%ESEC_HOME%\sentinel\bin\map_data (Windows) ou $ESEC_HOME/sentinel/ bin/map_data (UNIX). Le préfixe du nom du fichier sauvegardé est le même que celui du fichier existant. La fin du nom du fichier contient des nombres aléatoires suivis du suffixe .bak. Par exemple : attaques_vuln10197.bak.
6. Cliquez sur OK.
7. Les données du nouveau fichier source de l'assignation sont téléchargées vers le serveur et remplacent le contenu du fichier source existant. Au terme du téléchargement, les données de l'assignation sont régénérées et distribuées aux clients de l'assignation
(par exemple, le Gestionnaire des collecteurs).
Onglet Événements
REMARQUE : pour utiliser l'onglet Événements, votre fichier configuration.xml doit pointer vers un serveur de communication auquel DAS_Binary et DAS_Query sont connectés. Ceci est normalement le cas, par défaut, si les processus Serveur de communication et DAS s'exécutent.
Assignation de données aux événements
L'assignation de données aux événements est un mécanisme qui permet d'ajouter des données
à un événement à l'aide des données qu'il contient pour faire référence aux données d'une source externe et les importer. La source de données externe est une assignation définie à l'aide
de l' onglet Assignation . Utilisez l'onglet Événements pour spécifier les données figurant dans
l'événement et devant faire référence aux données de l'assignation et les données à importer de l'assignation dans l'événement.
N'importe quelles données pouvant être assignées à un événement, l'assignation de données aux événements s'avère utile pour incorporer dans le flux d'événements des données figurant
à tous les niveaux de votre entreprise. Certains des avantages liés à l'assignation de données aux événements sont les suivants :
Contrôle de la conformité aux réglementations
Conformité à la stratégie
Attribution d'une priorité aux réponses
Analyse des données de sécurité en fonction des activités de l'entreprise
Renforcement des responsabilités
Lorsqu'une assignation de données aux événements est définie, elle est appliquée sur l'ensemble du système à tous les événements de tous les collecteurs. En outre, Sentinel distribue auto-matiquement les données d'assignation à tous les processus qui effectuent des assignations de données aux événements et maintiennent ces données à jour. Pour ces raisons, l'assignation de données aux événements contribue de manière significative aux déploiements de solutions dans les entreprises.
L'assignation de données aux événements comprend quatre composants :
Contrôleur : stocke toutes les informations d'assignation.
Distributeur : redistribue automatiquement les assignations modifiées aux processus associés aux assignations.
Moniteur : permet de détecter les changements dans les données source des assignations.
Générateur : génère des assignations à partir de données source.
Une application de l'assignation de données aux événements peut être illustrée par la fonction
Données de l'actif de Sentinel. Par exemple, les informations d'actif sont recueillies et stockées
10-18 Guide de L'Utilisateur de Sentinel
dans le schéma des actifs de la base de données Sentinel et sont représentées par une entrée d'actif physique. Les actifs non physiques, tels que les services et les applications, sont représentés par une entrée liée à un actif physique. Le mécanisme de mise à jour automatisé principal des données d'actif a recours à un collecteur d'actifs qui lit les données dans un scanner tel que Nmap.
Le collecteur d'actifs automatise l'extraction des informations d'actif en lisant celles-ci dans le scanner, puis en les fournissant aux tables de schéma d'actif. Pour l'assignation de données aux événements, les informations d'actif sont assignées depuis l'IP de destination et l'IP source.
Il existe deux types de sources de données :
Externe : un collecteur renseigne la balise d'événement avec cette valeur.
Référencé par l'assignation : les données sont extraites d'une assignation pour renseigner la balise.
Dans l'illustration ci-dessus, la balise SourceAssetName est renseignée par l'assignation Asset
(dont le fichier source de données est asset.csv). La valeur spécifique de SourceAssetName est extraite de la colonne AssetName de l'assignation Asset. La colonne PhysicalAsssetName est définie comme clé. Lorsque la balise SourceIP de l'événement correspond à l'une des valeurs de l'IP source dans la colonne PhysicalAsssetName de l'assignation, la ligne comportant la clé corres-pondante fournit une valeur à la colonne AssetName. Par exemple, dans l'exemple ci-dessous, IP 198.168.1.100 correspond à Finance35 de la colonne AssetName.
REMARQUE : lorsqu'une colonne est définie comme clé, elle n'apparaît pas dans le champ déroulant Colonne.
SourceAssetName SourceAssetName
Key
SourceAssetName
Il peut arriver que plusieurs colonnes soient définies comme clé pour éviter que l'assignation soit une assignation de plage (ce type d'assignation ne peut comporter qu'une colonne clé, si le type défini de la colonne est NumberRange). Par exemple (si le type défini de la colonne est String), les colonnes DeviceName (nom du périphérique de sécurité) et DeviceAttackName sont définies comme clés pour la balise AttackId qui est renseignée par la valeur correspondante de la colonne NormalizedAttackID de l'assignation AttackNormalization. Dans une ligne où la balise d'événement DeviceName correspond à la valeur de la colonne Device de l'assignation et où DeviceAttackName correspond à la valeur de la colonne AttackSignature de l'assignation, la valeur de AttackId est la valeur de la colonne NormalizedAttackID.
Gestionnaire de données Sentinel
10-19
La configuration de l'assignation de données aux événements est la suivante :
Key
Key AttackId entry
Configuration des balises d'événements (colonnes) pour utiliser Assignation
1. Cliquez sur l'onglet Événements.
2. Sélectionnez une balise d'événement dans la liste Colonnes des événements.
REMARQUE : le nom d'origine de la balise d'événement apparaît au-dessus du champ Étiquette. La description de la colonne d'événements est également fournie.
3. Cliquez sur Référencé par l'assignation pour configurer la balise d'événement
à renseigner avec les données d'une assignation. Cliquez sur Externe pour conserver la valeur que le collecteur place dans la balise d'événement (s'il y en a une).
4. Cliquez sur la flèche du champ déroulant Nom de l'assignation.
10-20 Guide de L'Utilisateur de Sentinel
Sélectionnez l'une des assignations par défaut suivantes ou une assignation que vous avez créée :
Asset : contient les données du fichier source de l'assignation asset.csv. Le fichier asset.csv est automatiquement généré à partir des données d'actif de la base de données Sentinel lorsqu'un collecteur d'actifs est exécuté. Ce fichier peut être renseigné manuellement, si besoin.
AssetToRegulation : contient les données du fichier source de l'assignation
AssetToRegulation.csv. Ce fichier doit être renseigné manuellement.
AttackSignatureNormalization : contient les données du fichier source de l'assignation attackNormalization.csv (signatures IDS). Le fichier attackNormalization.csv est automatiquement généré à partir des données Advisor de la base de données Sentinel lorsqu'Advisor est alimenté.
IpToCountry : contient les données du fichier source de l'assignation IpToCountry.csv.
Ce fichier doit être renseigné manuellement.
IsExploitWatchlist : contient les données du fichier source de l'assignation exploitDetection.csv (vulnérabilités et menaces). Le fichier exploitDetection.csv est automatiquement généré à partir des données Advisor et des données de vulnérabilité de la base de données Sentinel lorsqu'Advisor est alimenté ou lorsqu'un collecteur de vulnérabilités est exécuté.
5. Cliquez sur la flèche du menu déroulant Colonne de l'assignation et sélectionnez un nom de colonne d'assignation. Selon l'assignation que vous avez choisie à l'étape précédente, ces valeurs varient.
Gestionnaire de données Sentinel
10-21
