O-STA

HPE predstavlja najnovejše parserje za ArcSight SmartConnectors

PE ArcSight, uveljavljeni proizvajalec SIEM rešitev ter analitičnih orodij namenjenih odkrivanju in zmanjševanju poslovnih tveganj, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,

predstavljata ArcSight SmartConnector Parser Build 7.6.2.8023. Priključki ali konektorji so programska oprema, lahko bi rekli agenti, ki zbira podatke o dogodkih, najpogosteje so to dnevniški zapisi iz vseh elementov informacijskega sistema. Več o priključkih lahko preberete spodaj. Redno vzdrževanje Priključkov je lahko zelo pomembno, zato je dobro spremljati izhajanje najnovejših različic. Pri tem moramo spremljati dve komponente:

- SmartConnector Parser Build,

- SmartConnector Framework Build.

Framework (Build) je pravzaprav celoten namestitveni paket za priključke, je neke vrste "major" različica oz. namestitev, ki se posodablja enkrat četrtletju, trenutna različica nosi oznako 7.6. Parser (Build) je oznaka za vmesne kratke popravke, ki dopolnjujejo branje določenih vrst dnevniških zapisov, ne prinašajo pa večje posodobitve programske opreme. Parserji se posodabljajo vsak mesec in jih je mogoče namestiti le na Priključke z ustrezno različico Framework-a, v našem primeru je Parser Build 7.6.2 (in prihajajoči 7.6.3) primeren za nadgradnjo Priključkov z Framework različico 7.6.

Za nameščanje posodobitev je najlažje uporabiti ArcMC (Management Center), iz katerega se lahko z eno samo operacijo hkrati posodobi vse Priključke vključene v to upravljalno konzolo. Če pa ima ArcMC dostop na internet, lahko sname vse posodobitve neposredno z ArcSight Marketplace in jih takoj uveljavi na obstoječih Priključkih, kar naredi posodabljanje še posebej enostavno.

Najnovejši parserji prinašajo še bolj natančno obdelavo syslog dnevniških zapisov za rešitve Blue Coat Proxy SG, Citrix NetScaler, Juniper JUNOS, Linux Audit ter Pulse Secure Pulse Connect Secure, ter podporo za nove različice virov MS Office 365, MS SQL Server, McAfee ePolicy Orchestrator, Symantec Endpoint Protection DB.

HPE ArcSight Connector

ArcSight Priključki (Connectors) zbirajo dnevniške zapise in druge informacije, ki jih izvori dogodkov v informacijskem sistemu posredujejo v svojem jeziku, nato pa jih preoblikujejo v poenoten ArcSight format. Priključek je v bistvu programski proces, ki zbira dogodke z ene vrste naprav ali strežniških aplikacij v informacijskem sistemu, ali enega formata dogodkov za več različnih izvorov, kot je na primer syslog. S tem si ustvarimo enotno strukturo za enostavno in učinkovito iskanje, povezovanje, analiziranje in poročanje podatkov o stanju in dogodkih. Obstajajo:

· programski Priključki - SmartConnector software : te je mogoče dobiti v obliki (brezplačnega) programskega paketa, s katerim lahko enega ali več Priključkov namestimo na (skoraj) katerikoli računalnik v omrežju. Priporočljivo je nameščanje "čim bližje" izvorom dnevniških zapisov, nikakor in nikoli pa ni obvezno namestiti ga neposredno na izvorno napravo.

· prilagodljivi Priključki FlexConnector : za branje dnevnikov iz naprav ali aplikacij, katerih ni na seznamu posebej podprtih izvorov. Njegove parametre lahko podrobno priredimo tako, da lahko razpoznava podatke v vseh vrstah dnevniških datotek, podatkovnih baz, naprav in aplikacij. Na ta način lahko kreiramo prilagojen Priključek, ki bo bral in prepoznaval podatke iz rešitve, za katero še ne obstaja namenski priključek, in ki bo te podatke pravilno preoblikoval v ArcSight standardizirani zapis.

· Quick Flex Parser Tool : to ni Priključek, je grafično orodje za enostavno, hitro in učinkovito kreiranje parserjev za določen dnevniški zapis. Vključuje izdelavo osnovnega izraza za branje vrstic iz dane datoteke - base regular expression, kreiranje tokenov, ki predstavljajo logične elemente prebranih podatkov, filtrov za tokene, logičnih oz. matematičnih izrazov, ter mapiranje tj. ustvarjanje povezav med tokeni in elementi v podatkovni bazi HPE ArcSight, sprotni prikaz branja iz datoteke z vzorcem dogodkov, idr.

· naročilo izdelave specifičnega Priključka - s podjetjem HPE ArcSight se je mogoče dogovoriti o naročilu za izdelavo specifičnega priključka za tako napravo, seveda v okviru možnosti, stroškov, razširjenosti take naprave in glede na čakalno vrsto za podobna naročila;

· ArcSight Marketplace Priključki - nekateri uporabniki, in stranke, ki so razvili svoje priključke, so pripravljeni le-te deliti z drugimi uporabniki ArcSight rešitev. Te parserje je mogoče enostavno prenesti z namenskega spletnega mesta Marketplace.

· priključki v napravah ArcSight Logger appliance - lokalni Priključki so programski Priključki, ki so že vnaprej nameščeni na napravah Logger, delujejo kot servisni programi 'daemon' in jih je mogoče tako kot vse druge programske Priključke prilagajati potrebam stranke; nameščeni so le na 'manjših' Logger napravah L3xxx, po 4 na vsaki napravi, za podjetja, katera želijo z eno ali čim manj napravami zadovoljiti vsem potrebam zbiranja in shranjevanja dnevniških zapisov;

· ArcSight Connector Hosting Appliance - posebej prirejeni računalniki za postavitev v strežniško omaro, ki že imajo postavljen sistem in vnaprej nameščene Priključke (4, 16 ali 32) za zbiranje dogodkov. Naprave so prilagojene posebej za hitro sprejemanje in obdelavo dnevniških dogodkov, z njih pa je mogoče upravljati tudi druge Priključke (programske ali na drugih napravah) v omrežju. Na njih je nameščena tudi programska oprema za nadzor in upravljanje Priključkov - ArcMC.

Priključki so del osnovnega produktnega paketa HPE ADP - ArcSight Data Platform, ki se sestoji iz programske opreme ArcSight:

- SmartConnectors - programski priključki,

- ArcMC - nadzorni sistem za upravljanje SW in HW priključkov ter SW in HW Logger-jev,

- Logger - dolgotrajno hranjenje in preiskovanje dogodkov, log management,

- Event Broker - transportni sistem za učinkovito distribucijo dogodkov v okoljih z zelo veliko frekvenco dnevniških zapisov in drugih vrst dogodkov.

Programski Priključki so na razpolago brezplačno za lastnike samostojnih rešitev ArcSight Express in Logger.

Avtor / prevod: Robert Lubej

Povezava do izvorne novice:

https://community.saas.hpe.com/t5/Discussions/ArcSight-SmartConnector-Parser-Build-7-6-2-8023-is-now-available/m-p/1600246

### ### ###

O podjetju HPE ArcSight

Hewlett Packard Enterprise ArcSight je priznan proizvajalec uveljavljenih rešitev za upravljanje z informacijsko varnostjo in skladnostjo, SIEM rešitev, orodij za zbiranje in upravljanje dnevniških in podobnih zapisov ter analitičnih orodij, s katerimi je mogoče inteligentno odkrivati in zmanjševati poslovna tveganja v organizacijah vseh vrst in velikosti. Vse rešitve podjetja so načrtovane tako, da so primerne tudi za najbolj kompleksne in geografsko razpršene organizacije z različnimi tehnologijami, dobavitelji in tipi infrastruktur in so v osnovi razdeljene v rešitve za zbiranje, dolgotrajno hranjenje in napredno primerjanje ter obdelavo varnostnih dogodkov. HPE ArcSight je edini od proizvajalcev drugih komponent povsem neodvisni ponudnik rešitev za odkrivanje, ovrednotenje in ukrepanje proti napadom od zunaj, notranjim nevarnostim in kršitvam zahtev o skladnosti.

Leta 2000 ustanovljeno podjetje ArcSight je leta 2010 prešlo v lasti podjetja HP, ta pa se je leta 2015 razdelil na dva dela. Produktna platforma ArcSight je sedaj del enote HP Enterprise - Software, in sicer v sklopu oddelka Security.

Več o podjetju najdete na spletnih straneh: http://www8.hp.com/uk/en/software-solutions/siem-security-information-event-management/index.html

Dodatne informacije:

Robert Lubej, projektni vodja

robert.lubej@real-sec.com

REAL security d.o.o.

Žolgarjeva ulica 17

2000 Maribor

tel.: 02 234 74 74

http://www.real-sec.com

info@real-sec.com