
a su rep
– Inserción del cliente y de la zona de red
Enterpr
roducci
Phase 7
2. Búsqueda de Modelado de Red y Evaluación de Prioridades
3. Correlación
ón total ise Phase 6
o parcia
4. Monitoreo e Investigación Phase 5
l
5. Workflow
Phase 4
6. Análisis de Incidentes e Informes
7. Almacenamiento Phase 3
Phase 2
Phase 1
2 Logger
Pr2.2oBúsquedas
2.1 Recorrido por Logger
piedad
Prohibid d e Hewlett
Packard
2.3 Informes
a su rep Enterpr
roducci ise
ón total
o parcia
l
28
Propied
ad d e Hewlett
Prohibid
Logger
Pa
a sLogger
Recorrido por u reprod c kard En
ucción t terprise
otal o p
arcial

Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
39
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Grupos de Políticas de Almacenamiento
Almacenamiento
Propied
Dispositivos
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Grupos de Dispositivos
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Reglas de Almacenamiento
(hasta 40)
Propied
a d d e Hewlett
Prohibid
Logger
Packard
Búsquedas a su
reprodu Enterpr
cción to ise
tal o pa
rcial

Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
2.2 Búsquedas en Logger
– Aislar un valor o valores de cualquiera de los datos estructurados o no estructurados
Propied
– Agregada (combinar o agrupar) los valores y contarlos
ad de H
– Gráficos de tiempo o por otro campo
Prohibid ewlett P
a su rep ackard
Enterpr
Ejemplos
roducci
– | chart count by <fieldname>
ise
ón total
o parcia
– | chart count by <fieldname> | sort _count
46
2. Logger Field Set: columnas CEF
2.2 Búsquedas en Logger CEF Field: 1 campo específico de ArcSight
CEF Event: evento en formato CEF

– Valores/Columnas
Propied
Field Summary: resumen de campos seleccionados
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
47
2. Logger
Obtener detalles de un campo
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
48
2. Logger
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad d e Hewlett
Prohibid
Logger
Packard
Informes a su
reprodu Enterpr
cción to ise
tal o pa
rcial

2. Logger
2.3 Informes
Crear Informes
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
2.3 Informes
Crear Informes
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
2. Logger
2.3 Informes
Parámetros
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
3 Express
Pr3.2oHerramientas
3.1 Recorrido por Express
piedadde Monitorización
3.2.1 Filtros de H
Prohi3.2.2 e w l ett Packa
bida su rd Ente
reprodu
Active Chanels
3.2.3 Query
c c i ón total r p rise
o parcia
3.2.4 Query Viewer
3.2.5 Dashboard y Data Monitor
3.3 Reglas
l
3.4 Informes
63
Propied
ad d e Hewlett
Prohibid
Express
Pa
a sExpress
Recorrido por u reprod c kard En
ucción t terprise
otal o p
arcial

Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ó! n total ise
o parcia
l
La versión de la consola debe ser la misma que la del ESM
server
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
66
Inspect / Edit
! Navigator Panel
Acceso a los recursos CCE - Common Condition Editor
Propied
Detalles de eventos & editor de recursos
Viewer
ad de H
Muestra eventos, gráficos,
ewlett P
informes, dashboards, active
Prohibid
channels
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
68
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
69
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
70
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
71
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
72
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
73
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
74
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
75
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
76
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
77
La regla se
muestra en el
Propied panel
ad de H
Inspect/Edit
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
a d d e Hewlett
Prohibid
Express
Pa
Herramientasade
su repro ckard E
nterpris
Monitorización
ducción e
total o p
arcial

Propied
ad d e
deHMonitorización
Prohibid
Herramientas ewlett P
a su rep ackard
Filtros
roducci Enterpr
ón total ise
o parcia
l

3 Express
3.2 Herramientas de Monitorización
3.2.1 Filtros
Propied
– Ofrece un enfoque más estructurado / modular para la construcción de contenido
ad de H
– Condiciones booleanas que seleccionan eventos
Prohibid ewlett P
– Utiliza campos y/o variables
a su rep ackard
– Útiles en la creación de Active Channels, Reglas, Dashboards, etc
roducci Enterpr
ise
– Aplicable a:
– ESM
ón total
– Conectores
o parcia
l
81
3 Express
NOT
3.2.1 Filtros
OR
Propied
AND
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
CAMPO
CAMPO
OPERADOR
FILTRADO
3 Express
3.2.1 Filtros
Propied
ad de H
Debug Filter:
Prohibid ewlett P
– Prueba si un evento satisface un
a su rep
filtro.
ackard
roducci Enterpr
– Identificar qué condiciones no son
ón total
satisfechas por el evento.
ise
o parcia
l
Propied
a d d e
deHMonitorización
Prohibid
a su rep ackard
Active Channels
roducci Enterpr
ón total ise
o parcia
l

Propied
ad de H
Prohibid ewlett P
a su rep ackard
ro du E n t e r prise
cción tot
Últimos
al o par
Eventos
1 LÍNEA = 1 EVENTO
cial
Más
Antiguos
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
HEADER
RADAR
Propied
ad de H
Prohibid ewlett P
a su rep ackard
GRID
roducci Enterpr
ón total ise
o parcia
l
EVENTO!
Propied
ad de H
Prohibid ewlett P
a su rep ackard
Enterpr
Log Raw log Connector CEF event ESM CORRe
roducci
source
ón total ise
o parcia
Start Time l
Fecha de comienzo del evento, grabado por la fuente, o por una segunda
fuente monitorizada por esta.
End Time
Fecha de fin del evento, grabado por la fuente, o por una segunda fuente
monitorizada por esta.
Device Agent Manager
EVENTO! Receipt Receipt Receipt
Time Time
Propied
Time
ad de H
Prohibid ewlett P
a su rep ackard
Enterpr
Log Raw log Connector CEF event ESM CORRe
roducci
source
El log es
ón total iseEl Smartconnector ESM server recibe un
o parcia
registrado/generado por
recibe un evento en evento en formato CEF y
el Dispositivo/Sensor de
raw y lo procesa lo escribe en el CORRe
l
origen
Connector Receipt Time

Device Receipt Time Timestamp aplicado por Manager Receipt Time
Timestamp aplicado por la ArcSight SmartConnector's Timestamp aplicado por ArcSight
fuente cuando un evento JVM (Java Virtual Machine) Manager's JVM (Java Virtual
es recibido por esta. cuando recibe el evento de la Machine) cuando recibe el evento
fuente orginal. del ArcSight SmartConnector.
Device Agent Manager
EVENTO! Receipt Receipt Receipt
Time Time
Propied
Time
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
a d d e
deHMonitorización
Prohibid
a su rep ackard
Query
roducci Enterpr
ón total ise
o parcia
l

3 Express
3.2.3 Query
Propied
Usos:
ad de H
Prohibid ewlett P
ackard
– Informes
a su rep Enterpr
roducci
– Query viewers
– Trends
ón total ise
o parcia
l
3 Express
3.2.3 Query
Propied
Usos:
ad de H
Prohibid ewlett P
ackard
– Informes
a su rep Enterpr
roducci
– Query viewers
– Trends
ón total ise
o parcia
l
3 Express
3.2.3 Query
Propied
ad de H
ewlett P
Select: campos seleccionados
Prohibid ackard
a su rep Enterpr
Group by: dividir los resultados en grupos
roducci ise
ón total
Order by: especificar el orden para mostrar los resultados
o parcia
l
3 Express
3.2.3 Query
Propied
ad de H
– Implementar las condiciones con la
ewlett P
ayuda de los campos (CEF)
Prohibid ackard
a su rep
– Es posible el uso de filtros
roducci Enterpr
ón total ise
o parcia
l
Propied
a d d e
deHMonitorización
Prohibid
a su rep ackard
Query Viewer
roducci Enterpr
ón total ise
o parcia
l

3 Express
3.2.4 Query Viewer
Propied
– Crear una Query Viewer
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
3. Express
3.2.4 Query Viewer
Propied
– Clic derecho en “<admin>’s Query Viewers”
ad de H
– Seleccionar “New Query Viewer”
Prohibid ewlett P
– Una nueva Query Viewer se abrirá en el
a su rep
panel Edit/Inspect
ackard
roducci Enterpr
ón total ise
o parcia
l
3. Express
3.2.4 Query Viewer
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
3.2.4 Query Viewer
3.2.4 Query Viewer
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
3. Express
3.2.4 Query Viewer
Propied
– En el panel de Navegación hacer doble clic en
ad de H
la Query Viewer
Prohibid ewlett P
– La Query Viewer se mostrará
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
a d d edeHMonitorización
Prohibid
Dashboard yaData
su repro ackard E
nterpris
Monitor
ducción e
total o p
arcial
102
3. Express
Propied
– Pasos a seguir en la creación de un Dashboard:
ad de H
– Crear un Dashboard
Prohibid ewlett P
– Crear un Data Monitors para el Dashboard
a su rep ackard
– Asociar el Data Monitors con el Dashboard
roducci Enterpr
– Un dashboard pupede mostrar multiples data monitors
– Data Monitor
ón total ise
o parcia
– Similar a las reglas, evalúa eventos y estadísticas de salud del sistema en tiempo real
l
– Agrega la información con elementos comúnes
3. Express
Propied
Tipos
ad de H
Event-based Data Monitor
Prohibid ewlett P
Se utiliza para recopilar datos con el fin de enviarlos a la consola para su visualización
a su rep
–Top Value Counts
ackard
roducci Enterpr
ise
–Asset Category Count
–Last N Events
ón total
–Hourly Counts
o parcia
–Hierarchy Map
–Last State l
–Event Graph
–Geographic Event Graph
–Rules Partial Match
INT.104
3. Express
Propied
Tipos (cont.)
ad de H
Correlation Data Monitor
Prohibid ewlett P
Se utiliza para realizar un análisis posterior, genera eventos de correlación en base a los resultados del
análisis
a su rep ackard
roducci
–Event Reconciliation
Enterpr
ón total
–Session Reconciliation
ise
o parcia
–Moving Average
l
–Statistics
Non-event-based Data Monitor
Se utiliza para visualizar información del ESM
–ESM Manager’s Memory Utilization
–ESM Database Free Space
–Connector Status
INT.105
3. Express
Propied
Crear un Data Monitor
ad de H
– Clic derecho en “<admin>’s “Data
Prohibid
Monitors”
ewlett P
a su rep ackard
– Seleccionar “New Data Monitor”
roducci Enterpr
ise
– Un nuevo Data Monitor se abrirá en el
panel de Inspect/Edit
ón total
o parcia
l
3. Express
Propied
ad de H
Prohibid
Monitors”
ewlett P
a su rep ackard
roducci Enterpr
ise
ón total
o parcia
l
3. Express
Propied
ad de H
Prohibid
Monitors”
ewlett P
a su rep ackard
roducci Enterpr
ise
ón total
o parcia
l
3. Express
Propied
Crear un Dashboard
ad de H
– Clic derecho en el Panel de Navegación
Prohibid ewlett P
sobre el Data Monitor
a su rep ackard
– Seleccionar “Add to Dashboard As”
roducci Enterpr
ise
– Seleccionar el formato del DM
ón total
o parcia
l
Propied
ad d e Hewlett
Prohibid
Express
Packard
Reglas a su rep Enterpr
roducci ise
ón total
o parcia
l
110
3.3 Reglas
Tipos de Reglas
Eventos de
Condició Tipo de
Tipo Características Agregación Acciones Correlación Procesamiento
Propied
n Acción
o Auditoria
ad de H
Múltiples
Incluye todas las Multiples Por campos Genera eventos de
según Flujo de procesamiento
ewlett P
STANDARD características de (comparación (idénticos o Sin restricción correlación o
Prohibid
distintos Post-persistence
creación de una regla de eventos) diferentes) auditoría
disparos
a su rep ackard
Incluye un pequeño
Sólo una (no
Enterpr
conjunto de Ejecuta una No genera eventos
roducci
existe Active list and
LIGHTWEIGHT características para la No acción en “On de correlación o Anterior a Standard
ise
comparación session list
creación de reglas más Every Event” auditoria
ón total
de eventos)
rápido y sencillo
o parcia
Incluye un pequeño
Sólo una (no
conjunto de No Ejecuta una No genera eventos
PRE- existe Anterior a Lightweight y
l
características para acción en “On Set Event Field. de correlación o
PERSISTENCE comparación Standard
habilitar un análisis Every Event” auditoria
de eventos)
básico.
3.3 Reglas
Tipos de Reglas
Eventos de
Condició Tipo de
Tipo Características Agregación Acciones Correlación Procesamiento
Propied
n Acción
o Auditoria
ad de H
Múltiples
Incluye todas las Multiples Por campos Genera eventos de
según Flujo de procesamiento
ewlett P
STANDARD características de (comparación (idénticos o Sin restricción correlación o
Prohibid
distintos Post-persistence
creación de una regla de eventos) diferentes) auditoría
disparos
a su rep ackard
Incluye un pequeño
Sólo una (no
Enterpr
conjunto de Ejecuta una No genera eventos
roducci
existe Active list and
LIGHTWEIGHT características para la No acción en “On de correlación o Anterior a Standard
ise
comparación session list
creación de reglas más Every Event” auditoria
ón total
de eventos)
rápido y sencillo
o parcia
Incluye un pequeño
Sólo una (no
conjunto de No Ejecuta una No genera eventos
PRE- existe Anterior a Lightweight y
l
características para acción en “On Set Event Field. de correlación o
PERSISTENCE comparación Standard
habilitar un análisis Every Event” auditoria
de eventos)
básico.
3.3 Reglas ESM/Express
Estándar
Fujo de Eventos
Real Time Rules
Propied
ad de H CONSOLA
Prohibid
•
ewlett P
Se procede al filtrado y
a su rep
agregación
ackard
•
roducci
Los eventos entran en Real
Enterpr
Time Rules
ón total ise
EVENTOS
CONDICIONES DE
o parcia
• Los eventos se escriben en REGLAS Y AGREGACIÓN
CORRELADOS Y DE
CORR engine – y pasan a AUDITORÍA Los eventos
l
correlados pueden
llamarse “persistence”
verse en Active
• CORR engine
Las reglas activadas ACCIONES DISPARADAS
Chanels
desencadenarán una o varias
acciones
• Eventos correlados y de
auditoria son insertados en
CORR engine
3.3 Reglas
Lightwight ESM/Express
Flujo de Eventos Real Time Rules

Propied
ad de H
Prohibid ewlett P
a su rep ackard
•
roducci
Los eventos son insertados en
Enterpr
ise
CORR engine
ón total
Sólo un evento (no
hay comparación)
o parcia
• Los eventos entran Real Time Condiciones
Rules
l
limitadas
• Se procesan reglas de filtrado Ejecuta una acción
de evento (sin comparación de específica solo en On
CORR engine
eventos), sin agregación Every Event trigger
• Las reglas activas dispararán Sólo permite

únicamente acciones en acciones de active
ACTIVE LIST on every event list y session list
3.3 Reglas
Pre Persistent
ESM/Express ! Sólo es possible desencadenar la
acción Set Event Field.
Flujo de Eventos Real Time Rules

Propied
ad de H No hay agregación
Prohibid ewlett P
a su rep ackard
Análisis de eventos base
• Los Eventos son insertados en
CORR engine
roducci Enterpr
•
ón total
Los Eventos entran en Real Time
Rules ise Acción en “On Every Event”
•
o parcia
Análisis de eventos y ajuste de
•
campos cuando se dispara la
regla
Se procesan reglas de filtrado
l configuración de campos,
enriquecer eventos base
de evento (sin comparación de Eventoos base son escritos en

eventos), sin agregación CORR engine CORR-Engine
• NO se generan eventos de
correlación ni de auditoría
3.3 Reglas
Correlación
ESM Correlation Engine
Propied
– Detecta relaciones entre eventos
ad de H
– Infiere en la importancia de las relaciones
Prohibid ewlett P
– Prioriza eventos
a su rep ackard
– Crea eventos de correlación
roducci Enterpr
ise
– Proporciona un framework para ejercer una acción
ón total
o parcia
l
116
3.3 Reglas
Correlación ArcSight 1/3
Correlación Simple – Reglas de Agregación de Eventos
Propied
Multi-Events
ad de H
– Correlación más básica
ewlett P
– Único tipo de evento o categoría
Prohibid Evento ack

• Condiciones simples
a su rep a rd
• Varios eventos a uno
ro ducción E nterpris
• Acumula eventos en memoria
e
único • Único origen y destino
total o p
Correlación • ArcSight SmartConnectors también agrega
arcial
117
3.3 Reglas
Cross device rules – Comparación de Eventos
Propied
Multi-Events
ad de H
Prohibid ewlett P  Relaciona diferentes eventos (de distintos
ackard
dispositivos) con una combinación de eventos
a su rep E
comúnes, ej. source IP, target IP, port, protocol,
n
rodEvento
u t e r p
username, domain, location, zone, etc.
c c i ó n t ri se
 Comapra campos de eventos usando funciones
único otal o p
Booleanas (AND, OR, NOT)
arcial
Correlación
(múltiples eventos, múltiples
sources, targets)
3.3 Reglas
Escenarios Complejos – Encadenado de Reglas
Active List “Suspect”
Propied
Acción: escribe en Active list “Suspect”
ad de H
1-El atacante investiga la red
Prohibid ewlett P
Secuencia 1 Regla1
a su rep ackasemanas
2-Minutos, días o incluso
Combinación de Eventos
roducci r d Eintenta
n t
después el mismo
e r p
Active List “Hostile”
ón total
atacante
rise
accede a un
Acción: escribe en Active list “Hostile”
o
Sistema y falla
Secuencia 2
Regla2 p
3-Eventualmente r
a elcatacante
ial
accede al sistema.
Comprometiendo el recurso.
Acción: ALERT
Secuencia Regla3 Evento correlado

3.3 Reglas
Crear una Regla
Crear una Regla Estándar en 3 pasos
P1.¿Qué
ropeventos
iedaquiero
Definición de “Conditions”
d d e Hewlett
tener en cuenta?
Prohibid
Filtrado de eventos a evaluar
Packard
a su rep E n
r o d t e r
2. Definición de “Aggregation”
¿Cuántas veces quiero que el evento/s
u
ocurra
c
El número de veces que un evento/s (threshold)c
y en
i ó
qué
n
intervalo de tiempo? p r i s
se e
necesitan
t otal o p
ocurrir antes de que la regla
dispare
3. Definición de “Actions”
a r c ial
¿Qué acciones deberían ocurrir automáticamente cuando un evento es generado?
¿Cuándo deberían activarse esas acciones?
¿Qué pasos deberán desencadenarse cuando la regla se dispara?
120
3.3 Reglas
Crear una Regla
Acciones desencadenadas tras la activación de una
P– rSeop
regla
i edad unade
activan automáticamente
P– rPueden
– Pueden dispararse
ohibida H e wlett Pa
o más veces
ser:
su repro ckard E
nterpris
– Configuración de Event Fields de eventos correlados
–
ducción
Enviar los eventos asociados a la regla a HP
e
total o p
OpenView
arcial
– Enviar notificaciones a ArcSight User Groups
– Ejecutar commandos localmente a nivel de conector
– Exportar case/data a un Sistema externo (XML)
– Gestionar un case
– Añadir/eliminar información a/de Active/Session
–
Lists
Modificar Assets Categories
! Recordemos que las reglas Lightweight y
Pre Persistence tienen acciones limitadas
121
3 Express
3.1 Recorrido por Express
Propied
ad de H
ewlett P
3.2.1 Filtros
Prohibid ackard
a su rep
3.2.2 Active Chanels
roducci
3.2.3 Query Enterpr
ón total
3.2.4 Query Viewer ise
o parcia
l
3.3 Reglas
3.4 Informes
Propied
ad d e Hewlett
Prohibid
Express
Packard
Informes a su rep Enterpr
roducci ise
ón total
o parcia
l
123
3.4 Informes
Crear un Informe
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
3.4 Informes
Crear un Informe
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
3.4 Informes
Crear un Informe
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
o parcia
l
Propied
ad de H
Prohibid ewlett P
a su rep ackard
roducci Enterpr
ón total ise
Gracias o parcia
l
servicios.formacion@hpe.com
127

HPE ArcSight - Formación Técnica

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

HPE ArcSight - Formación Técnica

Hochgeladen von

Copyright:

Verfügbare Formate

Noviembre 2015

Confidential – For Training Purposes Only 4

Confidential – For Training Purposes Only 6

PRE INSTALLED AVAILABLE

Confidential – For Training Purposes Only 21

Model [Network, zones, IP ranges, Assets]

Business context [mission, criticality, …]

Ventajas: Eficiencia en el Análisis Forense

Confidential – For Training Purposes Only 29

Confidential – For Training Purposes Only 44

CEF Event: evento en formato CEF

Confidential – For Training Purposes Only 59

Confidential – For Training Purposes Only 64

Confidential – For Training Purposes Only 79

Confidential – For Training Purposes Only 80

Confidential – For Training Purposes Only 84

ón total iseEl Smartconnector ESM server recibe un

Connector Receipt Time

Confidential – For Training Purposes Only 91

Confidential – For Training Purposes Only 96

Flujo de Eventos Real Time Rules

• Las reglas activas dispararán Sólo permite

Flujo de Eventos Real Time Rules

de evento (sin comparación de Eventoos base son escritos en

Prohibid Evento ack

Secuencia Regla3 Evento correlado

Das könnte Ihnen auch gefallen