Activation de EventFileRedirectService pour les 10 rapports Sentinel les plus utilisés . Novell Sentinel 5
6
Onglet Analyse
REMARQUE : les termes Agent et Collecteur sont interchangeables. Le terme
Collecteur sera utilisé dans la suite de cette documentation.
Vous devez disposer de l'autorisation appropriée pour pouvoir utiliser l'onglet Analyse. Si tel n'est pas le cas, aucune autre autorisation liée aux opérations effectuées à l'aide de cet onglet n'est disponible.
Description
L'onglet Analyse est destiné à la génération de rapports d'historique. Les rapports d'historique et ceux relatifs aux vulnérabilités sont publiés sur un serveur Web et sont générés directement
à partir de la base de données. Ils apparaissent sur les onglets Analyse et Advisor de la barre du navigateur.
REMARQUE : Crystal Reports
®
, un outil qui permet de générer et d'afficher des rapports, est intégré à Sentinel. C'est l'administrateur qui est chargé de configurer l'emplacement du serveur Crystal Enterprise. Ce serveur permet de publier les rapports dans la fenêtre Options générales de l'onglet Admin. La fenêtre du navigateur comporte la liste des rapports disponibles.
Pour pouvoir exécuter les modèles de rapport, Crystal Reports Enterprise Edition doit
être installé et le Centre de contrôle Sentinel doit être configuré de façon à pouvoir accéder à ce serveur. Pour plus d'informations, reportez-vous au guide d'installation
de Sentinel™ 5.
Des rapports types sont également fournis au format PDF.
Les 10 rapports les plus utilisés
Pour générer l'un des 10 rapports les plus utilisés, le regroupement doit être activé et le service
doit être également activé dans le fichier DAS_Binary.xml.
Pour plus d'informations sur l'activation du regroupement, reportez-vous à la section consacrée à l'onglet Données de rapport du Chapitre 10 : Gestionnaire de données Sentinel
du présent guide.
Activation de EventFileRedirectService pour les 10 rapports Sentinel les plus utilisés
Activation de EventFileRedirectService
1. Depuis votre machine DAS, à l'aide d'un éditeur de texte, ouvrez :
Pour UNIX :
$ESEC_HOME/sentinel/config/das_binary.xml
Pour Windows :
%ESEC_HOME%\sentinel\config\das_binary.xml
Onglet Analyse
6-1
2. Pour EventFileRedirectService, indiquez « on » comme statut.
<property name="status">on</property>
3. Pour Windows, redémarrez le service Sentinel. Pour UNIX, redémarrez la machine DAS.
Exécution d'un rapport depuis Crystal Reports
Pour créer un rapport à partir d'un modèle Crystal Reports
1. Cliquez sur l'onglet Analyse.
2. Dans la fenêtre de navigation, cliquez sur un rapport de la liste.
REMARQUE : pour générer l'un des 10 rapports les plus utilisés, le regroupement doit être activé et le service
EventFileRedirectService doit être également activé dans
le fichier DAS_Binary.xml. Pour plus d'informations sur l'activation du regroupement, reportez-vous à la section consacrée à l'onglet Données de rapport du Chapitre 10 :
Gestionnaire de données Sentinel du présent guide.
3. Cliquez sur Analyse > Créer un rapport ou sur Créer un rapport.
4. Renseignez les champs du modèle, puis cliquez sur Afficher le rapport. Le rapport s'affiche alors.
Génération d'un rapport Requête d'événement
Pour créer un rapport Requête d'événement
1. Cliquez sur l'onglet Analyse.
2. Dans la fenêtre de navigation, ouvrez le dossier Historical Reports
(Rapports d’historique).
3. Cliquez sur Requête d'événement.
4. Cliquez sur Analyse > Créer un rapport ou sur Créer un rapport.
Une fenêtre Requête d'événement s'ouvre.
5. Définissez ce qui suit :
le délai
le filtre
le niveau de gravité
la taille du lot (il s'agit du nombre d'événements à afficher. Les événements sont affichés du plus ancien au plus récent)
6. Cliquez sur le bouton Rafraîchir la requête.
7. Pour afficher le lot d'événements suivant, cliquez sur Suite.
6-2
Guide de L'Utilisateur de Sentinel
8. Vous pouvez réorganiser les colonnes par glisser-déplacer. Vous pouvez également changer l'ordre de tri d'une colonne en cliquant sur son en-tête.
9. Lorsque votre requête est terminée, elle est ajoutée à la liste de requêtes rapides dans le navigateur.
Génération d'un rapport Événements corrélés
Pour créer un rapport Événements corrélés
1. Cliquez sur l'onglet Analyse.
2. Dans la fenêtre de navigation, ouvrez le dossier Historical Reports
(Rapports d’historique).
3. Cliquez sur Événements corrélés.
4. Cliquez sur Analyse > Créer un rapport ou sur Créer un rapport.
Une fenêtre s'ouvre.
5. Dans le champ Correlation ID, entrez :
Le numéro d'ID d'événement, ou
CorrelatedEventUUID
REMARQUE : CorrelatedEventUUID n'est disponible que depuis une table d'événements en temps réel.
6. Pour afficher le lot d'événements suivant, cliquez sur Suite.
Onglet Analyse
6-3
6-4
Guide de L'Utilisateur de Sentinel
7
Onglet Advisor
REMARQUE : les termes Agent et Collecteur sont interchangeables. Le terme
Collecteur sera utilisé dans la suite de cette documentation.
Vous devez disposer de l'autorisation appropriée pour pouvoir utiliser l'onglet Advisor.
Si tel n'est pas le cas, aucune autre autorisation liée aux opérations effectuées à l'aide de cet onglet n'est disponible.
Advisor est un module facultatif. Vous devez disposer d'une licence pour ce module.
Si tel n'est pas le cas, lorsque vous cliquez sur l'onglet Advisor, un écran vous indique que vous ne disposez pas de licence.
Sentinel Advisor est activé par SecurityNexus. Advisor fournit des données en temps réel couvrant les vulnérabilités de l'entreprise ainsi que des conseils d'expert. Il indique également les mesures recommandées permettant de résoudre les problèmes. Advisor fait le lien entre les signatures d'attaques de système de détection d'intrusion en temps réel et sa base de connaissances de vulnérabilités. Pour plus d'informations, accédez
à http://www.esecurity.net/Software/Products/Advisor.asp
.
Le flux de données généré par Advisor comporte deux parties :
Données d'alerte : informations d'alerte relatives aux vulnérabilités et aux menaces connues.
Données d'attaque : normalisation des plug-ins d'analyse des signatures de détection d'intrusion et de vulnérabilité.
REMARQUE : au cours de l'installation et jusqu'au premier flux de données de SecurityNexus, vous ne pouvez pas cliquer avec le bouton droit sur les données
Advisor d'un événement (dont le champ rt1 est rempli).
Génération de rapports Advisor
Pour créer un rapport Advisor
1. Cliquez sur l'onglet Advisor.
2. Dans le navigateur, cliquez sur un modèle de rapport.
3. Cliquez sur Advisor > Créer un rapport.
4. Renseignez les champs du modèle, puis cliquez sur Afficher le rapport.
Installation autonome : Mise à jour manuelle d'Advisor
Mise à jour du flux de données Advisor
1. Accédez à l'URL //advisor.esecurityinc.com/advisordata/.
2. Entrez votre nom d'utilisateur et votre mot de passe.
Onglet Advisor
7-1
3. Accédez au mois le plus récent sous les dossiers d'attaques et d'alertes, puis téléchargez les fichiers zip.
4. Téléchargez les nouveaux fichiers de flux de données d'alerte et d'attaque (les fichiers sont au format zip) sur votre disque dur.
REMARQUE : ne placez pas les fichiers zip dans les répertoires attack et alert.
5. Dézippez les fichiers contenant les données d'attaque dans le répertoire suivant :
Sous Windows :
<emplacement spécifié lors de l'installation pour les fichiers de données Advisor>\attack ou
Sous UNIX :
<emplacement spécifié lors de l'installation pour les fichiers de données Advisor>/attack
6. Dézippez les fichiers contenant les données d'alerte dans le répertoire suivant :
Sous Windows :
<emplacement spécifié lors de l'installation pour les fichiers de données Advisor>\alert ou
Sous UNIX :
<emplacement spécifié lors de l'installation pour les fichiers de données Advisor>/alert
7. Accédez à :
Sous Windows :
%ESEC_HOME%\sentinel\bin
Sous UNIX :
$ESEC_HOME/sentinel/bin
8. Exécutez la commande suivante :
Sous Windows : advisor.bat
Sous UNIX :
./advisor.sh
REMARQUE : advisor.sh et advisor.bat mettent à jour la base de données et suppriment les fichiers d'attaque et d'alerte dézippés dans les répertoires correspondants.
7-2
Guide de L'Utilisateur de Sentinel
Téléchargement direct depuis Internet : Mise à jour manuelle des données Advisor
Mise à jour manuelle des données Advisor
1. Accédez à :
Sous Windows :
%ESEC_HOME%\sentinel\bin
Sous UNIX :
$ESEC_HOME/sentinel/bin
2. Exécutez la commande suivante :
Sous Windows : advisor.bat
Sous UNIX :
./advisor.sh
REMARQUE : advisor.sh et advisor.bat mettent à jour la base de données et suppriment les fichiers d'attaque et d'alerte dézippés dans les répertoires correspondants.
Changement de votre mot de passe Advisor Server et communication de votre nouvelle adresse de messagerie à Advisor Server
Changement de votre mot de passe Advisor Server
(configuration autonome)
Cette procédure ne s'applique pas aux configurations autonomes.
Changement de votre mot de passe Advisor Server
(téléchargement direct)
Pour changer votre mot de passe Advisor Server (téléchargement direct)
1. Envoyez une demande de changement de mot de passe au service d'assistance technique Novell.
2. Une fois que Novell vous aura communiqué votre nouveau mot de passe, sous
UNIX, ouvrez une session en tant qu'utilisateur esecadm, sous Windows, ouvrez une session en tant qu'utilisateur doté des droits d'administrateur.
3. Avec la commande cd, accédez au répertoire :
Onglet Advisor
7-3
3. Sous UNIX :
$ESEC_HOME/sentinel/bin
Sous Windows :
%ESEC_HOME%\sentinel\bin
4. Entrez les commandes suivantes :
Sous UNIX :
./adv_change_passwd.sh <ancien mot de passe> <nouveau mot de passe>
Sous Windows : adv_change_passwd.bat <ancien mot de passe> <nouveau mot de passe>
Communication de votre nouvelle adresse de messagerie
à Advisor Server
Pour changer votre configuration de messagerie Advisor Server
1. Sous UNIX, ouvrez une session en tant qu'utilisateur esecadm ou sous Windows, ouvrez une session en tant qu'utilisateur doté des droits de l'administrateur.
2. Avec la commande cd, accédez au répertoire :
Sous UNIX :
$ESEC_HOME/sentinel/config
Sous Windows :
%ESEC_HOME%\sentinel\config
3. Ouvrez dans un éditeur de texte les fichiers alertcontainer.xml et alertcontainer.xml.
Modifiez les informations apparaissant en gris ci-dessous.
<property name="advisor.mail.from">[email protected]</propr ty>
<property name="advisor.mailto.list">[email protected]</propr ty>
REMARQUE : pour indiquer plusieurs adresses de messagerie, entrez les adresses en les séparant par une virgule (sans espace).
7-4
Guide de L'Utilisateur de Sentinel
Changement des heures de réception des flux de données
Par défaut, les flux de données sont transmis aux heures suivantes :
Six heures : 01:00, 07:00, 13:00 et 19:00
Douze heures : 02:00 et 14:00
Pour changer les heures de réception des flux de données
1. Ouvrez une session sur la machine Advisor (avec le nom d'utilisateur esecadm sous UNIX).
2. Pour changer les heures de réception des flux de données
Sous UNIX : utilisez la commande crontab.
Sous Windows : utilisez la commande at.
Onglet Advisor
7-5
7-6
Guide de L'Utilisateur de Sentinel
8
Onglet Collecteurs
REMARQUE : les termes Agent et Collecteur sont interchangeables. Le terme
Collecteur sera utilisé dans la suite de cette documentation.
Vous devez disposer de l'autorisation appropriée pour pouvoir utiliser l'onglet Collecteurs.
L'onglet Collecteurs offre des fonctionnalités limitées d’assistant. Pour utiliser les fonctionnalités complètes de l’assistant, utilisez le Générateur de collecteurs. L'onglet
Collecteurs vous permet d'effectuer les tâches suivantes :
Surveillance d'un hôte Assistant
Arrêt/démarrage des collecteurs
(Gestionnaire des collecteurs) pour un hôte sélectionné
Agencement
Le panneau gauche de l'onglet Collecteurs contient une arborescence de vues. Par défaut, la racine de l'arborescence comporte deux enfants : les vues du Gestionnaire des collecteurs et la vue du collecteur. Le panneau droit affiche les vues dans des tableaux. Chaque vue du panneau droit est associée à une entrée figurant dans la partie gauche de l'arborescence.
Quatre vues sont affichées dans le panneau droit :
La vue du collecteur
à Le Gestionnaire des vues du collecteur
La vue du Gestionnaire des collecteurs
à Le Gestionnaire des vues du Gestionnaire de collecteurs
La vue du collecteur affiche des informations sur les collecteurs et la vue du Gestionnaire des collecteurs des informations sur les gestionnaires de collecteurs. Chaque vue est affichée sous la forme d'une table d'arborescence : les objets sont regroupés par l'un ou plusieurs de leurs attributs. La configuration de la vue peut être définie. Les options d'une vue peuvent être changées et de nouveaux types de vues peuvent être ajoutés. La configuration de vue est affichée dans un gestionnaire de vues (Gestionnaire des vues du collecteur ou Gestionnaire des vues du Gestionnaire de collecteurs).
Onglet Collecteurs
8-1
Au premier affichage de l'onglet, l'arborescence du panneau gauche reçoit les deux gestionnaires de vues et le Gestionnaire des vues du collecteur s'affiche dans le panneau gauche.
Le Gestionnaire des vues du collecteur comporte 3 options de vues préconfigurées par défaut.
Vous pouvez en créer de nouvelles. Ces trois options sont : Tous les collecteurs, Collecteurs par gestionnaire et Collecteurs par état.
La vue Tous les collecteurs regroupe tous les collecteurs en fonction du gestionnaire sur lequel ils s'exécutent.
Le gestionnaire des vues du Gestionnaire des collecteurs regroupe tous les collecteurs en fonction de leur gestionnaire et de leur statut (activé ou désactivé) dans chaque gestionnaire.
La vue Collecteurs par état regroupe tous les collecteurs en fonction de leur statut (activé ou désactivé), puis, dans chaque état, en fonction de leur gestionnaire.
Il existe une vue par défaut pour afficher les gestionnaires de collecteurs : la vue Tous les gestionnaires. Elle affiche tous les gestionnaires de collecteurs actifs du système sans les regrouper.
Surveillance d'un collecteur
Dans la fenêtre Hôtes de l'assistant, par défaut vous pouvez
ce qui suit :
Le Gestionnaire des vues du Gestionnaire de collecteurs
StartTime
Heure à laquelle le Gestionnaire des collecteurs a démarré, spécifiée en mm/jj/aa hh:mm:ss et selon le fuseau horaire.
UpTime
Durée d'exécution du Gestionnaire des collecteurs, spécifiée en jours, heures, minutes et secondes.
EventReceivedCount
Nombre d'événements reçus de tous les collecteurs par le Gestionnaire des collecteurs depuis qu'il a démarré.
EventReceivedRate
Taux d'événements moyen par seconde que le Gestionnaire des collecteurs a reçus dans la dernière minute.
Gestionnaire des vues du collecteur
Statut activé ou désactivé
EventsReceivedRate
Taux d'événements moyen par seconde que le port du collecteur a reçus dans la dernière minute.
UpTime depuis qu'il a démarré.
Durée d'exécution du port du collecteur, spécifiée en heures, minutes et secondes.
Vous pouvez
créer vos propres vues dotées de plus ou moins de champs.
8-2 Guide de L'Utilisateur de Sentinel
Surveillance d'un hôte Assistant
Surveillance d'un hôte Assistant
1. Cliquez sur l'onglet Collecteurs.
2. Cliquez sur Gestionnaire des vues du Gestionnaire des collecteurs.
3. Sélectionnez une option de vue en double-cliquant sur une vue ou créez une nouvelle vue. Une fenêtre d'hôte Assistant s'affiche.
Création d'une vue de collecteur
Création d'une vue de collecteur
1. Cliquez sur l'onglet Collecteurs.
2. Cliquez sur Gestionnaire des vues du Gestionnaire des collecteurs.
3. Pour créer une nouvelle vue, cliquez sur Ajouter une vue.
Entrez votre nom d'option.
Pour sélectionner les champs à afficher, cliquez sur Champs.
Pour regrouper des titres, cliquez sur Groupe.
Pour appliquer un tri en fonction des titres, cliquez sur Trier.
Pour appliquer un filtre, cliquez sur Filtre.
Voici une vue avec l'option Groupe définie sur UUID du gestionnaire et par version.
Onglet Collecteurs
8-3
Modification d'une vue de collecteur
Modification d'une vue de collecteur
1. Ouvrez le Gestionnaire des vues du collecteur.
2. Double-cliquez sur un nom.
3. Cliquez sur Options. Dans cette fenêtre, vous pouvez également définir les options suivantes :
Champs...
Regrouper par...
Trier...
Filtre...
Affichage sous forme d'arborescence
4. Cliquez sur Appliquer puis sur Enregistrer.
L'illustration suivante présente une vue avec l'option Tree Display (Affichage de l'arborescence) défini sur UUID du gestionnaire.
Arrêt/démarrage/détails des collecteurs
Arrêt/démarrage des collecteurs
1. Cliquez sur l'onglet Collecteurs.
2. Ouvrez un Gestionnaire des vues du collecteur.
3. Pour arrêter/démarrer un collecteur spécifique ou en afficher les détails, cliquez avec le bouton droit sur un collecteur > Opérations > Démarrer ou Arrêter.
8-4 Guide de L'Utilisateur de Sentinel
9
Onglet Admin
REMARQUE : les termes Agent et Collecteur sont interchangeables. Le terme
Collecteur sera utilisé dans la suite de cette documentation.
Vous devez disposer de l'autorisation appropriée pour pouvoir utiliser l'onglet Admin. Si tel n'est pas le cas, aucune autre autorisation liée aux opérations effectuées à l'aide de cet onglet n'est disponible.
Onglet Admin : Description
L'onglet Admin vous permet d'accéder aux fonctionnalités suivantes :
Option de configuration des rapports disponibles depuis les onglets Analyse et Advisor
Règles de corrélation Sentinel
Informations du fichier d'événements
Configuration d'un compte d'utilisateur
Onglet Admin
9-1
Option de configuration des rapports disponibles depuis les onglets Analyse et Advisor
Pour configurer l'URL des rapports Analyse et Advisor
1. Cliquez sur l'onglet Admin.
2. Dans le navigateur, cliquez sur Configuration de rapport.
3. Dans la fenêtre Configuration de rapport, cliquez sur Modifier.
Dans la zone URL d'analyse, entrez l'URL de Crystal Enterprise Server, puis cliquez sur Rafraîchir. http://<IP>/GetReports.asp?APS=<IP>&user=Guest&passwor d=&tab=Analysis
REMARQUE : <IP> correspond à l'adresse IP du serveur Crystal Enterprise Server.
Dans la zone URL d'Advisor, entrez l'URL de Crystal Enterprise Server, puis cliquez sur Rafraîchir. http://<IP>/GetReports.asp?ASP=<IP>&user=Guest&passwor d=&tab=Advisor
REMARQUE : <IP> correspond à l'adresse IP de Crystal Enterprise Server.
Pour plus d'informations, reportez-vous au guide d'installation.
9-2
Guide de L'Utilisateur de Sentinel
L'option Utiliser le navigateur externe vous permet de choisir entre votre navigateur par défaut ou un autre navigateur. Si vous utilisez un autre navigateur, la ligne de commande doit se terminer par le paramètre %URL%. Par exemple :
C:\Program Files\Internet Explorer\IEXPLORE.EXE %URL%
4. Attendez que le bouton Rafraîchir devienne vert, puis cliquez sur Enregistrer.
Vous devrez vous déconnecter du Centre de contrôle Sentinel, puis vous y reconnecter.
Règles de corrélation Sentinel
La fonction de corrélation améliore la gestion des événements de sécurité en vous permettant d'automatiser l'analyse des flux d'événements entrants en vue de rechercher des modèles pertinents. Cette fonction vous permet de définir des règles qui identifient les menaces critiques et les modèles d'attaque complexes de sorte que vous puissiez classer les événements par priorité ainsi que gérer les incidents et y répondre avec efficacité.
Les dossiers de règles regroupent de façon logique les règles de corrélation. Ce regroupement permet aussi de disposer d'un ensemble de règles qui s'exécute pendant les heures de travail et d'un ensemble qui s'exécute la nuit ou le week-end. En d'autres termes, cela vous permet de surveiller des activités différentes en fonction de l'heure de la journée.
Par exemple, vous pouvez activer des règles de corrélation de jour qui s'exécutent à 8h00 du lundi au vendredi et, au même moment, désactiver les règles de corrélation de nuit.
En outre, si le regroupement de règles de corrélation ne vous est pas utile, vous pouvez ne créer qu'un dossier de règles destiné à accueillir toutes les règles de corrélation que vous créez.
Le nombre d'utilisateurs pouvant accéder aux règles de corrélation n'est pas limité. Lorsque plusieurs utilisateurs modifient la même règle, les modifications enregistrées en dernier supplantent les précédentes.
Cette section aborde les sujets suivants :
Types des règles de corrélation
Déploiement du moteur de règles de corrélation
Importation ou exportation d'un dossier de règles de corrélation
Rôle de la base de données lors du stockage des règles de corrélation
Conditions logiques des règles de corrélation
REMARQUE : vous ne pouvez pas établir de corrélation à partir d'une valeur null (vide).
Dossiers de règles et règles
La relation entre les dossiers de règles et les règles est définie comme suit. Les dossiers de règles et les règles s'affichent en ordre hiérarchique dans la fenêtre Règles de corrélation.
Un dossier de règles peut contenir plusieurs règles ou aucune.
Le nombre de dossiers de règles et de règles n'est limité que par l'espace disque disponible (stockage).
Le fait de double-cliquer sur un dossier de règles affiche l'éditeur de règles correspondant au type de règle de corrélation que le dossier contient.
Onglet Admin
9-3
Link pubblico aggiornato
Il link pubblico alla tua chat è stato aggiornato.
