Добрый день, хабра-сообщество! В этой статье я поделюсь своим практическим опытом загрузки событий из ArcSight ESM. Я подробно рассмотрю функционал и приведу пошаговую инструкцию по настройке ArcSight Forwarder Connector, а также опишу интересные лайфхаки.
Для начала разберемся, почему события вообще отправляются из Arcsight ESM (ведь они прекрасно живут в базе данных).
- В вашей компании есть несколько серверов ESM, и задача состоит в том, чтобы отправлять события в центральный ESM ArcSight для глобальной корреляции.
- У вас есть сторонняя система (например ELK), в которую вам нужно отправлять события из ArcSight.
- Отправка событий через системный журнал в формате CEF
- Загрузка событий в CSV-файл для дальнейшей работы
Сначала давайте создадим учетную запись, которая будет использоваться для загрузки событий из ESM. В панели навигации перейдите в раздел «Пользователи» и в каталоге «Группы пользователей клиентов» создайте свой каталог «События экспедитора».
Нажмите на вновь созданную группу «Событие пересылки» и создайте пользователя, например «fwd».
Для нового пользователя необходимо указать тип учетной записи и пароль.
Тип пользователя = соединитель переадресации.
Теперь нам нужно создать фильтр для тех событий, которые мы хотим загрузить из Arcsight ESM. Для этого выбираем в панели навигации раздел «Фильтры» и создаем фильтр с нужными нам условиями.
Например, я планирую загрузить все корреляционные события из ESM, поэтому мой фильтр будет выглядеть так 
После того, как фильтр создан, его необходимо применить к группе «События пересылки», в которую входит пользователь «fwd».
Зайдите в панель навигации в раздел «Пользователи» и для группы «События пересылки» выберите «Редактировать контроль доступа».
Далее в «Редакторе ACL» переходим на вкладку «События» и нажимаем «Добавить», чтобы добавить наш ранее созданный фильтр.
На этом все настройки на стороне Arcsight ESM завершены.
После создания учетной записи и фильтрации в Arcsight ESM мы можем приступить к установке и настройке соединителя Arcsight Forwarder. Установка и настройка соединителя ArcSight Forwarder Для установки Arcsight Forwarder Connector нам понадобится любой сервер с Linux и последняя версия (ArcSight-7.5.0.7986.0-SuperConnector-Linux64.bin) коннектора.
Прежде всего нам нужно сделать наш файл исполняемым: chmod +x ArcSight-7.5.0.7986.0-SuperConnector-Linux64.bin
Теперь приступим к установке самого разъема: .
/ArcSight-7.5.0.7986.0-SuperConnector-Linux64.bin
Просмотрим информацию, нажмем «Enter» и укажем каталог установки: /opt/arcsight/forwarder
Далее отказываемся от создания ссылок, выбрав «4» и подтверждаем установку 
В конце мы получим информацию об успешной установке и дальнейшие инструкции по запуску настройщика коннектора.
Теперь займемся предварительной настройкой
Запустите .
/runagentsetup.sh /opt/arcsight/forwarder/current/bin/runagentsetup.sh
Выберите пункт «Добавить соединитель» и тип «Соединитель пересылки ArcSight (расширенный)».
Далее коннектор предложит скрыть ввод параметров (логин/пароль) 
Теперь задаем параметры сервера ESM, с которого будем собирать события, и указываем параметры ранее созданной учетной записи «fwd».
Теперь нам нужно импортировать сертификат ArcSight ESM в наш коннектор.
При успешной интеграции с ESM коннектор предложит вам несколько вариантов передачи событий.
Далее я опишу настройки каждого из вариантов.
Настройка типов назначения: Отправка событий в ArcSight ESM Вводим данные сервера ESM, на который будем отправлять события.
Здесь уже нужно будет указать логин и пароль стандартной учетной записи.
Теперь указываем имя коннектора, который появится на целевом сервере ESM. 
Импорт сертификата в коннектор 
На этом настройка завершена.
Остается только определиться с параметром запуска коннектора.
Мы можем установить коннектор как службу, которая запускается автоматически, или как приложение, которое нужно запускать вручную.
/opt/arcsight/forwarder/current/bin/arcsight agents
Обычно я предпочитаю создать службу, которая запускается автоматически.
На целевом сервере проверяем регистрацию коннектора и получение событий на нем.
Отправка событий в ArcSight Logger Первым шагом является создание «Приемника» в самом Arcsight Logger. Для этого в Logger выберите раздел «Конфигурация», затем «Получатели» и нажмите «Добавить».
Дайте имя нашему получателю и выберите тип событий для получения.
Теперь перейдем к настройке коннектора 
Задаём параметры подключения к Logger и указываем наш созданный приёмник — FWD_ESM 
Импорт сертификата для соединителя 
Проверка поступления событий на ArcSight Logger 
Отправка событий через системный журнал в формате CEF Здесь все элементарно.
Вводим только адрес назначения, на какой порт будем отправлять и указываем протокол передачи данных 
Проверяем приход событий, например в ELK 
Отправка событий путем загрузки в CSV-файл В этом случае нам нужно лишь указать каталог, в котором будет создан csv-файл, какие поля загружать и время ротации файла.
Отправка событий в HPE Operations Manager События передаются по протоколу SNMP с дальнейшим отображением событий в Управлении ИТ-операциями.
Маленькие хитрости при работе с Arcsight Forwarder Connector Загрузка корреляционных событий наряду с базовыми По умолчанию Arcsight Forwarder Connector загружает только события корреляции.
Но что делать, если нужны базовые события, например, для детального расследования происшествия.
Для этого нам необходимо указать в качестве параметра идентификатор коннектора и идентификатор пользователя, а также записать все это в файл конфигурации ESM.
Идентификатор соединителя можно узнать с помощью команды cat /opt/arcsight/forwarder/current/user/agent/agent.properties | grep entityid
Идентификатор пользователя «fwd» можно посмотреть в его профиле на ESM. 
Далее нам нужно добавить дополнительный параметр в файл server.properties на самом сервере Arcsight ESM.
Остановка сервера /etc/init.d/arcsight_services stop all
Ввод параметров vi /opt/arcsight/manager/config/server.properties
eventstream.cfc=(connectro ID).
(forwarder user ID)
Запуск сервера ESM /etc/init.d/arcsight_services start all
Теперь корреляционные события будут загружаться вместе с базовыми Дополнительная фильтрация событий в соединителе пересылки После установки Arcsight Forwarder Connector и подключения всех необходимых узлов назначения запускаем /opt/arcsight/forwarder/current/bin/runagentsetup.sh
Выберите «Изменить соединитель».
Далее «Добавить, изменить или удалить пункты назначения» 
Далее выберите, для какого целевого источника будет выполняться фильтрация.
Выберите «Изменить настройки пункта назначения».
Это меню позволяет установить все настройки разъема.
В нашем случае необходим пункт 10 — Фильтры.
Назначаем фильтрацию: в моем случае отбрасываем все события, НЕ РАВНЫЕ значению в поле deviceVendor. 
Таким образом, мы можем отправлять разнообразный поток событий в коннектор пересылки и распределять события по нужному нам источнику назначения.
Настройка кодировки загружаемых событий Для корректного отображения событий, содержащих русские символы, необходимо указать дополнительные параметры в файле Agent.wrapper.conf на Forwarder Connector. vi /opt/arcsight/forwarder/current/user/agent/agent.wrapper.conf
Добавляем следующие строки (не ошибитесь с серийной нумерацией обертка.
java.additional) wrapper.java.additional.10=-Dfile.encoding=UTF8
wrapper.java.additional.11=-Duser.language=ru
wrapper.java.additional.12=-Duser.region=RU
В результате мы можем наблюдать, что ArcSight имеет множество возможностей интеграции, как с собственными системами, так и с внешними источниками.
Но по правде стоит сказать, что поток событий постепенно увеличивается, одни и те же события нужно отправлять в несколько источников, должно быть постоянное взаимодействие между разными системами.
и на этом возможности обычного коннектора заканчиваются.
Поэтому инженеры Micro Focus разработали новую архитектуру под названием ArcSight Data Platform. Отличительной особенностью этой архитектуры является продукт ArcSight Event Broker, который служит для маршрутизации огромного потока событий в различные системы (ESM, Logger, UEBA, Investigate, Hadoop и т.д.) и способен обрабатывать более 500 000 EPS !!! Теги: #arcsight #microfocus #HP #cef #logger #elasticsearch #elk #arcsight forwarder Connector #arcsight adp #ADP #eventbroker #информационная безопасность
-
Конец Патентной Войны Между Apple И Htc
19 Oct, 24 -
Статистика Надежности Ssd
19 Oct, 24 -
Вы Устали Обсуждать Iphone От Apple?
19 Oct, 24 -
Открылся Обновленный Сайт Земфиры
19 Oct, 24
