syslog-Spezifikation
syslog ist ein Standard für die Meldungsprotokollierung. Er trennt die Software, die Meldungen erzeugt, das System, das sie speichert, und die Software, die sie meldet und analysiert. cognitix Threat Defender unterstützt syslog unter Report Channels.
Diese Spezifikation definiert alle syslog-Meldungen mit ihren Informationselementen, die in cognitix-spezifischen Ereignissen verwendet werden.
Setup
Die pw-core-Anwendung erzeugt Reporting-Meldungen im syslog-Format, die im Menü Logging der Benutzeroberfläche von cognitix Threat Defender angezeigt werden. Diese Meldungen können dann nach Bedarf an externe syslog-Empfänger exportiert werden.
syslog-Meldungen im Allgemeinen
Jede von pw-core erzeugte syslog-Meldung trägt als APP-NAME “pw-core” und kann dadurch von anderen durch cognitix Threat Defender erzeugten syslog-Meldungen unterschieden werden.
Alle syslog-Datensätze werden als durch = getrennte Schlüssel-Wert-Paare bereitgestellt, wobei nie der Schlüssel, sondern immer der Wert genannt wird.
So weit wie möglich folgen die syslog-Datensätze von pw-core dem CIM (Common Information Model). Allerdings verwendet pw-core auch eigene Datensatzdefinitionen, wo die bestehenden nicht passen.
Meldungstypen
Die folgenden Ereignisse werden erzeugt. Der Name eines Ereignisses ist gleichzeitig der Wert des Felds event_type.
Die Nachverfolgung der Datenströme generiert Folgendes:
flow-updatein regelmäßigen Abständen mit aktualisierten Informationen über einen Datenstrom.flow-deletedwenn ein Datenstrom zerstört wird.
Bedrohungen werden wie folgt gemeldet:
mit
ips-hit, wenn eine IPS-Regel trifft.mit
ioc-hit, wenn ein IoC-Treffer gefunden wird.mit
policy-hit, wenn eine Regel mit Policy-Hit-Flag in der Log-Aktion ausgelöst wird.
Die Policy Engine gibt außerdem Ereignisse des folgenden Typs aus:
mit
policy-rule-logfür getroffene Policy-Regeln mit aktiviertem Logging.
syslog-Felder
Die folgenden Felder werden von pw-core verwendet:
Feldname |
Herkunft des Felds |
Datentyp |
Beschreibung |
|---|---|---|---|
|
Splunk CIM |
string |
Vom Netzwerkgerät durchgeführte Aktion, die von einem Regeltreffer ausgelöst wurde. Gültige Werte sind „allowed“, „blocked“ und „teardown“. |
|
Splunk CIM |
string |
Anwendung und Protokoll des Datenverkehrs, meldet die Klassifizierungsergebnisse der Anwendung und des Protokolls auf Schicht 7 als Kurznamen, z. B.: „reddit:ssl“. |
|
cognitix |
string |
Die ID eines Assets im Format |
|
cognitix |
string |
Der Name eines Assets. |
|
cognitix |
string |
Die ID des Assets, das dem Ziel-Host entspricht, im Format |
|
cognitix |
numerisch |
Vom Ziel zur Quelle übertragene Bytes. |
|
cognitix |
string |
Das Zielland eines Datenstroms, gemäß ISO 3165-1 alpha-2 kodiert, z. B. „FR“, „DE“ oder „ZZ“ für unbekannte Länder. |
|
Splunk CIM |
string |
Der vom Webserver oder Proxy übermittelte Hostname im Format |
|
Splunk CIM |
string |
Die Schnittstelle, die remote lauscht oder lokal Pakete empfängt; kann auch als „Ausgangsschnittstelle“ bezeichnet werden. |
|
cognitix |
string |
Der Name der Ausgangsschnittstelle. |
|
Splunk CIM |
string |
Die IP-Adresse des Ziels, im Format |
|
cognitix |
string |
Der Standort des Ziel-Hosts, bestimmt durch Abgleich der Netzwerkobjekte. Kann nur „internal“ oder „external“ sein. |
|
Splunk CIM |
string |
Die Ziel-MAC-Adresse (TCP/IP Schicht 1) des Paketziels, z. B. |
|
cognitix |
numerisch |
Vom Ziel zur Quelle übertragene Pakete. |
|
Splunk CIM |
numerisch |
Zielport des Netzwerkverkehrs. |
|
cognitix |
numerisch |
Anwendung und Protokoll des Datenverkehrs, meldet die Klassifizierungsergebnisse der Anwendung und des Protokolls auf Schicht 7 als Zahl. |
|
Splunk CIM |
string |
Typ des Berichtsereignisses. |
|
Splunk CIM |
numerisch |
Ein eindeutiger numerischer Bezeichner für den Datenstrom (uint64). |
|
cognitix |
string |
Eine durch Kommas getrennte Liste von IoC-Tags, die mit einem IoC-Wert verbunden sind. |
|
cognitix |
string |
Der IoC, der zuletzt für einen Datenstrom zutraf, z. B. , e.g. „9.20.11.3“, „www.example.com“, „www.badurl.nz/kiwi“. |
|
cognitix |
string |
Der IoC-Indikatortyp. Gültige Werte sind „ipv3“, „domain“ und „url“. |
|
cognitix |
numerisch |
Die ID einer IPS-Regel. |
|
cognitix |
string |
Die Beschreibung einer IPS-Regel. |
|
cognitix |
string |
Die ID eines Policy-Szenarios, definiert in der Policy-Konfiguration. |
|
cognitix |
string |
Der Name eines Policy-Szenarios, definiert in der Policy-Konfiguration. |
|
Splunk CIM |
string |
Der Produktname; ist immer „td“. |
|
Splunk CIM |
string |
Das Protokoll auf OSI-Schicht 2 des beobachteten Datenverkehrs in Kleinbuchstaben. Zum Beispiel: ip, appletalk, ipx. |
|
Splunk CIM |
string |
Version des OSI-Schicht-3-Protokolls. |
|
cognitix |
string |
Der Name einer Policy-Regel, definiert in der Policy-Konfiguration, die festlegt welche Aktion im Netzwerkereignis durchgeführt wurde. |
|
cognitix |
string |
Die ID einer Policy-Regel, definiert in der Policy-Konfiguration, die festlegt welche Aktion im Netzwerkereignis durchgeführt wurde. |
|
Splunk CIM |
string |
Der Schweregrad der Log-Aktion gemäß CIM-Namensschema. Gültige Werte sind „informational“, „low“, „medium“ und „high“. |
|
cognitix |
string |
Die ID des Assets, das dem Quell-Host entspricht, im Format |
|
cognitix |
numerisch |
Von der Quelle zum Ziel übertragene Bytes. |
|
cognitix |
string |
Das Ausgangsland eines Datenstroms, gemäß ISO 3165-1 alpha-2 kodiert, z. B. „FR“, „DE“ oder „ZZ“ für unbekannte Länder. |
|
Splunk CIM |
string |
Die Schnittstelle, die remote lauscht oder lokal Pakete sendet. Kann auch als „Eingangsschnittstelle“ bezeichnet werden. |
|
cognitix |
string |
Der Name der Eingangsschnittstelle. |
|
Splunk CIM |
string |
Die IP-Adresse der Quelle, im Format |
|
cognitix |
string |
Der Standort des Quell-Hosts, bestimmt durch Abgleich der Netzwerkobjekte. Kann nur „internal“ oder „external“ sein. |
|
Splunk CIM |
string |
Die Quell-MAC-Adresse (TCP/IP Schicht 1) des Paketziels, z. B. |
|
cognitix |
numerisch |
Von der Quelle zum Ziel übertragene Pakete. |
|
Splunk CIM |
numerisch |
Quellport des Netzwerkverkehrs. |
|
cognitix |
numerisch |
Der Zeitstempel als die Meldung gesendet wurde, im Format ISO 8601 mit Millisekundenauflösung. |
|
Splunk CIM |
string |
Der Hostname der Instanz von cognitix Threat Defender, die das Ereignis meldet. |
|
Splunk CIM |
string |
Der Pfad der Ressource, die vom Webserver oder Proxy bereitgestellt wird. |
|
cognitix |
string |
ID des Benutzers, der für die Existenz des Datenstroms verantwortlich ist. |
|
Splunk CIM |
string |
Der Herstellername; wird immer auf „cognitix“ gesetzt. |
|
Splunk CIM |
string |
Der Schweregrad der Log-Aktion gemäß dem cognitix-Namensschema. Gültige Werte sind „notice“, „low“, „medium“ und „high“. |
|
cognitix |
numerisch |
Das äußerste VLAN-Tag. |
syslog-Meldungsarten in cognitix Threat Defender
Felder
Jede syslog-Meldung enthält folgende Felder:
vendor
product
host
event_type
Abhängig vom Wert des Felds event_type, werden die folgenden Datensätze an eine syslog-Meldung angehängt.
Derzeit enthalten alle Ereignistypen Datenstrominformationen. Sie bestehen aus:
src_interface
src_interface_name
dest_interface (optional)
dest_interface_name (optional)
src_mac
dest_mac
protocol
protocol_version
src_ip
dest_ip
transport
src_port
dest_port
Timestamp
src_location
dest_location
src_country_code (optional)
dest_country_code (optional)
flow_id
app
dpi_classification
src_packets_tx
dest_packets_tx
src_bytes_tx
dest_bytes_tx
vlan_id (optional)
src_asset_id (optional)
src_asset_name (optional)
dest_asset_id (optional)
dest_asset_name (optional)
user_id (optional)
user_name (optional)
Ereignisse der Typen policy-hit und policy-rule-log enthalten zusätzlich:
severity
vendor_severity
policy_id
policy_name
rule_id
rule
action (optional)
Ereignisse des Typs ips-hit enthalten zusätzlich:
ips_rule_id
ips_rule_description
dest_host (optional)
uri_path (optional)
Ereignisse des Typs ioc-hit enthalten zusätzlich:
ioc_tags
ioc_value
ioc_value_type
dest_host (optional)
uri_path (optional)