【第165期 June 7, 2011】
 

資安前哨站

RSA enVision日誌事件分析介紹

作者/李水生

[發表日期:2011/6/1]



前言

在任何IP網路中,幾乎每一項設備如從防火牆到任何伺服器設備,都會針對傳輸的通信流量所發生的任何連結以及執行的任何活動產生日誌事件,而這些日誌事件對於安全可靠地使用網路具有非常重要的意義。它可以提供給你最佳化的安全、業務連續性和增進網路的性能,並提供所有網路活動和使用者活動的不可或缺的紀錄,以協助您的組織遵從政府、行業內和內部的法規。

但監控數以千計的設備,在隨後處理和保護每個設備產生的日誌事件資料上,如涵蓋了在每一天的每一秒鐘產生的數以千計的事件,可以說是一個巨大的挑戰。對企業資訊管理而言,如果缺乏 Log 管理機制,則在發生資安事件時將會很難找到問題所在,更別說要解決問題了。過去台灣有很多的資安事件(尤其是資料外洩),都是因為沒有完善及足夠的事件監控機制,無法即時的發現問題或找出資料外洩的管道,才會讓類似的事件一再重演!再者,企業應該更需要在任何時間、任何網路環境架構下皆能掌握企業網路環境以及資訊架構中所發生的任何事件,因為唯有隨時監控獲知問題發生點,才可找出解決方法。所以建構一個SIEM的平台就顯得格外重要。因此,Log 的收集和管理可說是企業資訊安全及事件管理 (SIEM)的基礎。

RSAenVision平臺提供了一個單一的整合日誌事件管理解決方案,它透過自動化的收集,分析、告警、稽核、報告和將所有日誌事件安全的儲存來簡化合規性(Compliance),加強安全和減輕風險,以及最佳化IT和網路的營運。所以,RSA enVision 是一個3合1的 Log 管理平台,能夠消除日誌事件管理的成本、時間和壓力,並提供整個網路範圍的可視性,同時它還能協助監控和執行安全策略和法規遵從。

RSA envision 特性

RSAenVision 平臺提供了一個單一的,整合日誌事件管理解決方案,它通過自動化的收集,分析,告警,稽核,報告和將所有日誌事件安全的儲存來簡化合規性,加強安全和減輕風險,以及最佳化IT和網路的營運。所以,RSA enVision 是一個3合1的 Log 管理平台,能夠消除了日誌事件管理的成本,時間和壓力,並提供了整個網路範圍的可視性,同時它還提供了用以監控和執行安全策略和法規遵從的工具。


《圖一》3 個主要的解決方案領域可以應用於日誌分析中所提取的信息


RSA enVision平臺是一個用於安全資訊和事件管理(SIEM)的可擴展及高度可用的解決方案。它能夠在所有時間擷取您網路上的所有日誌事件資料,並持續不斷地記錄並儲存網路中的任何設備所產生的每一個事件日誌事件,同時確保每個日誌事件事件都是完整、準確和可核查的。它還提供強有力的分析工具,以協助您簡化合規性,增強安全性和減少風險,並對IT和網路營運進行最佳化的管理;所以,RSA envision可以從同一項套裝軟體中簡單地同時獲得以下三種解決方案:

一、簡化合規性流程:

管理人員可以自動收集網路、檔案、應用程式、及使用者活動的事件記錄,大大簡化了合規性流程。enVision專門針對現今的法規要求而量身定做,內建了超過 1,100 份的報表。而且在今後幾年內不管推出什麼樣的法規,enVision 解決方案都可以使合規性大為簡化;這是因為 enVision 儲存了所有未經過濾和標準化的事件記錄,且所有保存的事件記錄皆不可更改,從而提供了一個可核實的資料可信來源。

二、加強網路安全和減低駭客入侵風險:

利用即時安全事件警告、監控、及鑑識功能,enVision 平臺為管理人員提供了一個重要資訊的清晰視圖。因為RSA enVision能夠看到和了解威脅及風險,所以可以採取更有效的行動來消除這些風險。(是enVision可以主動採取行動)

三、最佳化 IT 和網路運作:

事件記錄是基礎設施效能和使用者行為管理的最佳資訊來源。IT 人員可以利用 RSAenVision 追蹤和管理伺服器、網路設備、及儲存平臺的活動事件,同時還能夠監控網路資產、人員、硬體、及業務應用程式的可用性和狀態。enVision 為基礎設施問題和保護基礎設施的資源提供了一個智慧的鑑識及解決工具。

RSA enVision 收集網路中 IP 設備所產生的所有事件記錄 (Log),並將這些資料永久的歸檔儲存。enVision 可以即時地對事件記錄進行處理,並在發現可疑的行為模式時產生警告。管理員可以透過一個直覺的儀表板(Dashboard) 對所有儲存的事件記錄進行完整地檢視。enVision 先進的分析軟體能把複雜、非結構化的大量原始事件記錄轉換成結構化的資訊,幫助管理人員有效地達成以上三個目標。

日誌事件匯聚技術

RSA enVision是如何收集分析所有事件呢?RSA enVision 其實是以最簡便的方式收集事件的,設備端(網路、伺服器或應用程式端) 不用安裝任何程式(Agentless);減少安裝Agent後對原有系統效能或其他的可能影響。所以,RSA enVision可支援超過一百多種以上的設備,即便不支援,也可以透過Universal Device Support(UDS)方式客製化。下面所列的,就是RSA enVision收集事件的方式:

‧Syslog,Syslog NG
‧SNMP
‧Formatted log files(Text File) - Comma/tab/space delimited,
‧ODBC
‧Push/pull XML files via HTTP
‧Windows event logging API
‧CheckPoint OPSEC interface
‧Cisco IDS POP/RDEP/SDEE
‧客製化(利用UDS)

談到日誌事件資料所集若是 RSA enVision不支援,也可以透過Universal Device Support(UDS)方式客製化,而如何客製化及如何做到日誌事件分析,可由下節所述而知曉!

RSA enVision EventSource Integrator 介紹

RSA envision 對於未支援的事件設備,提供Universal Device Support(UDS)客製化的方式;而要能達成如此簡單客製化的功能,則是歸功於RSA envision 提供一個很簡單的客製化工具,叫做 EventSource Integrator;下面就來介紹此一工具是如何運作的。

RSA enVision EventSource Integrator 是一種圖形化的工具,可以讓你使用RSA enVision平台去整合所有事件資源;使用EventSource Integrator,可以定義從事件資源來的所有事件,讓 RSA enVision知道如何去讀取和監控。 而這些定義是以XML檔案方式儲存,叫做事件資源XML檔;並部署在enVision平台上。 所以,使用EventSource Integrator可以產生一個新的或是編輯現有的事件資源XML檔; 也就是說可以對enVision目前?有支援的事件資源,為此事件資源產生一個新的事件資源XML檔,然後在部署事件資源XML檔後,enVision就能夠解讀這些事件和監控這些事件資源;或者也可以編輯一個現有的事件資源XML檔,來增加或修改定義的事件,或者去修改錯誤。

在下列任何一種狀況發生時,就可以去編輯一個現有的事件資源XML檔:
‧ 當事件資源含有新的,或更新變動事件訊息時,就要更新事件資源到新版本。
‧ 對於現有的事件包含於額外的定義,裡面時。
‧ 在一個事件資源中現有的事件定義要更新時。
‧ 修正事件資源XML檔的錯誤

如何使用RSA enVision EventSource Integrator 來收集事件資源的所有事件,其下就是使用RSA enVision EventSource Integrator 來產生事件資源XML檔的步驟和方法。

一、取得原始日誌事件檔

產生事件資源XML檔,是為了讓enViosion能夠去監控事件資源的所有事件,所以,必須從事件資源端去取得原始日誌事件檔,以便於能夠整合於enVision平台中。 在取得日誌事件檔後,就可以使用RSA enVision所提供的工具envetSource integrator,來產生事件資源XML檔。

在啟動EventSource Integrator前,必須先了解要部署在enVision中的事件資源,其所設定的日誌事件收集方式是什麼?假如事件收集方式在enVision中設定是syslog時,則由事件資源端所產生的日誌事件檔,就可以直接去產生或編輯事件資源XML檔了。 假如所設定的事件收集方式不是syslog時,就必須使用LSData utility以syslog格式來產生日誌事件檔。

另外RSA建議要編譯日誌事件檔,使其包含所有要整合在enVision中,且由事件資源端所產生的各個獨立的事件。 而所要編譯的日誌事件檔,就是為了確保如下的事項是符合的:

‧ 所有的事件都是從一個單獨的事件資源端來的。
‧ 每一個列在單獨一行的事件中,?有任何的line breaks。
‧ 任何一個事件最大是2KB。
‧ 任何日誌事件檔最大是10MB。
‧ 每一個日誌事件檔都是包含有一個或二個以上且各自獨立的事件instances。

二、了解事件格式

為了能夠編譯各個事件,了解事件的格式是有需要的。 典型的事件是包含二個主要元件,一個是header另一個是payload,下列展示出一個事件中如何含有header和payload。

  • Header :可以包含下列元件,且每一個都可以橫跨到多個事件中:
    1.Message ID。 表示在此事件一的個訊息且是唯一的識別碼。 如在下列例子中message ID就是這事件中唯一的。


    2.Event source time stamp。 此部份是可以選項的(Optional),包含有日期和時間,是由事件資源端所產生的。 但有可能有些事件不包含原始時間標籤,所以,是可以要或不要。


    3.Header Variable。 此部份是可以選項的(Optional), 包含在此事件中相似的內容。 如下列例子中4874和4921就是相似的,可定義為header variables

  • Payload :

    在payload部份是指包含在這個事件中相關的詳細訊息。 而 RSA envision 使用這些訊息來分析和產生報告。 Payload 是由變動和靜態文字訊息組成的。 變動訊息是指在payload 部份中橫跨各個相似形態事件的內容。 在下列例子中,Up和Down 的訊息是變動訊息,其意思是在 INTNAME 介面上線狀態。


    EventSource Integrator 是以payload 部份來分類所有事件,且不是以變動訊息而是以靜態文字來分類。 在下列例子中,EventSource Integrator 是以靜態文字來分類的。

啟動RSA enVision EventSource Integrator工具,以完成日誌事件分析

對於一般未被RSA enVision所支援的事件資源,可以使用EventSource Integrator很簡單地把事件資源中的所有事件導入到RSA enVision平台中;經由定義及剖析後,就可由RSA envision 平台分析及分類這些事件資源來的所有事件;下列就是一個階層式的步驟。

一、由事件資源所產生的事件,來產生具有定義格式的XML檔

產生一個事件資源XML檔,是為了藉由在事件資源端所產生的日誌事件檔中,定義出每一型態的事件,並加以分類,而產生一個事件定義應包含下列事項:
1.從日誌事件檔中,選出一個事件。
2.定義一個 Header
3.定義一個 Message

二、驗證事件資源檔

在定義了事件資源XML檔後,為了確認是否定義正確及是否有告警發生,所以需要再驗證事件資源XML檔的定義,以便於能與原先日誌事件檔相符合;當有告警發生時,也為了能使RSA enVision產生完整的分析及報表,有必要修正它;可以以剖析原始日誌事件檔的方式,來驗證事件在事件資源XML檔中,所使用的header和messages用來剖析的定義是否正確。

三、驗證XML定義的優先順序。

驗證事件資源XML檔中定義的優先順序,是為了使事件在被剖析時,是否與指定的header和messgaes相符合。

四、(選項) 查看那些以表頭或訊息定義來剖析的事件

五、(選項) 查看被選中事件的表頭或訊息定義


在定義好事件資源XML檔後,為了header和messages的定義,可以去查看在原始日誌事件檔中要被剖析事件的狀況。 也就是在原始日誌事件檔中選中一個或多個事件來看header和messages的定義是否正確。

六、(選項) 產生報告來分析這些事件的剖析是否符合XML定義

在定義好事件資源XML檔後,可以產生一份報告,以便於分析在原始日誌事件檔中的事件,是如何藉由header和messages來剖析的;一份報告可以提供一個完整的header和messages定義細節,而可以產生的報告有如下三種:

1.在原始日誌事件檔中的單一事件報告
2.在原始日誌事件檔中的被選中的多個事件報告
3.在原始日誌事件檔中的所有事件報告

七、產生一個事件資源套件,這套件是由事件資源XML檔和設定檔組合而成的。

產生一個事件資源套件,是為了便於部署在enVision平台上;EventSource Integrator 產生的事件資源套件是包含在 .zip 檔中,共有四個檔為
DeployEventSourceSetup.vbs
update_esi.bat
UpdateESType.vbs
update_content.zip

八、為了整合事件資源在enVision平台上,需要部署事件資源套件。

最後要把事件資源套件部署在RSA enVision平台上,是為了使RSA envision 能夠支援這一個事件資源。 首先複製此 .zip 檔到RSA enVision平台上,然後解開裏面內容,再執行DeployEventSourceSetup.vbs script檔。 在執行完script後,再重新啟動 NIC Service Manager 服務即可。

把日誌事件資料對映到一個 RSA enVision Table 中

在下列例子中所表示的意思是,在產生了XML定義後,可以使有效的事件資料做為RSA envision 來分析和產生報告。 它也可以顯現出在XML定義中變動元件是什麼。



結論

RSA enVision平臺在市場上是領先的SIEM技術平臺,它能夠滿足任何規模網路的需求,不會丟失任何的資料,同時能夠保證資料一旦被收集後就不能對它進行編輯和修改;也就是RSA enVision是透過多種協定收集匯集技術,建立LogSmart IPDB資料庫,並將當中資料進行關聯式分析,給予即時警告;這也是RSA enVision平臺的目的是在簡化生活,利用這個打開即用的高安全性設備,整合了數百種以上的事件來源類型,就可以在將它們安裝在基礎設施中後立即執行日誌事件資料收集,而無需在網路設備上安裝任何代理程式;但對於現今資訊設備日新月異,隨時隨地都有新的設備出現,要去收集如此新設備及解析其日誌事件格式不是那麼容易,還好RSA enVision提供了一個簡單工具EventSource Integrator,讓我們可以很方便的把未支援的設備匯入及部署於RSA enVision平臺中;所以,在網路基礎設施中部署了RSA enVision平臺後,就可以充分滿足簡化合規性,加強安全和減輕風險,以及最佳化IT和網路營運的要求。如此即可保護企業資訊架構內所有資訊設備資料,然後進行簡化及有效率的整合,使能存取到企業內部任何地方的所有資料,進而完成對客戶及財務資訊所需的相關規範報告。