当前位置:主页 > 人工智能 >

免备案CDN_动态ip服务器_安全稳定

介绍许多使用SAP Enterprise Threat Detection(SAP ETD)的客户都有这样的使用案例:他们希望将来自其SAP系统的日志信息与来自其环境中其他系统(如防火墙、病毒扫描程序、代理)的日志相结合。sapetd提供了不同的方法来集成非SAP日志:组件日志学习提供了从样本数据中学习非结构化日志的方法,并允许映射到sapetd的语义数据模型。对于结构化日志,建议选择在SAP HANA Smart Data Streaming中构建一个自定义解析项目。

许多设备和安全产品很容易提供SIEM产品HPE security ArcSight定义和支持的通用事件格式(CEF)日志。CEF提供了一组预定义的属性,这些属性通常用于安全日志,例如,事件名称、源和目标IP地址和端口、用户名、url。此外,CEF定义了一组属性,这些属性可用于表示特定安全产品的自定义信息。下面的例子说明了这一点。它使用一些标准属性和一个自定义属性,即cs1,此处用于表示检测到的恶意软件的名称。

为了使这些日志可供SAP ETD使用,大数据治理平台,我们需要将CEF格式的信息映射到SAP ETD中定义的语义事件和属性(有关更多详细信息,请参阅). 在某种程度上,映射可以以规范的方式完成。然而,由于大多数设备使用自定义属性,我们需要为安全产品的具体情况调整规范映射。

下面我们将解释这种映射的实现,以及如何将其调整为特定安全产品使用的CEF变体。这是基于SAP HANA智能数据流(SAP SDS)组件构建的,该组件是SAP ETD产品的一部分。

CEF到SAP ETD映射概述映射分两步进行:

之后,生成的日志事件被移交给SAP ETD的一个项目并进行进一步处理。下图显示了如何在SAP SDS上作为一组项目从技术上实现这一点。

注意:在本文中,我们将不详细介绍如何将项目导入SAP HANA智能数据流。您可能需要参阅SAP Enterprise Threat Detection Deployment and Configuration Guide(SAP企业威胁检测部署和配置指南)的第2.4章,网址为。步骤1:CEF数据的通用解析项目cef\u parse\u data通过文件或通过侦听cef所在的TCP端口来获取cef格式的数据。根据默认文件目录,主机名和端口可配置,如下图所示。

如果您需要更大的灵活性,那么您可以根据自己的需要调整整个项目。传入的日志行被解析,并考虑到CEF规范第1章中指定的字符转义。我们有意识地忽略syslog头字段dateTime和host,因为它们是可选的,不提供任何附加值。虽然我们可以解析任何有效的CEF属性名称,但我们将进一步处理限制在CEF规范第2章"ArcSight扩展字典"中定义的属性名称上。如果我们检测到其他属性,SDS控制台将输出一条消息。然后将标识的CEF属性传递给映射步骤。解析的CEF数据以流CefStream的形式提供。后续项目可以通过输入绑定订阅流来访问这些数据。

步骤2:CEF属性到SAP ETD事件和属性的产品特定映射名为cef\ux>\u2\uetd的项目获取解析的数据,大数据分析数据库,并将它们映射到SAP Enterprise Threat Detection定义的语义事件和属性。如上所述,许多属性可以通用地映射,但是,我们仍然经常需要进行特定于产品的映射。因此,外汇返现,可能存在多个映射项目并订阅同一个流。下图显示了CEF属性到SAP ETD中相应语义属性的通用映射的摘录。首先是CEF属性或其组合,然后是要映射到的SAP ETD属性。例如,第15行显示CEF属性externalId映射到SAP ETD属性CorrelationId,第18行显示,CEF属性deviceVendor和deviceProduct之间用"/"连接起来,并映射到SAP ETD属性EventLogType。

本文附带了几个CEF和SAP ETD之间的映射示例:一个通用映射,可以用作自己映射的模板,一个用于FireEye产品,一个用于TrendMicro产品。每个映射都作为一个特定的sapsds项目来实现。为了区分哪些CEF事件需要进行映射,我们对供应商、产品和产品版本的CEF属性进行了比较。下图中的映射只适用于CEF属性deviceVendor和deviceProduct都有值"Generic"的情况

在FireEye产品的映射中,例如,我们只检查deviceVendor,对所有FireEye产品使用一个映射

如果您创建自己的映射并积极使用它们,你应该确保对特定产品的检查是互斥的。否则,您可能会在SAP ETD中使用相同原始日志的冗余日志条目。

如前所述,SAP HANA智能数据流中不同项目之间的连接通过发布/订阅机制工作,将输出流连接到输入流。所有映射项目都订阅CefStream并提供输出stream LogEventOut需要通过输出绑定连接到将日志数据写入SAP HANA数据库的项目transfer\u log\u事件。此项目是SAP Enterprise Threat Detection产品发货的一部分。

下图显示了为将映射项目连接到通用解析项目而创建的输入绑定。我们假设解析和映射项目都在同一台SDS服务器上运行。

为了将映射项目的输出与负责将日志传输到SAP HANA数据库的项目传输日志事件连接起来,我们需要向映射项目添加输出绑定。

请注意,您必须进行绑定为您要使用的每个映射项目配置!

猜你喜欢

微信公众号