_EXIST_ : colonne d'assignation spéciale qui existe dans chaque assignation. Si cette colonne d'assignation est sélectionnée, un « 1 » sera placé dans la balise d'événement
à condition que la clé figure dans les données de l'assignation. Dans le cas contraire, un « 0 » sera placé dans la balise d'événement.
Tous les autres choix : noms des colonnes actives dans la définition de l'assignation qui ne sont pas définies comme clés (par exemple, la colonne CustomerId dans Asset ou la colonne NormalizedAttackId dans AttackNormalization).
6. Pour chacune des lignes de la table Configuration clé, sélectionnez la balise d'événement dans la colonne Balise d'événement qui correspondra à la colonne clé de l'assignation spécifiée dans la colonne Champ de clé d'assignation. Les lignes de la table
Configuration clé dépendent de l'assignation sélectionnée.
REMARQUE : une clé est un identificateur unique pour chaque ligne de données dans les données de l'assignation.
7. Cliquez sur Appliquer.
REMARQUE : cliquez sur Appliquer pour enregistrer les modifications que vous avez apportées à la colonne d'événements sélectionnée dans une mémoire tampon temporaire. Si vous ne cliquez pas sur Appliquer lorsque vous sélectionnez une autre colonne d'événements, les modifications que vous avez apportées à la colonne d'événements précédente seront perdues. Les modifications ne sont enregistrées sur le serveur que lorsque vous cliquez sur Enregistrer.
8. Si vous voulez modifier l'assignation de données aux événements d'une autre colonne d'événements, répétez la procédure ci-dessus. Pensez à cliquer sur Appliquer après avoir modifié l'assignation de données aux événements de chaque colonne d'événements.
9. Cliquez sur Enregistrer.
REMARQUE : cliquez sur Enregistrer pour enregistrer vos modifications sur le serveur. Cette fonction enregistre toutes les modifications stockées dans la mémoire tampon temporaire (lorsque vous avez cliqué sur Appliquer).
Renommer des balises
L'onglet Événements permet également d'assigner des noms aux étiquettes de balises d'événements existantes. Par exemple, vous pouvez renommer City la balise d'événement Ct2.
Ainsi, la balise d'événement qui apparaissait auparavant sous le nom « Ct2 » dans le Centre de contrôle Sentinel apparaît désormais sous le nom « City ». Les balises d'événements
10-22 Guide de L'Utilisateur de Sentinel
apparaissent à plusieurs emplacements dans le Centre de contrôle Sentinel, notamment dans les filtres, les règles de corrélation et les vues actives.
Renommer des balises ne change pas le nom de la variable dans les scripts des collecteurs.
Therefore, even if the event tag labeled Ct2 is renamed to City, the variable that must be used in a Collector script to reference this meta-tag will still be s_CT2.
Voici une illustration de l'utilisation avant et après de cette fonctionnalité dans une vue active.
Renommer une colonne d'événements
1. Cliquez sur l'onglet Événements.
REMARQUE : le nom d'origine de la colonne d'événements apparaît au-dessus du champ Étiquette. La description de la colonne d'événements est également fournie.
2. Sélectionnez une colonne d'événements.
3. Entrez une valeur pour votre colonne d'événements dans le champ Étiquette.
4. Cliquez sur Appliquer.
REMARQUE : le fait de cliquer sur Appliquer enregistre les modifications que vous avez apportées à la balise d'événement sélectionnée dans une mémoire tampon temporaire. Si vous ne cliquez pas sur Appliquer, lorsque vous sélectionnez une autre balise d'événement, les modifications apportées à la balise d'événement précédente seront perdues. Les modifications ne sont enregistrées sur le serveur que lorsque vous cliquez sur Enregistrer.
Gestionnaire de données Sentinel
10-23
5. Cliquez sur Enregistrer.
REMARQUE : cliquez sur Enregistrer pour enregistrer vos modifications sur le serveur.
Cette fonction enregistre toutes les modifications stockées dans la mémoire tampon temporaire (lorsque vous avez cliqué sur Appliquer).
6. Pour que les modifications soient visibles dans le Centre de contrôle Sentinel, fermez et rouvrez celui-ci.
Onglet Données de rapport
REMARQUE : pour utiliser l'onglet Données de rapport, votre fichier configuration.xml doit pointer vers un serveur de communication auquel
DAS_Binary et DAS_Query sont connectés. Ceci est normalement le cas, par défaut, si les processus Serveur de communication et DAS s'exécutent.
L'onglet Données de rapport est l'interface de gestion des récapitulatifs de Sentinel. Cet onglet permet d'activer et de désactiver les récapitulatifs. Activer un récapitulatif permet
à la fonction de regroupement de calculer le nombre d'événements pour ce récapitulatif.
Un récapitulatif est un ensemble défini d'attributs qui constituent la clé pour laquelle le nombre d'occurrences (nombre d'événements) doit être calculé pour chaque tranche horaire (heure d'événement). Le récapitulatif EventSevDestPortSummary, lorsqu'il est actif, enregistre le décompte des événements pour chaque combinaison port de destination-gravité pour une tranche horaire. Ces calculs de données d'événement enregistrés permettent de créer des rapports de récapitulatif et de lancer des requêtes sur la base de ces récapitulatifs plus rapidement.
Les rapports sont utilisés par Crystal Reports. Reportez-vous aux chapitres consacrés
à l'installation de Crystal Reports dans le Guide d'installation de Sentinel pour plus d'informations.
Certains récapitulatifs doivent être actifs pour que les rapports établis
à partir de ceux-ci soient précis.
Le regroupement désigne le processus de calcul de tous les récapitulatifs actifs au fur et à mesure que les événements se produisent dans le système. Ces calculs sont enregistrés dans les tables de récapitulatifs appropriées de la base de données.
Avantages des récapitulatifs :
Volume de données considérablement réduit
Dimensions conformes qui permettent d'effectuer sur les données d'événement des analyses à tous les niveaux
Les rapports sur les récapitulatifs s'exécutent beaucoup plus rapidement avec des récapitulatifs précalculés.
Avantages du regroupement :
Ne traite que les récapitulatifs actifs.
N'affecte pas l'insertion des événements dans la base de données en temps réel.
L'onglet Données de rapport permet d'effectuer les opérations suivantes :
activer et désactiver les récapitulatifs prédéfinis ;
afficher les attributs de chaque récapitulatif ;
10-24 Guide de L'Utilisateur de Sentinel
afficher la validité d'un récapitulatif pour une tranche horaire ;
demander quels fichiers d'événements doivent être exécutés pour que le récapitulatif soit généré.
Le tableau suivant répertorie tous les récapitulatifs déjà définis dans le système. Il indique le nom de chaque récapitulatif, le nom de la table de la base de données à laquelle il appartient et ses attributs en fournissant une brève description de chaque récapitulatif.
Nom du récapitulatif Table/Description
EventSrcSummary EVT_SRC_SMRY_1
Ce récapitulatif établit le compte des événements par : ip source, actif source, port source, utilisateur source, taxinomie, nom, ressource, collecteur, protocole, gravité et heure.
EventSevDestTxnmySummary EVT_DEST_TXNMY_SMRY_1
Ce récapitulatif établit le compte des événements par ip de destination, actif de destination, taxinomie, gravité et heure.
EventSevDestPortSummary EVT_PORT_SMRY_1
Ce récapitulatif établit le compte des événements par port de destination, gravité et heure.
EventSevSummary EVT_SEV_SMRY_1
Ce récapitulatif établit le compte des événements par gravité et heure.
Désactiver et activer un récapitulatif
1. Cliquez sur l'onglet Données de rapport.
2. Pour désactiver un récapitulatif, cliquez sur Actif dans la colonne Statut pour qu'il indique Inactif.
3. Pour activer un récapitulatif, cliquez sur inactif dans la colonne Statut pour qu'il indique Actif.
Pour activer le regroupement pour les 10 premiers rapports pour Crystal Reports :
Activez les trois récapitulatifs suivants :
à EventDestSummary
à EventSevSummary
à EventSrcSummary
Activez EventFileRedirectService dans le fichier das_binary.xml situé dans :
Sous UNIX :
Gestionnaire de données Sentinel
10-25
$ESEC_HOME/sentinel/config/das_binary.xml
Sous Windows :
%ESEC_HOME%\sentinel\config\das_binary.xml
Afficher les informations sur un récapitulatif
1. Cliquez sur l'onglet Données de rapport.
2. Cliquez sur « … » dans la colonne Attributs pour afficher les attributs qui composent un récapitulatif.
Vérifier la validité d'un récapitulatif
1. Cliquez sur l'onglet Données de rapport.
2. Sélectionnez Statut.
3. Choisissez le ou les récapitulatifs que vous souhaitez interroger.
4. Sélectionnez un intervalle horaire.
5. Cliquez sur Afficher le graphique.
10-26 Guide de L'Utilisateur de Sentinel
6. Les barres vertes indiquent que le récapitulatif est généré pour cette tranche horaire.
Les parties en rouge indiquent que des données manquent pour le récapitulatif durant cette période.
REMARQUE : pour générer des récapitulatifs, reportez-vous à la section Exécuter
des fichiers d'événements pour un récapitulatif.
Interroger les fichiers d'événements pour un récapitulatif
1. Cliquez sur l'onglet Données de rapport.
2. Sélectionnez Statut.
3. Choisissez le ou les récapitulatifs que vous souhaitez interroger.
4. Sélectionnez un intervalle horaire.
5. Cliquez sur Afficher l'événement.
6. Les fichiers d'événements nécessaires pour générer le récapitulatif sont présentés sous forme de liste.
REMARQUE : pour générer des récapitulatifs, reportez-vous à la section Exécuter
des fichiers d'événements pour un récapitulatif.
Gestionnaire de données Sentinel
10-27
Exécution des fichiers d'événements pour un récapitulatif
1. Cliquez sur l'onglet Données de rapport.
2. Sélectionnez Statut.
3. Choisissez le ou les récapitulatifs que vous souhaitez interroger.
4. Sélectionnez un intervalle horaire.
5. Cliquez sur Afficher l'événement.
6. Les fichiers d'événements nécessaires pour générer le récapitulatif sont présentés sous forme de liste.
7. Vérifiez les fichiers d'événements que vous voulez exécuter pour que le récapitulatif soit généré.
8. Cliquez sur Processus.
Ligne de commande du Gestionnaire de données Sentinel
REMARQUE : si votre ordinateur n'a pas accès à DAS_Binary et à DAS_Query, vous pouvez utiliser la ligne de commande du Gestionnaire de données Sentinel plutôt que son interface.
Enregistrement des propriétés de connexion pour le Gestionnaire de données Sentinel
Ceci doit être effectué avant d'utiliser une opération de ligne de commande du Gestionnaire de données Sentinel autre que saveConnection.
10-28 Guide de L'Utilisateur de Sentinel
Si vous avez exécuté l'interface du Gestionnaire de données Sentinel, vous pouvez utiliser le fichier sdm.connect créé à partir de celle-ci. Ce fichier est situé dans %ESEC_HOME%\sdm sous Windows et $ESEC_HOME/sdm sous UNIX.
La fonction d'enregistrement des connexions enregistre les détails de connexion suivants, ainsi que le mot de passe chiffré (en utilisant le keystore spécifié dans configuration.xml) dans le fichier spécifié.
Cette commande utilise les indicateurs suivants :
-action saveConnection
-host
-port
-database
-user
-password
-winAuth
-connectFile
<adresse IP de l'hôte de la base de données ou nom de l'hôte auquel se connecter>
<numéro du port de la base de données auquel se connecter
[port par défaut Oracle : 1521/SQL Server port par défaut : 1433]>
<nom/SID de la base de données à laquelle se connecter>
<nom de l'utilisateur de la base de données>
<mot de passe de la base de données>
Utilisé pour l'authentification Windows. Lorsque vous utilisez cette option, n'utilisez pas -user et -password.
<nom du fichier dans lequel enregistrer les détails de la connexion
[nom de votre choix]>
L'application enregistre tous les détails de connexion ci-dessus et le mot de passe chiffré dans le fichier spécifié. L'application utilise les détails de connexion enregistrés pour exécuter le reste des commandes. Cette procédure doit être effectuée la première fois que vous démarrez l'application et lorsque vous voulez changer les détails de connexion que l'application utilise.
Exécution de saveConnection
1. Exécutez la commande comme suit : sdm -action saveConnection -server <oracle/mssql> host <Ip de l'hôte/Nom de l'hôte> -port <numéro du port> -database <Nom/SID de la base de données> [driverProps <Fichier de propriétés>] {-user
<Utilisateur de la base de données> -password <mot de passe de la base de données> | -winAuth} connectFile <Nom du fichier d'enregistrement de la connexion>
L'exemple suivant enregistre les connexions vers un hôte dont l'adresse IP est 172.16.0.36 au port 1521 (port par défaut pour Oracle ; pour SQL Server, le port par défaut est 1433).
Exemple pour Oracle :
./sdm -action saveConnection -server oracle -host
172.16.0.36 -port 1521 -database esec -user esecdba
-password XXXXXX -connectFile sdm.connect
Exemple pour SQL Server :
Gestionnaire de données Sentinel
10-29
