Werbung
Security
7.2 Security-relevante Ereignisse
Element
STRUCTURED-DATA
timeQuality
MSG
MESSAGE
Hinweis
Für weitere Informationen zum Aufbau der Ereignismeldungen und zur Bedeutung der
Parameter siehe RFC 5424 (https://tools.ietf.org/html/rfc5424).
7.2.1.3
Variablen in Ereignismeldungen
Bei jeder Ereignismeldung enthält das Element { MESSAGE } Variablen, die dynamisch durch die
Daten des jeweiligen Ereignisses befüllt werden. Diese Variablen werden im Kapitel "Security-
relevante Ereignisse überwachen (Seite 140)" vor den Tabellen mit geschweiften Klammern
dargestellt (z. B. {Protocol}).
Hinweis
Die Liste der Variablen ist nicht vollständig. Es sind nur Variablen aufgeführt, die für die
Integration eines SIEM-Systems relevant sind.
Folgende Variablen kommen im Element { MESSAGE } einer Security-relevanten
Ereignismeldung vor:
IP address
Dest mac
Src mac
138
Beschreibung
Informationen zur Systemzeit
Beispiel: [timeQuality tzKnown="0" isSynced="0"]
Der Parameter tzKnown gibt an, ob der Sender seine Zeitzone kennt.
Mögliche Optionen:
•
Wert "1" = Die Zeitzone ist bekannt.
•
Wert "0" = Die Zeitzone ist unbekannt.
Der Parameter isSynced gibt an, ob der Sender mit einer zuverlässigen externen
Zeitquelle synchronisiert ist, z. B. über NTP.
Mögliche Optionen:
•
Wert "1" = Die Systemzeit ist synchronisiert.
•
Wert "0" = Die Systemzeit ist nicht synchronisiert.
Ereignismeldung als ASCII-String in Englisch
Variable
Quell- oder Ziel-IP-Adresse nach RFC1035 oder
RFC4291 Abschnitt 2.2
Format bei IPv4: %d.%d.%d.%d
Ziel-MAC-Adresse
Format: %02x:%02x:%02x:%02x:%02x:%02x
Quell-MAC-Adresse
Format: %02x:%02x:%02x:%02x:%02x:%02x
Beschreibung
Projektierungshandbuch, 04/2023, C79000-G8900-C680-01
Beispiel
192.168.1.105
2001:DB8::8:800:200C:417A
00:0C:29:2F:09:B3
00:0C:29:2F:09:B3
Web User Interface (Web UI) SINEC OS v2.3
Werbung
