Rechtliche Hinweise Novell, Inc., übernimmt keine Gewährleistung oder Haftung in Bezug auf den Inhalt und die Verwendung dieser Dokumentation und schließt insbesondere jede ausdrückliche oder stillschweigende Gewährleistung bezüglich der handelsüblichen Qualität sowie der Eignung für einen bestimmten Zweck aus. Darüber hinaus behält sich Novell, Inc., das Recht vor, diese Veröffentlichung ohne vorherige Ankündigung zu überarbeiten und inhaltliche Änderungen vorzunehmen, ohne dass für Novell die Verpflichtung entsteht, Personen oder...
Seite 5
HINWEIS: Zum Zeitpunkt der Veröffentlichung dieser Dokumentation waren die oben stehenden Links aktiv. Sollten Sie feststellen, dass einer der oben angegebenen Links unterbrochen oder die verlinkten Webseiten inaktiv sind, wenden Sie sich an Novell, Inc., 404 Wyman Street, Suite 500, Waltham, MA 02451 U.S.A.
Seite 7
Mitarbeiter des Bereichs Informationssicherheit konzipiert. Der Text in dieser Dokumentation gilt als Referenzquelle zum Enterprise Security Management System von Sentinel. Im Novell-Webportal steht weitere Dokumentation zur Verfügung. Die Technische Dokumentation von Sentinel umfasst fünf einzelne Ausgaben. Dazu gehören: Band I – Sentinel™ 5-Installationshandbuch Band II –...
Band IV - Sentinel Referenzhandbuch für Benutzer In diesem Handbuch werden die folgenden Themen behandelt: Wizard-Skriptsprache Sentinel Correlation Engine Wizard-Parsing-Befehle Benutzerberechtigungen Wizard-Administratorfunktionen Korrelations-Befehlszeilenoptionen META-Tags für Wizard und Sentinel Sentinel Datenbankschema Volume V - Sentinel Handbuch für Drittanbieter-Integration Remedy HP Service Desk HP OpenView Operations...
Inhalt ............................1-26 Verwendete Konventionen......................1-26 Hinweise und Warnhinweise ....................1-26 Befehle ..........................1-26 Weitere Novell-Referenzen.....................1-26 Kontaktaufnahme mit Novell....................1-27 2 Navigation im Sentinel Control Center Starten des Sentinel Control Center..................2-2 Starten des Sentinel Control Center unter Windows............2-2 Starten des Sentinel Control Center unter UNIX..............2-2 Menüleiste..........................2-2...
Seite 10
Registerkarte „Analyse“ und Registerkarte „Advisor“............2-6 Registerkarte „Collectors“.....................2-6 Registerkarte „Admin“ ......................2-6 Registerkarten...........................2-7 Ändern des Erscheinungsbilds des Sentinel Control Center............2-7 Festlegen der Registerkartenposition...................2-7 Einblenden oder Ausblenden des Navigationsfensters............2-8 Andocken oder Aufheben der Verankerung des Navigationsfensters .........2-8 Überlappendes Anordnen von Fenstern ................2-8 Anordnen von Fenstern nebeneinander................2-8 Minimieren und Wiederherstellen aller Fenster..............2-8 So stellen Sie alle Fenster in der ursprünglichen Größe wieder her........2-8 So stellen Sie ein einzelnes Fenster wieder her ..............2-8...
Seite 11
Anzeigen und Speichern von Anlagen .................4-6 Senden eines Vorfalls per Email ..................4-8 Ändern eines Vorfalls ......................4-8 Löschen eines Vorfalls ......................4-9 5 Registerkarte „iTRAC™“ Schablonen (Vorgangsdefinition)....................5-1 Schablonen-Manager ......................5-2 Standardschablonen ......................5-2 Vorgangsausführung ........................5-5 Instanziieren eines Vorgangs ....................5-6 Ausführung automatischer Aktivitäten..................5-6 Ausführung manueller Aktivitäten..................5-6 Arbeitslisten ..........................5-6 Arbeitselemente........................5-7 Akzeptieren eines Arbeitselements ..................5-8...
Seite 12
9 Registerkarte „Admin“ Registerkarte „Admin“ – Beschreibung..................9-1 Berichtkonfigurationsoptionen für Analysen- und Advisor-Berichte .........9-2 Sentinel-Korrelationsregeln ......................9-3 Regelordner und Regeln ......................9-3 Korrelationsregeltypen ......................9-4 Correlation Engine-Regelbereitstellung ................9-6 Importieren und Exportieren von Korrelationsregeln............9-6 Funktion der Datenbank beim Speichern von Korrelationsregeln........9-6 Logische Bedingungen für Korrelationsregeln ..............9-7 Öffnen des Fensters „Korrelationsregeln“...
Seite 13
Verwaltung der Archivierung ....................10-34 Importverwaltung ......................10-37 Verwaltung von Tabellenbereichen ..................10-41 Aktualisieren von Zuordnungen (Befehlszeile)..............10-42 Verwenden des von Novell bereitgestellten Skripts für die automatische Verwaltung (nur Windows)...................10-42 Einrichten der Datei „Manage_data.bat“ für das Archivieren von Daten und das Hinzufügen von Partitionen..................10-43 Planen der Ausführung von „Manage_data.bat“...
Seite 14
12 Schnellstart..........................12-1 Sicherheitsanalysten.......................12-1 Registerkarte „Active Views“ ....................12-1 Exploit-Erkennung ......................12-2 Bestandsdaten........................12-3 Ereignisabfrage ........................12-3 Berichtsanalyst........................12-5 Registerkarte „Analyse“......................12-5 Ereignisabfrage ........................12-6 Administratoren........................12-6 Grundlegende Korrelation ....................12-6 A Systemereignisse für Sentinel 5 ................... A-1 Authentifizierungsereignisse....................A-1 Fehler bei der Authentifizierung ..................A-1 Kein solches Benutzerereignis vorhanden................A-1 Doppelte Benutzerobjekte ....................
Seite 15
Correlation Engine wird angehalten .................. A-14 Regelbereitstellung wurde gestartet.................. A-14 Regelbereitstellung wurde beendet................... A-14 Regelbereitstellung wurde geändert.................. A-15 WatchDog ..........................A-15 Gesteuerter Prozess wurde gestartet................A-15 Gesteuerter Prozess wurde beendet................. A-15 Watchdog-Prozess wurde gestartet .................. A-16 Watchdog-Prozess wurde beendet ................... A-16 Collector Engine und Collector Manager................
Technologien und Produkten zu sammeln. Viele der Funktionen in Sentinel 5 sind das Ergebnis einer strukturellen Umgestaltung von Sentinel 4.0 und von den Anforderungen der Kunden von Novell beeinflusst. Aufgrund der zunehmenden Sicherheitsbedrohungen und des steigenden Drucks durch Bestimmungen suchen Unternehmen nach einer Lösung, mit der sie folgende Punkte abdecken können:...
Seite 18
Bei Ereignissen handelt es sich um Aktionen oder Vorgänge, die Sentinel gemeldet werden. Ereignisse von Sicherheitsgeräten werden als externe Ereignisse bezeichnet. Von Sentinel generierte Ereignisse werden interne Ereignisse genannt. Ereignisse können sich auf die Sicherheit, die Leistung oder auf Informationen beziehen. Bei einem externen Ereignis kann es sich beispielsweise um einen Angriff, der von einem Intrusion Detection System (IDS) ermittelt wird, eine erfolgreiche Anmeldung, die von einem Betriebssystem gemeldet wird, oder einen benutzerdefinierten Vorgang handeln, wie etwa den Zugriff auf eine Datei durch...
Ereignisse besonderer Wichtigkeit können zu einem Objekt gruppiert werden, das als Vorfall bezeichnet wird. Vorfälle können manuell vom Benutzer oder automatisch von der Correlation Engine erstellt werden. Vorfälle können zusätzliche Informationen enthalten, beispielsweise Informationen zu den angegriffenen Beständen, den Anfälligkeiten dieser Bestände und Informationen zum Angriff, der von der Sentinel Advisor-Komponente empfangen wird.
Mithilfe der in Sentinel integrierten Berichts-Engine können Verlaufsanalysen und -berichte erstellt werden. Die Berichts-Engine extrahiert Daten von der Datenbank und integriert die Berichtsanzeigen mit HTML-Dokumenten über eine HTTP-Verbindung in Sentinel Control Center. Zu den Sentinel-Funktionen gehören: Verarbeitung von Ereignissen in Echtzeit, die vom Wizard Collector Manager empfangen werden, eine intuitive, flexible und regelbasierte Korrelationssprache, auf hohe Leistung ausgelegte Regeln,...
Seite 21
Beim iSCALE-Nachrichtenbus kommen eine Reihe von Warteschlangenservices zum Einsatz, die die Zuverlässigkeit der Kommunikation über die Sicherheits- und Leistungsaspekte der Plattform hinaus erhöhen. Durch eine Vielzahl temporärer und permanenter Warteschlangen bietet das System unübertroffene Zuverlässigkeit und Fehlertoleranz. So werden beispielsweise wichtige Meldungen/Nachrichten, die sich im Transit befinden, für den Fall gespeichert (in eine Warteschlange gestellt), dass es zu einem Ausfall im Kommunikationspfad kommt.
iSCALE nutzt die Vorteile einer unabhängigen Umgebung mit mehreren Kanälen; auf diese Weise werden Konflikte nahezu ausgeschlossen und die Parallelverarbeitung von Ereignissen wird gefördert. Diese Kanäle und Teilkanäle können nicht nur für den Ereignisdatentransport verwendet werden, sie ermöglichen auch die präzise Vorgangssteuerung für Skalierung und Lastenausgleich bei unterschiedlichen Auslastungen.
Seite 23
Map Service propagiert Informationen dynamisch im System, ohne sich negativ auf die Systemauslastung auszuwirken. Wenn wichtige Datengruppen („Zuordnungen“ wie Bestandsinformationen oder Informationen zu Patch-Aktualisierungen) im System aktualisiert werden, propagiert Map Service die Aktualisierungen im gesamten System (in vielen Fällen können diese Daten einen Umfang von Hunderten Megabyte aufweisen). Die Algorithmen von iSCALE Map Service verarbeiten umfangreiche referenzielle Datengruppen in einem Produktionssystem, in dem große Echtzeitdatenvolumen verarbeitet werden.
Seite 24
Folgende System werden unterstützt: Intrusion Detection-Systeme Anfälligkeits-Absuchprogramme Cisco Secure IDS eEYE Retina Enterasys Dragon Host Sensor Foundstone Foundscan Enterasys Dragon Network Sensor ISS Database Scanner Intrusion.com (SecureNet_Provider) ISS Internet Scanner ISS BlackICE ISS System Scanner ISS RealSecure Desktop ISS Wireless Scanner ISS RealSecure Network Nessus ISS RealSecure Server...
Seite 25
Bei diesen beiden Dateien handelt es sich um attackNormalization.csv und exploitDetection.csv. Die Datei attackNormalization.csv wird erstellt im Anschluss an: Advisor-Feed DAS-Start (wenn in das_query.xml aktiviert; standardmäßig deaktiviert) Die Datei exploitDetection.csv wird im Anschluss an einen der nachfolgenden Schritte erstellt: Advisor-Feed Anfälligkeits-Absuchvorgang Sentinel Server-Start (wenn in das_query.xml aktiviert;...
Seite 26
AttackId entry Das Anfälligkeits-Tag weist den Spalteneintrag „_EXIST_“ auf; das bedeutet, dass der Zuordnungsergebniswert 1 ist, wenn sich der Schlüssel in „IsExploitWatchlist“ (Datei exploitDetection.csv) befindet; andernfalls ist er 0. Die Schlüsselspalten für das Anfälligkeits- Tag sind „IP“ und „NormalizedAttackId“. Wenn ein eingehendes Ereignis mit einem DestinationIP-Ereignis-Tag , das mit dem Eintrag in der IP-Spalte und ein AttackId-Ereignis- Tag gefunden wird, das mit dem Eintrag in der NormalizedAttackId-Spalte in derselben Zeile übereinstimmt, lautet das Ergebnis „eins“...
Data Source Integration Die Verwendung einer anpassungsfähigen und flexiblen Technologie spielt bei der Data Source Integration-Strategie von Sentinel eine zentrale Rolle; hierfür kommen interpretationsfähige Collectors zum Einsatz, die die Ereignisse im Datenstrom analysieren und normalisieren. Diese Collectors können nach Bedarf geändert werden und sind an keine spezifische Umgebung gebunden.
1. Standardmäßig ist die Event Time (Ereigniszeit) auf die Wizard-Zeit eingestellt. Die Gerätezeit wäre ideal. Folglich wäre es am besten, den Event Time-Wert auf den Device Time-Wert einzustellen, wenn der Device Time-Wert verfügbar und richtig ist und vom Collector vorschriftsmäßig analysiert wurde. 2.
Bei allen Systemereignissen werden folgende Attribute ausgefüllt: ST-(Sensor Type-)Feld: Für interne Ereignisse ist es auf „I“ eingestellt, für Leistungsereignisse auf „P“’ Event ID: Eine eindeutige UUID für das Ereignis Event Time: Die Uhrzeit, zu der das Ereignis erstellt wurde Source: Die UUID des Vorgangs, der das Ereignis erstellt hat Sensor Name: Der Name des Vorgangs, der das Ereignis erstellt hat (z.
Seite 30
Watchdog-Vorgang Watchdog ist ein Sentinel-Vorgang, mit dem andere Sentinel-Vorgänge verwaltet werden. Wenn ein anderer Vorgang als Watchdog anhält, gibt Watchdog die entsprechende Meldung aus und startet den Vorgang dann neu. Unter Windows ist Watchdog ein Service mit der Bezeichnung Sentinel. Wenn dieser Service gestoppt wird, werden sämtliche Sentinel-Vorgänge auf diesem Computer gestoppt.
Seite 31
Intervalle werden nach kurzer Verzögerung an Sentinel Control Center gesendet, um die Daten zu stabilisieren, die aufgrund von Verzögerungen im Netzwerk und zeitlichen Verschiebungen möglicherweise verspätet eingegangen sind. Aktive Ansichten werden automatisch für mehrere Benutzer freigegeben, wenn das gewünschte Ereignisattribut und der gewünschte Filter identisch sind. Wenn eine aktive Ansicht von keinem Benutzer mehr verwendet wird, wird sie nach einer Stunde verworfen.
DAS empfängt Anforderungen von unterschiedlichen Sentinel-Vorgängen, wandelt sie in eine Abfrage der Datenbank um, verarbeitet das von der Datenbank zurückgegebene Ergebnis und wandelt es wieder in eine Antwort um. Mit diesem Prozess werden Anforderungen unterstützt, um Ereignisse für Quick Query und Event Drill Down abzurufen, die Anfälligkeit von Informationen und Advisor-Informationen abzufragen und Konfigurationsinformationen zu manipulieren.
Über die Darstellungsschicht wird die Anwendungsoberfläche für den Endbenutzer bereitgestellt. Eine umfassende Konsole mit der Bezeichnung Sentinel Control Center bietet einen integrierten Benutzerarbeitsbereich mit sieben verschiedenen Anwendungen, auf die über ein einziges gemeinsames Framework zugegriffen werden kann. Dieses plattformübergreifende Framework basiert auf Java™ 1.4-Standards und bietet einheitlichen Einblick in unabhängige Geschäftslogikkomponenten –...
Seite 34
Connectors und Collectors Bei einem Connector handelt es sich um einen Konzentrator oder Multiplex-Adapter, der die Verbindung zwischen Collector Engine und den jeweiligen überwachten Ereignissen herstellt. Bei Collectors handelt es sich um die auf der Komponentenebene agierenden Aggregatoren von Ereignisdaten von einer bestimmten Quelle. Sentinel 5 unterstützt primär „Collector- freie“...
Seite 35
Geschäftsrelevanz – Sentinel 5 fügt geschäftsrelevante kontextbezogene Daten direkt in den Ereignisdatenstrom ein. Es stehen bis zu 135 individuell anpassbare Felder zur Verfügung, über die Benutzer bestandsspezifische Informationen hinzufügen können, beispielsweise Unternehmenseinheit, Eigentümer, Bestandswert und Geografie. Nachdem diese Informationen dem System hinzugefügt wurden, können alle anderen Komponenten von dem zusätzlichen Kontext profitieren.
Über die Exploit-Erkennung können Benutzer zudem Signaturen und Anfälligkeiten zuordnen und deren Zuordnung aufheben, um falsche Positiv- und Negativ-Meldungen auszublenden und benutzerdefinierte Signaturen bzw. Anfälligkeitsabsuchvorgänge optimal zu nutzen. Geschäftslogikschicht Der Kernel der Sentinel 5-Plattform besteht aus eine Gruppe lose zusammenhängender Services, die in einer Einzelplatzbetriebkonfiguration bzw.
Seite 37
Data Access Service Data Access Service (DAS) ist ein Objektverwaltungsservice, der Benutzern die Definition von Objekten über Metadaten ermöglicht. DAS verwaltet das Objekt sowie den Zugriff auf Objekte und automatisiert Übertragungs- und Permanenzaspekte. DAS dient zudem als Schnittstelle für den Zugriff auf Daten von einem beliebigen permanenten Datenspeicher aus, etwa Datenbanken, Verzeichnisservices oder -dateien.
Seite 38
Benutzern wird die Verwendung einer Metrik namens Event Rules per Second (ERPS) nahe gelegt. Mit ERPS kann die Anzahl der Ereignisse gemessen werden, die pro Sekunde von einer Korrelationsregel überprüft werden können. Dieser Wert ist ein guter Leistungsindikator, da hiermit die Auswirkung auf die Leistung eingeschätzt wird, wenn es zur Überschneidung zweier Faktoren kommt: Ereignisse pro Sekunden und Anzahl der verwendeten Regeln.
Seite 39
Vorfallsreaktion über iTRAC Durch iTRAC findet der Wandel der herkömmlichen Sicherheitsinformationsverwaltung vom passiven „Alarmieren und Anzeigen“ hin zu „prozessfähiger Vorfallsreaktion“ statt, da Organisationen Vorfallslösungsvorgänge definieren und dokumentieren und dann Lösungsvorgänge steuern, umsetzen und verfolgen können, wenn ein Vorfall oder ein Verstoß...
Seite 40
Über das iTRAC-Aktivitäts-Framework können Benutzer automatisierte oder manuelle Aufgaben für spezifische Vorfallslösungsvorgänge individuell anpassen. Die iTRAC- Vorgangsschablonen können über das Aktivitäts-Framework so konfiguriert werden, dass sie mit der Schablone für das optimale Verfahren der Organisation übereinstimmen. Die Ausführung von Aktivitäten erfolgt direkt über Sentinel Control Center. Beim iTRAC-Automatisierungs-Framework kommen zwei Schlüsselkomponenten zum Einsatz –...
Allgemeine Services Sämtliche der oben beschriebenen Komponenten dieser Geschäftslogikschicht der Architektur werden von einer Gruppe allgemeiner Services gesteuert. Diese Dienstprogrammservices unterstützen bei der präzisen Filterung (über die Filter-Engine) von Ereignissen für Benutzer, bei der laufenden Überwachung von Systemzustandsstatistiken (über den Zustandsmonitor) sowie bei der dynamische Aktualisierung von Daten im gesamten System (über den Zuordnungsservice).
Beschädigungen des Systems bzw. Datenverluste u. U. vermeiden lassen. Befehle Befehle sind in Courier-Schriftart angegeben. Beispiel: useradd –g dba –d /export/home/oracle –m –s /bin/csh oracle Weitere Novell-Referenzen Folgende Handbücher sind auf den Sentinel-Installations-CDs enthalten: Sentinel™ 5-Installationshandbuch Sentinel™-Benutzerhandbuch Sentinel™ 5 Wizard-Benutzerhandbuch Sentinel™...
Kontaktaufnahme mit Novell Website: http://www.novell.com Technischer Support von Novell: http://www.novell.com/support/index.html Internationaler technischer Support von Novell: http://support.novell.com/phone.html?sourceidint=suplnav4_phonesup Self-Support: http://support.novell.com/support_options.html?sourceidint=suplnav_supportprog Für Support rund um die Uhr: +1800-858-4000 1-27 Sentinel-Einführung...
Navigation im Sentinel Control Center HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. Das Sentinel Control Center setzt sich aus den folgenden Elementen zusammen: Menüleiste Symbolleiste Registerkarten Zudem werden in diesem Kapitel die folgenden Themen erläutert: Starten des Sentinel Control Center Ändern des Erscheinungsbilds des Sentinel Control Center Speichern von Benutzereinstellungen...
Starten des Sentinel Control Center unter Windows Starten des Sentinel Control Center unter Windows 1. Klicken Sie auf Start > Novell > Sentinel Control Center oder klicken Sie auf dem Desktop auf das Sentinel Control Center-Symbol. 2. Geben Sie Ihren Benutzernamen und Ihr Passwort ein und klicken Sie auf OK.
Menü „Fenster“ Alle überlappend Alle nebeneinander Optimal anpassen Untereinander Nebeneinander Alle minimieren Alle wieder einblenden Alle schließen Active Views™ Eigenschaften Aktive Ansicht erstellen Ereignisabfrage Ereignisechtzeit Snapshot Spalten verwalten Vorfälle Vorfallsansichts-Manager anzeigen Vorfall erstellen Konfiguration des Anlage-Viewer iTRAC™ Vorgangs-Manager anzeigen Analyse Bericht erstellen Advisor Bericht erstellen...
Symbolleiste Fünf globale Symbolleistenschaltflächen werden immer angezeigt. Weitere Schaltflächen sind in Abhängigkeit davon verfügbar, welche Registerkarte bzw. welches Fenster aktiv ist und welche Benutzerberechtigungen gewährt wurden. Globale Symbolleiste Die folgenden fünf globalen Symbolleistenschaltflächen sind verfügbar: Sentinel-Hilfe anzeigen Navigationsfenster anzeigen/ausblenden Alle Display-Fenster Alle Display-Fenster überlappend nebeneinander Benutzereinstellungen...
Seite 49
Wenn Sie auf die Schaltfläche zum Sperren klicken, sind die folgenden Schaltflächen verfügbar: Diagramm sperren/Diagrammsperre aufheben Anzeigeintervall vergrößern Anzeigeintervall verkleinern Anzeigedauer vergrößern Anzeigedauer verkleinern Vergrößern Verkleinern Ereignisse anzeigen Als HTML-Datei speichern Fenster „Snapshot“ Folgende Symbolleistenschaltflächen sind verfügbar, wenn das Fenster „Snapshot“ aktiv ist: Spalten verwalten Registerkarte „Vorfälle“...
Registerkarte „Analyse“ und Registerkarte „Advisor“ Folgende Symbolleistenschaltflächen sind verfügbar, wenn die Registerkarte „Analyse“ bzw. „Advisor“ aktiv ist: Bericht erstellen Registerkarte „Collectors“ Folgende Symbolleistenschaltflächen sind verfügbar, wenn die Registerkarte „Collectors“ aktiv ist: Ansichts-Manager für Collector Manager anzeigen Collector-Ansichts-Manager anzeigen Registerkarte „Admin“ Folgende Symbolleistenschaltflächen sind verfügbar, wenn die Registerkarte „Admin“...
Fenster „Menükonfiguration“ Die folgenden Symbolleistenschaltflächen sind verfügbar, wenn das Fenster „Menükonfiguration“ aktiv und im Bearbeitungsmodus ist: Neues Menüelement erstellen Menüelement löschen Menüelement aktivieren Menüelement deaktivieren Registerkarten In Abhängigkeit von Ihren Benutzerberechtigungen werden im Sentinel Control Center die folgenden Registerkarten angezeigt. Sie müssen über die entsprechenden Berechtigungen verfügen, um die einzelnen Registerkarten anzeigen zu können.
Einblenden oder Ausblenden des Navigationsfensters So blenden Sie das Navigationsfenster ein bzw. aus 1. Klicken Sie auf Optionen > aktivieren bzw. deaktivieren Sie Navigationsfenster anzeigen. Andocken oder Aufheben der Verankerung des Navigationsfensters So docken Sie das Navigationsfenster an bzw. so heben Sie dessen Verankerung auf 1.
Gleichzeitiges Schließen aller geöffneten Fenster So schließen Sie alle Fenster 1. Klicken Sie auf Fenster > Alle schließen. Speichern von Benutzereinstellungen Sie müssen über die Benutzerberechtigung „Arbeitsbereich speichern“ verfügen. Die folgenden Einstellungen können gespeichert werden: Dauerhaft verfügbare Fenster, die wiederhergestellt werden können, weil sie nicht von Daten abhängen, die zum Zeitpunkt ihrer Erstellung verfügbar waren.
Ändern des Sentinel Control Center-Passworts HINWEIS: Um die strengen Sicherheitskonfigurationen zu erfüllen, die von Common Criteria Certification gefordert werden, benötigt Novell ein starkes Passwort mit folgenden Eigenschaften: 1. Wählen Sie Passwörter aus, die mindestens 8 Zeichen umfassen und mindestens einen Großbuchstaben, einen Kleinbuchstaben, ein Sonderzeichen (!@#$%^&*()_+) und eine Zahl (0-9) enthalten.
Registerkarte „Active Views™“ HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. Sie müssen über die entsprechende Berechtigung verfügen, um die Registerkarte „Active Views™“ verwenden zu können. Wenn Ihnen diese Berechtigung nicht erteilt wurde, verfügen Sie auch nicht über die Berechtigungen zur Durchführung von Aktionen mithilfe dieser Registerkarte.
Registerkarte „Active Views“ – Beschreibung Ereignisansichten sind als Tabellen formatiert. Die Active View-Konfiguration wird durch die Datei das_rt.xml festgelegt. Eine Ereignistabelle fast in Echtzeit mit einer grafischen Darstellung und ein Snapshot sind die beiden verfügbaren Typen von aktiven Ansichten. Ereignistabelle fast in Echtzeit Enthält bis zu 750 Ereignisse für einen Zeitraum von 30 Sekunden.
Auf der Registerkarte „Active Views“ können Sie: Aktive Ansichten neu konfigurieren Nachrichten über Ereignisse per Email Einem Vorfall Ereignisse hinzufügen versenden Einen Snapshot oder ein visuelles Ereignisdetails ein- oder ausblenden Navigatorfenster schließen Einen Snapshot eines visuellen Einen Vorfall erstellen Navigatorfensters erstellen Benutzerdefinierte Menüoptionen mit Ereignisse anzeigen, die ein korreliertes Ereignissen verwenden...
So zeigen Sie Echtzeitereignisse an So zeigen Sie Echtzeitereignisse an 1. Klicken Sie auf die Registerkarte Active Views. 2. Klicken Sie auf Aktive Ansichten > Aktive Ansicht erstellen oder klicken Sie auf Aktive Ansicht erstellen. 3. Klicken Sie im Fenster „Assistent für Active Views“ auf die Abwärtspfeile, um eine Z-Achse und einen Filter auszuwählen und um anzugeben, ob Ereignisse angezeigt werden sollen („Ja“...
Seite 59
4. Wenn Sie auf Weiter klicken, können Sie mithilfe der Abwärtspfeile Folgendes auswählen: Anzeige- und Aktualisierungsrate – die Anzahl von Sekunden, nach der die Ereignisse aktualisiert werden Anzeigedauer – die Dauer, während der das Diagramm angezeigt wird Y-Achse – entweder „Ereignisanzahl“ oder „Ereignisanzahl pro Sekunde“ Klicken Sie auf Next (Weiter).
Die fünf Schaltflächen auf der linken Seite des Diagramms führen die folgenden Funktionen aus: Diagramm sperren/Diagrammsperre aufheben – Wird beim Durchführen eines Drilldown, beim Vergrößern und Verkleinern des Diagramms, beim Vergrößern einer Auswahl und beim Speichern eines Diagramms als HTML-Datei verwendet. Anzeigeintervall vergrößern –...
Seite 61
Auf der Registerkarte „Parameter“ können Sie Folgendes festlegen: Anzeigeintervall – die Zeit zwischen den einzelnen Intervallen Aktualisierungsrate – die Anzahl von Sekunden, nach der die Ereignisrate aktualisiert wird Gesamtanzeigedauer – die Dauer, während der das Diagramm angezeigt wird Y-Achse – entweder „Ereignisanzahl“ oder „Ereignisanzahl pro Sekunde“ Auf der Registerkarte „Diagrammtypen“...
So können Sie beispielsweise alle Ereignisse mit einem bestimmten Eintrag in einem Feld filtern, wie z. B. DeviceAttackName ist genau Back_Door_Probe (TCP 3128). Dieser Filter ergibt eine Ereignistabelle mit Ereignissen, bei denen der DeviceAttackName ausschließlich Back_Door_Probe (TCP 3128) lautet. Beim Überarbeiten einer Ereignistabelle werden die Filterkriterien rechts unten in der Ereignistabelle angezeigt.
Ein- und Ausblenden von Ereignisdetails So blenden Sie Ereignisdetails ein 1. Doppelklicken Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot auf ein Ereignis (oder klicken Sie mit der rechten Maustaste darauf) und klicken Sie dann auf Details anzeigen. Im linken Feld der Ereignistabelle in Echtzeit werden Ereignisdetails angezeigt.
2. Falls Details angezeigt werden sollen, wenn Sie das Sentinel Control Center das nächste Mal öffnen, klicken Sie auf Datei > Einstellungen speichern oder klicken Sie auf Benutzereinstellungen speichern. So blenden Sie Ereignisdetails aus 1. Klicken Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot, in der im linken Feld Ereignisdetails angezeigt werden, mit der rechten Maustaste auf ein Ereignis und klicken Sie dann auf Details anzeigen.
Seite 65
2. Füllen Sie die folgenden Felder aus: Email-Adresse Email-Betreff Email-Nachricht 3. Klicken Sie auf OK. So senden Sie eine Vorfallsnachricht per Email 1. Klicken Sie nach dem Speichern des Vorfalls auf die Registerkarte „Vorfälle“ und dann auf Vorfälle > Vorfallsansichts-Manager anzeigen. 2.
Erstellen eines Vorfalls Zum Ausführen dieser Funktion müssen Sie über die Benutzerberechtigung zum Erstellen von Vorfällen verfügen. Dies ist hilfreich beim Zusammenfassen eines Satzes von Ereignissen, die von Interesse sein können (ähnliche Ereignisse oder einen Satz unterschiedlicher Ereignisse gruppieren, die ein Interessenmuster, z.
Anzeigen von Ereignissen, die ein korreliertes Ereignis ausgelöst haben Sie müssen mit der rechten Maustaste auf ein korreliertes Ereignis klicken, um die Ereignisse anzuzeigen, die das korrelierte Ereignis ausgelöst haben. Suchen Sie in der Zusammenfassungsansicht auf der rechten Seite der Ereignistabelle, aus der Sie das Ereignis auswählen, nach einem Ereignis mit einer SensorType-Eigenschaft mit dem Wert C (C: korreliertes Ereignis) oder W (W: Beobachtungsliste).
Untersuchen – Diagrammzuordnung So erstellen Sie eine Diagrammzuordnung 1. Klicken Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot mit der rechten Maustaste auf ein oder mehrere Ereignisse und klicken Sie dann auf Untersuchen > Visuell > Diagramm anzeigen. 3-14 Sentinel-Benutzerhandbuch...
Seite 69
Nachfolgend sehen Sie eine grafische Darstellung der Zuordnung von Sensornamen zu Ereignisnamen mit einem Schweregrad von 5 in einem organischen Format. Eine grafische Zuordnung kann in den folgenden Formaten angezeigt werden: Rund Organisch Hierarchisch Rechtwinklig 3-15 Registerkarte „Active Views™“...
Untersuchen – Ereignisabfrage Diese Funktion ermöglicht Ihnen das Abfragen von Ereignissen der letzten Stunde. So führen Sie eine Ereignisabfrage mithilfe der Funktion „Untersuchen“ durch 1. Klicken Sie in einem visuellen Navigator oder in einem Snapshot-Fenster mit der rechten Maustaste auf ein Ereignis, dann auf Untersuchen und schließlich auf eine der drei unten genannten Optionen.
Analyse – Anzeigen von Bestandsdaten Diese Funktion ermöglicht Ihnen das Anzeigen und Speichern Ihrer Ansicht als HTML-Datei Ihres Bestandsberichts. Zum Anzeigen dieser Daten müssen Sie Ihren Bestandsverwaltungs- Collector ausführen. Die folgenden Daten können angezeigt werden: Hardware MAC-Adresse Wert Name Gefährlichkeit Vertraulichkeit Hersteller Umgebung...
Sie dann auf Analyse > Inventardaten. Ein ähnliches Fenster wie unten zu sehen ist, wird eingeblendet. Analyse – Anfälligkeitsvisualisierung Novell verfügt über Collectors, die Anfälligkeitsprüfungen aus Nessus-, ISS-, Foundstone-, eEye- und Qualys-Absuchvorgängen verarbeiten. Die Anfälligkeitsvisualisierung bietet eine grafische Darstellung von Echtzeitereignisdaten in anfälligen Systemen und ist für ein Ereignis zur Darstellung der aktuellen Anfälligkeit oder der Ereigniszeitanfälligkeit...
Seite 73
Sie können Ihre Anfälligkeitsvisualisierung auf verschiedene Weisen anzeigen: in HTML grafisch rund (organisch) hierarchisch alle Ereigniszuordnungsknoten rechtwinklig Die HTML-Ansicht ist eine berichtartige Ansicht, die Folgendes auflistet: Host Anfälligkeit Port/Protokoll Nachfolgend sehen Sie ein Beispiel für einen Nessus-Absuchvorgang. Die grafische Anzeige ist eine Darstellung der Anfälligkeiten, die diese über allgemeine Ports mit einem Ereignis verbinden.
Seite 74
Organisch 3-20 Sentinel-Benutzerhandbuch...
Seite 75
Hierarchisch Rund Rechtwinklig Die grafische Anzeige enthält vier Felder. Hierbei handelt es sich um: das Diagrammfeld das Baumfeld die Systemsteuerung das Detail-/Ereignisfeld 3-21 Registerkarte „Active Views™“...
Seite 76
Die Diagrammfeldanzeige verknüpft Anfälligkeiten mit einer Port/Protokoll-Kombination einer Ressource (IP-Adresse). Wenn eine Ressource beispielsweise über fünf eindeutige Port/Protokoll-Kombinationen verfügt, die anfällig sind, werden fünf Knoten mit dieser Ressource verbunden. Die Ressourcen werden unter dem Scanner gruppiert, der die Ressourcen abgesucht und die Anfälligkeiten gemeldet hat. Wenn zwei unterschiedliche Scanner verwendet werden (ISS und Nessus), gibt es zwei unabhängige Scanner-Knoten, mit denen Anfälligkeiten verknüpft sind.
2. Klicken Sie am unteren Rand des Fensters „Anfälligkeitsergebnisse“ auf eine der folgenden Optionen: Diagramm Ereignis/Anfälligkeit Anfälligkeitsbericht 3. (Für „Diagramm Ereignis/Anfälligkeit“) Innerhalb der Anzeige können Sie: Knoten und ihre Kennungen verschieben einen von vier verschiedenen Layoutalgorithmen zum Anzeigen des Diagramms verwenden alle Knoten oder nur jene Knoten anzeigen, denen Ereignisse zugeordnet sind eine Filterung im Baum durchführen, wenn eine große Anzahl von Ressourcen...
Darüber hinaus können Sie Benutzerberechtigungen zum Anzeigen der Anfälligkeit und zum Durchführen von HP-Aktionen zuweisen. Im Fenster „Menükonfiguration“, das über die Registerkarte „Admin“ verfügbar ist, können Sie Optionen hinzufügen. Verwalten der Spalten in einem Snapshot- oder visuellen Navigatorfenster So können Sie die Spalten in einem Snapshot oder visuellen Navigator auswählen und anordnen 1.
Verwenden Sie die Auf- und Abwärtspfeile, um die Anzeigereihenfolge der Spalten in der Echtzeitereignistabelle anzupassen. Die Reihenfolge der Spaltentitel im Dialogfeld „Spalten verwalten“ von oben nach unten bestimmt die Reihenfolge der Spalten in der Echtzeitereignistabelle von links nach rechts. 3. Klicken Sie im Dialogfeld „Spalten verwalten“ auf OK. 4.
Sortieren der Spalten in einem Snapshot So sortieren Sie die Spalten in einem Snapshot 1. Klicken Sie einmal auf eine Spaltenüberschrift, um die Spalte in aufsteigender Reihenfolge zu sortieren, und zweimal, um sie in absteigender Reihenfolge zu sortieren. Schließen eines Snapshot oder visuellen Navigatorfensters So schließen Sie einen Snapshot oder eine Echtzeitereignistabelle 1.
Seite 81
3. Klicken Sie auf Durchsuchen, um die verfügbaren Vorfälle aufzulisten. HINWEIS: Sie können eigene Kriterien definieren, um besser nach einem bestimmten Vorfall oder mehreren Vorfällen zu suchen. 4. Klicken Sie auf Suchen, um eine Liste mit Vorfällen anzuzeigen. 3-27 Registerkarte „Active Views™“...
Seite 82
5. Markieren Sie einen Vorfall und klicken Sie auf Hinzufügen. 6. Klicken Sie auf OK (Hinzufügen). Das bzw. die ausgewählten Ereignisse werden im Vorfallsnavigator zum Vorfall hinzugefügt. HINWEIS: Wenn in einem neu erstellten Vorfall zu Beginn keine Ereignisse angezeigt werden, liegt dies wahrscheinlich an einer Zeitverzögerung zwischen dem Anzeigen im Fenster für Echtzeitereignisse und dem Einfügen in die Datenbank.
Registerkarte „Vorfälle“ HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. Sie müssen über die entsprechende Berechtigung verfügen, um die Registerkarte „Vorfälle“ verwenden zu können. Wenn Ihnen diese Berechtigung nicht erteilt wurde, verfügen Sie auch nicht über die anderen Berechtigungen zur Durchführung von Aktionen mithilfe dieser Registerkarte.
Beziehung zwischen Ereignissen und Vorfällen Ein Ereignis ist eine Aktion oder ein Vorgang, die bzw. der von einem Sicherheitsgerät oder - programm entdeckt wurde. Ereignisse gelten als „statuslos“. Ein Vorfall ist die Gruppierung von einem oder mehreren Ereignissen, die als wichtig erachtet werden (ein möglicher Angriff).
Seite 85
4. Klicken Sie auf Optionen. In diesem Fenster können Sie auch Folgendes festlegen: Felder... Gruppieren nach... Sortieren... Filter... Baumansicht Klicken Sie auf Anwenden und dann auf Speichern. 5. Doppelklicken Sie im Fenster „Vorfallsansichts-Manager“ auf den Namen einer Ansicht. Nachfolgend sehen Sie eine Standardansicht des Fensters „Ansicht aller Vorfälle“. Nachfolgend sehen Sie eine Ansicht, die nach Schweregrad sortiert ist und deren Felder (Spaltenverwaltung) für die ersten vier Spalten auf „Schweregrad“, „Erstellt am“, „Priorität“...
Nachfolgend sehen Sie einen Ansichtsbaum nach Erstellungsdatum (Erstellt am). Hinzufügen einer Vorfallsansicht Beim Hinzufügen einer Vorfallsansicht stehen folgende Optionen zur Verfügung: Felder... Gruppieren nach... Sortieren... Filter... Baumansicht So fügen Sie eine Vorfallsansicht hinzu 1. Klicken Sie im „Vorfallsansichts-Manager“ auf Ansicht hinzufügen. 2.
Erstellen eines Vorfalls Erstellen eines Vorfalls 1. Klicken Sie auf die Registerkarte Vorfall. 2. Klicken Sie auf Vorfälle > Vorfall erstellen oder klicken Sie auf die Schaltfläche Neuen Vorfall erstellen. Geben Sie Ihre Informationen in die leeren Felder im Dialogfeld „Vorfall erstellen“ ein. 3.
Seite 89
Konfigurieren des Anlage-Viewer Konfigurieren des Anlage-Viewer 1. Klicken Sie auf die Registerkarte Vorfall. 2. Klicken Sie auf Vorfälle > Konfiguration des Anlage-Viewer oder klicken Sie auf die Schaltfläche Viewer für Anlagen konfigurieren. 3. Klicken Sie auf Add (Hinzufügen). Geben Sie den Erweiterungstyp ein (z. B. .doc, .xls, .txt, .html usw.) und klicken Sie auf Durchsuchen oder geben Sie das Anwendungsprogramm zum Starten dieses Dateityps ein (z.
Senden eines Vorfalls per Email Die Funktion zum Senden von Emails wird während der Installation in der Datei execution.properties eingerichtet. Informationen zum Konfigurieren dieser Datei finden Sie in Kapitel 11 – Dienstprogramme. Senden eines Vorfalls per Email 1. Klicken Sie auf die Registerkarte Vorfälle. 2.
Löschen eines Vorfalls HINWEIS: Zum Löschen eines Vorfalls, der einem WorkFlow (iTRAC) beigefügt wurde, müssen Sie den iTRAC-Prozess beenden. So löschen Sie einen Vorfall 1. Klicken Sie auf die Registerkarte Vorfälle. 2. Klicken Sie auf Vorfälle > Vorfallsansichts-Manager anzeigen oder klicken Sie auf die Schaltfläche Vorfallsansichts-Manager anzeigen.
Registerkarte „iTRAC™“ HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. iTRAC (Workflow) umfasst die Automatisierung von Prozeduren und die Möglichkeit, auf Vorfälle zu reagieren. Sentinel stellt ein iTRAC-Management-System bereit, das die Automatisierung von Prozeduren umfasst. An iTRAC ist das Aktivitäts-Framework von Sentinel gebunden.
Schablonen-Manager iTRAC ermöglicht den Benutzern das Erstellen neuer Schablonen, das Bearbeiten der Vorgangs- und Aktivitätsattribute einer bestehenden Schablone sowie das Löschen von Schablonen über das Schablonen-Manager-Fenster auf der Registerkarte „iTRAC“. Der Schablonen-Manager kann durch Klicken auf den Schablonen-Manager-Knoten im Navigationsbaum auf der Registerkarte „iTRAC“ geöffnet werden. Standardschablonen iTRAC wird mit vier Standardschablonen bereitgestellt, die automatische und manuelle Aktivitäten umfassen.
Seite 95
Ändern vorhandener Schablonen Wenn Sie einen Vorgang ändern, können Sie auch die Vorgangsattribute oder die Attribute der Aktivitäten innerhalb des Vorgangs ändern: Die folgenden Vorgangsattribute können geändert werden: der Name der Zeitraum für die Zeitüberschreitung bzw. ihre Aktivierung/Deaktivierung die Beschreibung Ändern von Vorgangsattributen 1.
Seite 96
3. Markieren Sie eine vorhandene Schablone, klicken Sie mit der rechten Maustaste und klicken Sie dann auf Anzeigen. 4. Die Schablone wird in einem separaten Fenster angezeigt. 5. Zum Bearbeiten doppelklicken Sie auf eines der Symbole für eine manuelle Aktivität in der Schablone und nehmen Sie die gewünschten Änderungen vor.
Löschen von Schablonen 1. Klicken Sie auf die Registerkarte iTRAC. 2. Klicken Sie im Navigator auf iTRAC-Verwaltung > Schablonen-Manager. 3. Markieren Sie eine vorhandene Schablone, klicken Sie mit der rechten Maustaste und klicken Sie dann auf Löschen. 4. Klicken Sie im Popup-Fenster zum Löschen der Schablone auf Ja. Vorgangsausführung Bei der Vorgangsausführung handelt es sich um den Zeitraum, während dem der Vorgang ausgeführt wird und Vorgangsinstanzen erstellt und verwaltet werden.
Instanziieren eines Vorgangs Ein iTRAC-Vorgang kann durch Verknüpfen eines Vorfalls mit einem iTRAC-Vorgang auf dem iTRAC-Server instanziiert werden. Dies ist auf drei verschiedene Weisen möglich: Verknüpfung eines iTRAC-Vorgangs mit einem Vorfall zum Zeitpunkt der Vorfallerstellung Verknüpfung eines iTRAC-Vorgangs mit einem Vorfall nach der Vorfallerstellung Verknüpfung eines iTRAC-Vorgangs mit einem Vorfall durch Korrelation Detaillierte Informationen zum Verknüpfen eines Vorgangs mit einem Vorfall finden Sie im Kapitel über die Registerkarte „Vorfälle“.
Die Arbeitsliste kann über jede Registerkarte der Sentinel-Benutzeroberfläche angezeigt werden. Die Arbeitselemente sind nach Vorgang und Aktivität gruppiert. Fett formatierte Arbeitselemente sind jene Arbeitselemente, die noch nicht vom Benutzer akzeptiert wurden. Die Arbeitsliste ermöglicht den Benutzern die Interaktion mit den einzelnen Arbeitselementen.
Das oben abgebildete Dialogfeld mit Arbeitselementdetails enthält die folgenden Informationen: Arbeitselementdetails Arbeitselementvariablen Aktivitätsbeschreibung Vorgangsbeschreibung Die Interaktion mit einem Arbeitselement umfasst drei Schritte: Akzeptieren eines Arbeitselements Aktualisieren der Variablen im Arbeitselement Abschließen des Arbeitselements Akzeptieren eines Arbeitselements Ein Arbeitselement kann allen Benutzern einer Funktion oder auch nur einem einzelnen Benutzer zugewiesen werden.
Aktualisieren der Variablen im Arbeitselement Der iTRAC-Server verwendet Arbeitselemente, um in Form von Arbeitselementvariablen Informationen von den Benutzern zu erhalten, auf deren Grundlage die nächste Aktivität innerhalb eines Vorgangs bestimmt wird. Der Benutzer kann erst auf die Variablen zugreifen, nachdem er das Arbeitselement akzeptiert hat. iTRAC unterstützt schreibgeschützte Variablen und aktualisierbare Variablen.
Vorgangsmonitor Die Funktion „Vorgangsmonitor“ dient zur Überwachung des Fortschritts eines Vorgangs. Während die Vorgangsinstanz eine Aktivität nach der anderen ausführt, kann der Benutzer den Fortschritt durch Klicken auf die Schaltfläche „Aktualisieren“ anzeigen. Der Vorgangsmonitor stellt zudem eine Revisionsliste aller Aktionen bereit, die vom iTRAC- Server während der Vorgangsausführung ausgeführt wurden.
So legen Sie eine Vorgangs-Manager-Option fest 1. Klicken Sie auf die Registerkarte iTRAC. 2. Doppelklicken Sie auf einen der Vorgänge. 3. Klicken Sie auf die Schaltfläche „Optionen“. In diesem Fenster können Sie auch Folgendes festlegen: Felder... Gruppieren nach... Sortieren... Filter... Baumansicht 4.
4. Markieren Sie im Ansichtsoptions-Manager einen Vorgang, klicken Sie mit der rechten Maustaste und wählen Sie Vorgang starten oder Vorgang beenden. Erstellen einer Aktivität unter Verwendung des Aktivitäts-Framework Erstellen einer Aktivität 1. Klicken Sie auf die Registerkarte iTRAC. 2. Klicken Sie im Navigator auf iTRAC-Verwaltung > Aktivitätsverwaltung. 3.
Interne Aktivität bei Vorfall – Ermöglicht Ihnen das Mailen und/oder Beifügen von Informationen über: Anfälligkeit für (SIP oder DIP) Bestand Advisor-Daten Zusammengesetzte Aktivität bei Vorfall – Ermöglicht Ihnen das Erstellen einer Aktivität durch das Kombinieren einer oder mehrerer bestehender Aktivitäten. Ändern einer Aktivität Ändern einer Aktivität 1.
Importieren/Exportieren einer Aktivität Aktivitäten werden als XML-Dateien exportiert. Diese Dateien können aus einem System in ein anderes importiert werden. Exportieren einer Aktivität 1. Klicken Sie auf die Registerkarte iTRAC. 2. Klicken Sie im Navigator auf iTRAC-Verwaltung > Aktivitätsverwaltung. 3. Klicken Sie mit der rechten Maustaste auf iTRAC-Aktivitäten > Import/Export- Aktivität.
Registerkarte „Analyse“ HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. Sie müssen über die entsprechende Berechtigung verfügen, um die Registerkarte „Analyse“ verwenden zu können. Wenn Ihnen diese Berechtigung nicht erteilt wurde, verfügen Sie auch nicht über die anderen Berechtigungen zur Durchführung von Aktionen mithilfe dieser Registerkarte.
2. Ändern Sie den Status von EventFileRedirectService auf „on“ (ein). <property name="status">on</property> 3. Starten Sie unter Windows den Sentinel-Service neu. Starten Sie unter UNIX den DAS-Computer neu. Ausführen eines Berichts aus Crystal Reports So erstellen Sie einen Bericht aus einer Crystal Reports-Schablone 1.
Ausführen eines in Korrelation stehenden Ereignisberichts So erstellen Sie einen in Korrelation stehenden Ereignisbericht 1. Klicken Sie auf die Registerkarte Analyse. 2. Öffnen Sie den Ordner „Verlaufsberichte“ im Analysennavigator. 3. Klicken Sie auf In Korrelation stehende Ereignisse. 4. Klicken Sie auf Analyse > Bericht erstellen oder klicken Sie auf Bericht erstellen. Ein in Korrelation stehender Ereignisbericht wird geöffnet.
Registerkarte „Advisor“ HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. Sie müssen über die entsprechende Berechtigung verfügen, um die Registerkarte „Advisor“ verwenden zu können. Wenn Ihnen diese Berechtigung nicht erteilt wurde, verfügen Sie auch nicht über die anderen Berechtigungen zur Durchführung von Aktionen mithilfe dieser Registerkarte.
Eigenständige Installation – Manuelle Aktualisierung von Advisor Manuelle Aktualisierung des Advisor-Feed 1. Wechseln Sie zur URL //advisor.esecurityinc.com/advisordata/. 2. Geben Sie Ihren Benutzernamen und Ihr Passwort ein. 3. Wechseln Sie in den Ordnern „attack“ und „alert“ jeweils zum neuesten Monat und laden Sie die ZIP-Dateien herunter.
Ihres Advisor-Servers Ändern des Passworts Ihres Advisor-Servers (Einzelplatzbetrieb) Dieses Verfahren gilt nicht für Einzelplatzbetrieb-Konfigurationen. Ändern des Passworts Ihres Advisor-Servers (Direktes Herunterladen) So ändern Sie das Passwort Ihres Advisor-Servers (Direktes Herunterladen) 1. Übermitteln Sie eine Passwortänderung an Novell Technical Support. Registerkarte „Advisor“...
2. Nachdem Sie von Novell über die erfolgte Passwortänderung unterrichtet wurden, melden Sie sich unter UNIX als esecadm bzw. unter Windows mit Administratorrechten an. 3. Wechseln Sie in das folgende Verzeichnis: Für UNIX: $ESEC_HOME/sentinel/bin Für Windows: %ESEC_HOME%\sentinel\bin 4. Geben Sie die folgenden Befehle ein: Für UNIX:...
Ändern der Datenfeed-Zeit Die standardmäßigen Datenfeed-Zeiten sind: Sechs Stunden: 01:00, 07:00, 13:00 und 19:00 Uhr Zwölf Stunden: 02:00 und 14:00 Uhr So ändern Sie die Datenfeed-Zeiten 1. Melden Sie sich bei Ihrem Advisor-Computer an (unter UNIX als esecadm). 2. So bearbeiten Sie die Datenfeed-Zeiten: Für UNIX: Verwenden Sie den Befehl „crontab“.
Registerkarte „Collectors“ HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. Sie müssen über die entsprechende Berechtigung verfügen, um die Registerkarte „Collectors“ verwenden zu können. Auf der Registerkarte „Collectors“ ist die Funktionalität des Wizard nur eingeschränkt verfügbar.
Wenn die Registerkarte angezeigt wird, enthält der Baum im linken Feld zunächst die beiden Ansichts-Manager und der Collector-Ansichts-Manager wird im rechten Feld angezeigt. Der Collector-Ansichts-Manager verfügt standardmäßig über drei vorkonfigurierte Ansichtsoptionen und Sie können neue Optionen erstellen. Die drei Ansichtsoptionen sind: „Alle Collectors“, „Collectors nach Manager“...
Überwachen eines Wizard-Host Überwachen eines Wizard-Hostt 1. Klicken Sie auf die Registerkarte „Collectors“. 2. Klicken Sie auf Ansichts-Manager für Collector Manager. 3. Wählen Sie eine Ansichtsoption durch Doppelklicken auf eine Ansicht aus oder erstellen Sie eine neue Ansicht. Ein Wizard-Host-Fenster wird angezeigt. Erstellen einer Collector-Ansicht Erstellen einer Collector-Ansicht 1.
Ändern einer Collector-Ansicht Ändern einer Collector-Ansicht 1. Öffnen Sie den Collector-Ansichts-Manager. 2. Doppelklicken Sie auf einen der Namen. 3. Klicken Sie auf Optionen. In diesem Fenster können Sie auch Folgendes festlegen: Felder... Gruppieren nach... Sortieren... Filter... Baumansicht 4. Klicken Sie auf Anwenden und dann auf Speichern. Nachfolgend sehen Sie eine Ansicht, für die „Baumansicht“...
Registerkarte „Admin“ HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. Zur Verwendung dieser Funktion müssen Sie über die entsprechende Berechtigung verfügen. Wenn Ihnen diese Berechtigung nicht erteilt wurde, verfügen Sie auch nicht über die anderen Berechtigungen zur Durchführung von Aktionen mithilfe dieser Registerkarte.
Berichtkonfigurationsoptionen für Analysen- und Advisor-Berichte So konfigurieren Sie die URL für Analysen- und Advisor-Berichte 1. Klicken Sie auf die Registerkarte Admin. 2. Klicken Sie im Admin-Navigator auf Berichtkonfiguration. 3. Klicken Sie im Fenster Berichtkonfiguration auf Bearbeiten. Geben Sie in das Feld „Analyse-URL“ die URL für den Crystal Enterprise Server ein und klicken Sie auf Aktualisieren.
Die Option für externe Browser ermöglicht Ihnen die Verwendung Ihres Standardbrowsers oder eines anderen Browsers. Wenn Sie anstelle des Standardbrowsers einen anderen Browser verwenden, muss Ihre Befehlszeile mit %URL% enden. Beispiel: C:\Programme\Internet Explorer\IEXPLORE.EXE %URL% 4. Warten Sie, bis die Schaltfläche „Aktualisieren“ grün wird, und klicken Sie dann auf Speichern.
Durch Doppelklicken auf einen Regelordner wird der Regeleditor für diesen Korrelationsregeltyp angezeigt. Für Regelordnernamen gilt eine Längenbeschränkung von 255 Zeichen für den Pfad und 255 Zeichen für den Regelnamen. Regelordner- und Regelbeschreibungen können bis zu 1024 Zeichen lang sein. Korrelationsregeltypen Beim Definieren von Regeln stehen Ihnen vier Korrelationsregeltypen zur Auswahl.
Seite 125
Editor – Erstellen von Kriterien zum Einschließen oder Ausschließen von Ereignissen auf Grundlage boolescher Algebra. Es sind zwei Bereiche verfügbar (zum Einschließen und zum Ausschließen). Geben Sie Ihre Werte hier ein. Beispiel: Grundlegende Korrelation Es kann aus vier unterschiedlichen Filtertypen ausgewählt werden. Hierbei handelt es sich Alle zulassen –...
Die Funktion zum Exportieren von Regeln als XML-Dokumente ist hilfreich, wenn Sie Novell zur Fehlersuche in Ihren Korrelationsregeln einsetzen möchten. Das Exportieren ist zudem von Vorteil, wenn Sie über einen Sentinel für die Produktion und über einen Sentinel für die Entwicklung verfügen. Korrelationsregeln können in einer Entwicklungsumgebung...
Logische Bedingungen für Korrelationsregeln Die folgenden logischen Bedingungen werden bei der Erstellung von Korrelationsregeln verwendet. Weitere Informationen zu META-Tags finden Sie im Sentinel-Referenzhandbuch für Benutzer. Bedingung Feldtyp Beschreibung Numerisch Der Inhalt des ausgewählten META-Tag ist gleich dem Zeichenkette eingegebenen Wert. Numerisch Der Inhalt des ausgewählten META-Tag ist nicht gleich Zeichenkette...
Öffnen des Fensters „Korrelationsregeln“ Das Fenster „Korrelationsregeln“ bietet Ihnen folgende Optionen: Neuer Ordner – Dient zum Erstellen eines neuen Regelordners. Neue Regel – Dient zum Erstellen einer Regel für einen Regelordner. Regelordner kopieren – Ermöglicht Ihnen das Ändern von kopierten Regelordnern oder Regeln während der Speicherung des ursprünglichen Regelordners oder der ursprünglichen Regel.
3. Der Regelassistent wird geöffnet. Wählen Sie einen der folgenden Regeltypen aus: Beobachtungsliste Grundlegende Korrelation Erweiterte Korrelation Ohne Formatvorgabe HINWEIS: Beschreibungen der Regeltypen finden Sie im Abschnitt Korrelationsregeltypen. 4. Klicken Sie auf Fertig stellen. Löschen eines Korrelationsregelordners oder einer Regel Löschen eines Korrelationsregelordners oder einer Regel 1.
Aktivieren oder Deaktivieren einer Correlation Engine Aktivieren oder Deaktivieren einer Correlation Engine 1. Öffnen Sie das Fenster „Correlation Engine-Manager“. 2. Markieren und klicken Sie mit der rechten Maustaste auf eine Correlation Engine und klicken Sie dann auf Engine aktivieren oder Engine deaktivieren. Bereitstellen von Korrelationsregeln Bereitstellen von Korrelationsregeln 1.
4. Zum Starten der Regel müssen Sie die Regel unter eine Correlation Engine verschieben. HINWEIS: Regeln werden aktiviert bereitgestellt. 5. Markieren Sie Ihre Regel unter der Correlation Engine und klicken Sie mit der rechten Maustaste auf Regel aktivieren. Serveransichten Mithilfe der Serveransichten können Sie: den Status sämtlicher Sentinel Server-Vorgänge im System überwachen Communication Server Correlation Engine...
HINWEIS: Unter Windows wird der Communication Server-Prozess (für den Kommunikationsserver) als Windows-Service ausgeführt und kann folglich über die Serveransicht nicht überwacht werden. Wenn Sie den Communication Server- Vorgang unter Windows überwachen möchten, verwenden Sie den Windows-Dienst- Manager. Der Sonic Lock Remover-Prozess ist nur unter Windows aktiviert. Wenn ein Prozess auf einem bestimmten Server nicht aktiviert ist, enthält die zugehörige Aktiviert- Spalte den Wert 0 und in der zugehörigen Status-Spalte wird NOT_INITIALIZED angezeigt.
9. Erweitern Sie die Serveransicht. Es werden alle Prozesse aufgelistet. Erstellen einer Serveransicht Erstellen einer Serveransicht 1. Klicken Sie auf die Registerkarte Admin. 2. Klicken Sie auf Serveransichten. 3. Klicken Sie auf Ansicht hinzufügen, um eine neue Ansicht zu erstellen. Geben Sie Ihren Optionsnamen ein.
4. Erweitern Sie die Serveransicht. Es werden alle Prozesse aufgelistet. 5. Wählen Sie einen Prozess aus, klicken Sie mit der rechten Maustaste, klicken Sie auf Aktionen und wählen Sie eine Funktion aus (Starten, Neu starten oder Stoppen). Filter Mithilfe von Filtern können Daten auf der Grundlage spezifischer Kriterien verarbeitet werden.
Öffentliche Filter Öffentliche Filter sind systemeigen. Öffentliche Filter können als Sicherheits- oder als Anzeigefilter verwendet werden. Sicherheitsfilter richten sich nach den Benutzerberechtigungen. Anzeigefilter bestimmen, welche Ereignisse in den Echtzeit- Tabellen, Grafiken und Diagrammen dargestellt werden. Private Filter Private Filter sind im Besitz des jeweiligen Benutzers. Private Filter sind Anzeigefilter. Sie können diese Filter freigeben, wenn Sie über die Berechtigung zum Anzeigen privater Filter verfügen.
Seite 136
Sie können Ereignisse ausschließlich an die Datenbank weiterleiten. Sie können Ereignisse an die Datenbank und an das Sentinel Control Center weiterleiten. Über das Fenster „Globale Filterkonfiguration“ können Sie: Erstellen eines globalen Filters Neuanordnen globaler Filter Löschen eines globalen Filters Erstellen eines globalen Filters Erstellen eines globalen Filters 1.
Datenbank – Die Ereignisse werden direkt an die Datenbank gesendet. Das Sentinel Control Center wird umgangen. Datenbank und GUI – Die Ereignisse werden an das Sentinel Control Center und die Sentinel Server-Datenbank gesendet. 8. Fahren Sie mit dem Hinzufügen von Filtern fort, bis Sie fertig sind. 9.
Seite 138
Hinzufügen eines Filters So fügen Sie einen öffentlichen oder privaten Filter hinzu 1. Klicken Sie auf die Registerkarte Admin. 2. Klicken Sie auf Admin > Filter-Manager oder wählen Sie Filter-Manager“ unter dem Ordner „Filterkonfiguration“ im Navigator. 3. Klicken Sie auf Hinzufügen. 4.
Seite 139
5. Geben Sie einen Filternamen ein. 6. Der Tabellen-Editor ist die Standardauswahl für das Bearbeiten von Inhalten. HINWEIS: (Optional) Sie können auch auf „Freiform-Editor verwenden“ klicken, um einen Freiform-Editor anzuzeigen. Der Freiform-Editor ermöglicht Ihnen das Erstellen komplexer Ausdrücke, die im Tabellen-Editor nicht erstellt werden können. Nachdem der Ausdruck mit dem Freiform-Editor geändert wurde, kann der Tabellen- Editor jedoch nicht mehr dafür verwendet werden.
So klonen Sie einen öffentlichen oder privaten Filter Das Klonen ist eine praktische Möglichkeit zum Duplizieren eines Filters, um die Konsistenz der Kriterien innerhalb einer Gruppe von Filtern oder Benutzern sicherzustellen. So klonen Sie einen öffentlichen oder privaten Filter 1. Öffnen Sie das Fenster „Filter-Manager“. 2.
Whois? – Führt eine ARIN Whois?-Suche für die Quellen-IP des ausgewählten Ereignisses durch. Das Fenster „Menükonfiguration“ ermöglicht Ihnen Folgendes: Hinzufügen einer Option zum Menü für die Menükonfiguration Klonen einer Menüoption für die Menükonfiguration Ändern einer Menüoption für die Menükonfiguration Anzeigen der Optionsparameter für eine Menükonfiguration Aktivieren oder Deaktivieren einer Menüoption für die Menükonfiguration Neuanordnen von Ereignismenüoptionen Löschen einer Menüoption für die Menükonfiguration...
Seite 142
Dateityp – Wenn Sie die Aktion „Befehl ausführen“ ausgewählt haben, Ihre Browsereinstellungen auf „Externen Browser verwenden“ eingestellt sind und Sie die Option „Browser verwenden“ ausgewählt haben, können Sie den Dateityp für die Ausgabe dieses Befehls festlegen. Befehlszeile/URL HINWEIS: Unter UNIX muss sich das Skript/die Anwendung oder der symbolische Link zum Skript/zur Anwendung im Verzeichnis $ESEC_HOME\sentinel\exec befinden.
Klonen einer Menüoption für die Menükonfiguration So klonen Sie eine Menüoption für die Menükonfiguration 1. Öffnen Sie das Fenster „Menükonfiguration“. 2. Wählen Sie ein Menüelement aus der Tabelle und klicken Sie auf Klonen. 3. Bearbeiten Sie im Dialogfeld „Menükonfiguration“ die folgenden Elemente: Name Beschreibung Aktion...
Aktivieren oder Deaktivieren einer Menüoption für die Menükonfiguration So aktivieren oder deaktivieren Sie eine Menüoption für die Menükonfiguration 1. Öffnen Sie das Fenster „Menükonfiguration“. 2. Wählen Sie eine Menüoption, klicken Sie mit der rechten Maustaste und wählen Sie Aktivieren oder Deaktivieren. Neuanordnen von Ereignismenüoptionen So verschieben Sie eine Ereignismenüoption nach oben oder unten 1.
Seite 145
Wenn Sie beim Einrichten einer Menükonfigurationsoption „Browser verwenden“ wählen und die Browserfunktion auf die Standardeinstellung eingestellt ist (wie oben), reagiert die Menükonfigurationsoption so, als ob das Feld „Browser verwenden“ nicht aktiviert wäre. Wenn Sie das Kontrollkästchen „Externen Browser verwenden“ aktivieren, können Sie eine der folgenden Optionen wählen: Standardbrowser verwenden –...
DAS-Statistik Diese Funktion dient zur internen Überwachung Ihres Systems. Sie ist nicht für den durchschnittlichen Benutzer gedacht. DAS-Statistik überwacht Folgendes: DAS_Binary DAS_Query DAS_rt Die Statistik ist wie folgt unterteilt: Service – Name des Dienstes, wie z. B: DAS_Query Uhrzeit – Vergangene Zeit seit der letzten Aktualisierung Num –...
Diese Informationen können hilfreich sein, da sie aufzeigen, was vor sich geht. Die Anzahl der Anforderungen ist besonders hilfreich, da Sie daraus ersehen können, wohin die Anforderungen gehen oder worauf sie sich konzentrieren. Die Zahl unter „#Wartet“ ist hilfreich, da sie zeigt, wie beschäftigt der Server ist. Diese Zahl sollte möglichst klein sein. Wenn sie groß...
Benutzerkonfigurationen Zur Verwendung dieser Funktion und zum Arbeiten im Fenster „Benutzerkonfiguration“ müssen Sie über die Benutzerberechtigung „Benutzerkonfiguration“ verfügen. Das Fenster „Benutzerkonfiguration“ ermöglicht Ihnen Folgendes: Erstellen eines Benutzerkontos Beenden einer aktiven Sitzung Ändern eines Benutzerkontos Hinzufügen einer iTRAC-Funktion Anzeigen von Benutzerkontodetails Löschen einer iTRAC-Funktion Klonen eines Benutzerkontos Details einer iTRAC-Funktion...
Sentinel-DB-Anwendungsbenutzer – Sentinel-Anwendungsbenutzername zum Herstellen der Datenbankverbindung. Öffnen des Fensters „Benutzer-Manager“ So öffnen Sie das Fenster „Benutzer-Manager“ 1. Klicken Sie auf die Registerkarte Admin. 2. Klicken Sie auf Admin > Benutzerkonfiguration. Erstellen eines Benutzerkontos HINWEIS: Um die strengen Sicherheitskonfigurationen zu erfüllen, die von Common Criteria Certification gefordert werden, benötigt Sentinel ein starkes Passwort mit folgenden Eigenschaften: 1.
Seite 150
3. Geben Sie unter „Autorisierung“ Folgendes ein: Benutzername Passwort Passwort bestätigen Sicherheitsfilter – Klicken Sie auf den Abwärtspfeil, um einen Filter auszuwählen. Das Fenster „Filterauswahl“ wird geöffnet. Markieren Sie einen Filter oder klicken Sie auf Hinzufügen, um einen Filter für dieses Benutzerkonto zu erstellen.
Ändern eines Benutzerkontos Zur Verwendung dieser Funktion müssen Sie über die Benutzerberechtigung zum Ändern von bestehenden Benutzerkonten verfügen. HINWEIS: Das esecrpt-Benutzerpasswort muss direkt in der Datenbank geändert werden. Enterprise Manager kann hierfür verwendet werden. So ändern Sie ein Benutzerkonto 1. Öffnen Sie das Fenster „Benutzer-Manager“. 2.
Beenden einer aktiven Sitzung Beenden einer aktiven Sitzung 1. Öffnen Sie das Fenster „Aktive Benutzersitzungen“. 2. Markieren Sie eine aktive Sitzung, die Sie beenden möchten. 3. Klicken Sie mit der rechten Maustaste und wählen Sie Sitzung terminieren. 4. Sie werden zur Eingabe einer Beendigungsnachricht aufgefordert: Sie dient dazu, den Benutzer darüber zu informieren, warum Sie die Sitzung beenden.
Sentinel Data Manager HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. Der Sentinel Data Manager (SDM) ist ein Tool, mit dessen Hilfe Benutzer die Sentinel- Datenbank verwalten können. Mit dem SDM können Benutzer die folgenden Vorgänge ausführen: Überwachen der Datenbank-Speicherplatzauslastung Anzeigen und Verwalten von Datenbankpartitionen...
HINWEIS: SDM für Oracle erfordert, dass Oracle Enterprise mit Partitionierung installiert ist. Starten der SDM-GUI HINWEIS: Damit Sie die SDM-GUI verwenden können, muss die Datei „configuration.xml“ auf einen Kommunikationsserver verweisen, mit dem DAS_Binary und DAS_Query ebenfalls verbunden sind. Dies ist in der Standardeinstellung der Fall, sofern der Kommunikationsserver und DAS-Prozesse ausgeführt werden.
Seite 155
Für Oracle: Für Windows: HINWEIS: Wenn Sie Ihre Verbindungseinstellungen speichern, werden diese in der lokalen Datei „sdm.connect“ gespeichert. Wenn Sie die GUI das nächste Mal starten, werden die Verbindungseinstellungen aus der Datei „sdm.connect“ neu gefüllt. Diese Datei kann beim Ausführen des SDM von der Befehlszeile verwendet werden. 7.
Partitionen Mithilfe der Registerkarte „Partitionen“ im SDM können Benutzer Datenbankpartitionen anzeigen und verwalten. So zeigen Sie Partitionen in der GUI an 1. Klicken Sie auf die Registerkarte Partitionen. 2. Wählen Sie die anzuzeigende Tabelle in der Dropdown-Liste aus. In der Tabelle „Segmente“ werden die Partitionen der zurzeit ausgewählten Datenbanktabelle angezeigt.
Seite 157
So verwalten Sie Partitionen 1. Klicken Sie auf die Registerkarte Partitionen. 2. Wählen Sie die Tabelle in der Dropdown-Liste aus. 3. Wählen Sie die Registerkarte am unteren Rand des Fensters aus, die sich auf den gewünschten Vorgang bezieht – „Hinzufügen“, „Löschen“, „Archivieren“, „Importieren“...
Registerkarte „Archivieren“ für Partitionen unter MSSQL: So importieren Sie Partitionen 1. Wählen Sie die Registerkarte Importieren für Partitionen aus. 2. Wählen Sie in der Tabelle „Segmente“ die Partition aus, in die die Daten importiert werden sollen. 3. Geben Sie das Eingabeverzeichnis an, aus dem die archivierten Daten gelesen werden.
In der Tabelle „Verwendung des Tabellenbereichs der Datenbank“ wird der Gesamtspeicherplatz angezeigt, der den einzelnen Tabellenbereichen zugewiesen ist. Zudem wird aufgeführt, welche Menge an Speicherplatz von den einzelnen Tabellenbereichen verwendet wird und welche Menge an Speicherplatz für die einzelnen Tabellenbereiche noch verfügbar (frei) ist.
Seite 160
In der Haupt-GUI von „Zuordnung“ wird eine Auflistung aller Zuordnungen angezeigt, die für das System definiert wurden. HINWEIS: Zuordnungen unter dem Systemordner können nicht bearbeitet oder gelöscht werden. Hinzufügen von Zuordnungsdefinitionen So fügen Sie eine Zuordnungsdefinition hinzu 1. Klicken Sie auf die Registerkarte Zuordnung. 2.
Seite 161
Wählen Sie die Zuordnungsdefinitionsdatei aus. Klicken Sie auf Weiter. HINWEIS: Bei Zuordnungsdateien mit mehr als 500 Zeilen werden nicht alle Zeilen im SDM angezeigt. 8. Legen Sie im Fenster „Neue Zuordnungsdefinition“ Folgendes fest: Trennzeichen (Pipe, Komma, Semikolon usw.) für Daten in den Zeilen der Quelldatei mit Zuordnungsdaten „Starten bei Reihe“...
Seite 162
Zahlenbereich – Ein Zahlenbereich (NumberRange) ist ein Bereich von Zahlen. Der Bereich 10 bis 200 beispielsweise würde als „10-200“ angegeben. Zur Verwendung der Bereichszuordungsfunktion muss eine Bereichsdefinition genau eine Schlüsselspalte enthalten, die den Typ NumberRange aufweist. Wenn andere Schlüsselspalten vorhanden sind oder die Schlüsselspalte einen anderen Typ aufweist, wird die Zuordnung vom Zuordnungsservice nicht als Bereichszuordnung angesehen.
Seite 163
9. Wenn Sie alle Parameter und Filter für die Definition konfiguriert haben, klicken Sie auf Fertig stellen. 10. Wenn Sie oben in Schritt 7 „Lokale Datei“ ausgewählt haben, werden Sie aufgefordert, die Datei in den virtuellen Ordner für Ferndateien heraufzuladen, der sich an folgendem Speicherort befindet: %ESEC_HOME%\sentinel\bin\map_data.
Seite 164
Wählen Sie zum Erstellen einer Bereichszuordnung eine einzige Spalte aus, die den Schlüssel der Zuordnung darstellen soll, und wählen Sie NumberRange als Typ der Spalte aus. Das Format der Daten in einer Spalte vom Typ NumberRange muss „m-n“ sein. Dabei ist „m“ die kleinste Zahl im Bereich und „n“...
Seite 165
Dabei wird für „CustomerVar97“ erwartet, dass ein numerischer Wert enthalten ist (oder dass ein Typ vorliegt, der in einen numerischen Wert konvertiert werden kann, z. B. eine IP- Adresse oder ein Datum). Beim Ausführen von Suchvorgängen in der Beispielbereichszuordnung erfasst der Wert in „CustomerVar97“...
Seite 166
Wenn ein Ereignis eine Ziel-IP von 10.0.1.14 (entspricht einem numerischen Wert von 167772430) enthält, ist die Ausgabe für Spalte „CustomerVar89“ im Ereignis BBB. Sentinel unterstützt die folgenden Zahlenbereiche: Bereich von negativer Zahl zu negativer Zahl (z. B. „-234--34“) Bereich von negativer Zahl zu positiver Zahl (z. B. „-234-34“) Bereich von positiver Zahl zu positiver Zahl (z.
Seite 167
Mithilfe der Bearbeitungsfunktion können Sie Folgendes ausführen: Festlegen der Trennzeichen Aktivieren bzw. Deaktivieren einer Festlegen der Startzeile der Zuordnung Spalte Umbenennen der Spalten Festlegen der Spaltenschlüssel Filtern von Spalten 4. Wenn Sie die Änderungen vorgenommen haben, klicken Sie auf OK. Löschen von Zuordnungsdefinitionen So löschen Sie eine Zuordnungsdefinition 1.
Seite 168
Aktualisieren von Zuordnungsdaten Beim Aktualisieren können Sie die Quelldatei mit Zuordnungsdaten einer Zuordnung auf dem DAS-Server durch eine andere Datei ersetzen. Die neue Quelldatei mit Zuordnungsdaten muss dasselbe Trennzeichen, dieselbe Anzahl von Spalten und dieselbe Gesamtstruktur wie die vorhandene Quelldatei mit Zuordnungsdaten aufweisen, damit die Zuordnung nach der Aktualisierung ordnungsgemäß...
4. Wählen Sie die neue Quelldatei mit Zuordnungsdaten aus, indem Sie auf die Schaltfläche Durchsuchen klicken und die Datei mit den Daten für die neue Zuordnung auswählen. Nach dem Auswählen der Datei werden die Daten aus der Quelldatei mit Zuordnungsdaten auf der Registerkarte Neu angezeigt. Die zu ersetzenden Zuordnungsdaten werden auf der Registerkarte „Aktuell“...
Seite 170
Wenn eine Ereigniszuordnung definiert ist, wird diese im gesamten System auf alle Ereignisse aller Collectors angewendet. Darüber hinaus verteilt Sentinel automatisch Zuordnungsdaten auf alle Prozesse, die Ereigniszuordnungen ausführen, und hält die Zuordnungsdaten in diesen Prozessen immer auf dem aktuellen Stand. Damit bietet die Ereigniszuordnung eine umfassende Unterstützung für Unternehmensbereitstellungen.
Seite 171
SourceAssetName SourceAssetName SourceAssetName Sie können mehrere Spalten als Schlüssel festlegen, wenn die Zuordnung keine Bereichszuordnung sein soll (Bereichszuordnungen können nur eine Schlüsselspalte enthalten und der Spaltentyp muss auf „NumberRange“ festgelegt sein). Beispielsweise weist die AttackId-Kennung den Namen „DeviceName“ auf (Name des Sicherheitsgeräts), wenn der Spaltentyp auf „String“...
Seite 172
3. Klicken Sie auf Verweis von Zuordnung, um die Ereigniskennung so zu konfigurieren, dass sie mit Daten aus einer Zuordnung gefüllt wird. Klicken Sie auf Extern, um den Wert beizubehalten, der vom Collector in die Ereigniskennung geladen wurde (falls zutreffend). 4.
Seite 173
„_EXIST_“ – Dies ist eine spezielle Zuordnungsspalte, die in jeder Zuordnung vorhanden ist. Wenn diese Zuordnungsspalte ausgewählt wird, wird eine „1“ in die Ereigniskennung eingefügt, wenn sich der Schlüssel in den Zuordnungsdaten befindet. Wenn der Schlüssel nicht in den Zuordnungsdaten enthalten ist, wird eine „0“...
Seite 174
8. Wenn Sie die Ereigniszuordnung einer anderen Ereignisspalte bearbeiten möchten, wiederholen Sie die obigen Schritte. Achten Sie darauf, dass Sie nach dem Bearbeiten der Ereigniszuordnung der einzelnen Ereignisspalten immer auf Anwenden klicken. 9. Klicken Sie auf Speichern. HINWEIS: Wenn Sie auf Speichern klicken, werden die Änderungen auf dem Server gespeichert.
2. Markieren Sie einen Ereignisspalteneintrag. 3. Geben Sie im Feld „Label“ einen neuen Wert für die Ereignisspalte ein. 4. Klicken Sie auf Apply (Anwenden). HINWEIS: Wenn Sie auf Anwenden klicken, werden die an der zurzeit ausgewählten Ereigniskennung vorgenommenen Änderungen in einem temporären Puffer gespeichert.
Seite 176
Die Aggregation ist der Prozess, bei dem die laufende Anzahl für alle aktiven Zusammenfassungen als Ereignisfluss im gesamten System berechnet wird. Diese laufenden Zählungen werden in der Datenbank in den entsprechenden Zusammenfassungstabellen gespeichert. Vorteile von Zusammenfassungen: Stark reduzierte Menge von Ereignisdaten Angepasste Dimensionen, die Drill-down-, Rollup- und Drill-across-Vorgänge für Ereignisdaten ermöglichen Wesentlich schnellere Ausführung von Zusammenfassungsberichten mit vorab...
Seite 177
Name der Zusammenfassung Tabelle/Beschreibung EventSevDestEvtSummary EVT_DEST_EVT_NAME_SMRY_1 In dieser Zusammenfassung wird die Ereignisanzahl nach Ziel-IP, Zielereignisbestand, Taxonomie, Ereignisname, Schweregrad und Ereigniszeit pro Stunde zusammengefasst. EventSevDestPortSummary EVT_PORT_SMRY_1 In dieser Zusammenfassung wird die Ereignisanzahl nach Zielport, Schweregrad und Ereigniszeit pro Stunde zusammengefasst. EventSevSummary EVT_SEV_SMRY_1 In dieser Zusammenfassung wird die Ereignisanzahl nach Schweregrad und Ereigniszeit pro Stunde...
Seite 178
Überprüfen der Gültigkeit einer Zusammenfassung 1. Klicken Sie auf die Registerkarte Bericht für Daten. 2. Wählen Sie Status aus. 3. Wählen Sie die abzufragende(n) Zusammenfassung(en) aus. 4. Wählen Sie ein Zeitintervall aus. 5. Klicken Sie auf Diagramm anzeigen. 6. Die grünen Balken verweisen darauf, dass die Zusammenfassung für den betreffenden Zeitrahmen vollständig ist.
Seite 179
HINWEIS: Weitere Informationen zum Vervollständigen von Zusammenfassungen finden Sie im Abschnitt Ausführen von Ereignisdateien für eine Zusammenfassung. Abfragen der Ereignisdateien für eine Zusammenfassung 1. Klicken Sie auf die Registerkarte Bericht für Daten. 2. Wählen Sie Status aus. 3. Wählen Sie die abzufragende(n) Zusammenfassung(en) aus. 4.
Ausführen von Ereignisdateien für eine Zusammenfassung 1. Klicken Sie auf die Registerkarte Bericht für Daten. 2. Wählen Sie Status aus. 3. Wählen Sie die abzufragende(n) Zusammenfassung(en) aus. 4. Wählen Sie ein Zeitintervall aus. 5. Click Show Event. 6. Die erforderlichen Ereignisdateien zum Vervollständigen der Zusammenfassung werden in einem Listenformat angezeigt.
Seite 181
Die Funktion zum Speichern von Verbindungsinformationen speichert neben dem (mit dem in „configuration.xml“ angegebenen Keystore) verschlüsselten Passwort die folgenden Verbindungsdaten in der angegebenen Datei. Für diesen Befehl werden folgende Flags verwendet: -action saveConnection -server <Oracle oder MSSQL> -host <IP-Adresse des Datenbank-Host oder Hostname für Verbindung> -port <Datenbank-Portnummer für Verbindung [Standard bei Oracle: 1521/Standard bei SQL Server: 1433]>...
Im folgenden Beispiel werden Verbindungen für einen Host mit der IP-Adresse 172.16.0.36 und Port 1433 mit dem Datenbanknamen „esec_51“ für die Windows- Authentifizierung gespeichert. Beispiel für SQL Server (Windows-Authentifizierung): sdm -action saveConnection -server mssql -host 172.16.1.3 -port 1433 -database esec_51 –winAuth - connectFile %ESEC_HOME%\sdm\sdm.connect Dadurch werden die Verbindungsdetails in der Datei „sdm.connect“...
Seite 183
Im folgenden Beispiel werden vom System 10 Partitionen (eine Partition pro Tag; 1 DAY = 1 * 10) hinzugefügt. ./sdm -action partitionConfig -freq 1D -days 10 - connectFile sdm.connect Im folgenden Beispiel wird vom System eine Partition (eine Partition in sieben Tagen; 7 days = 1 * 10/7) hinzugefügt.
Seite 184
Beispiel für SQL Server: sdm -action addPartitions -connectFile sdm.connect Verwerfen von Partitionen Durch diese Aktion („dropPartition“) werden alle Partitionen aus den folgenden Tabellen verworfen, die älter sind, als im Flag „keepDays“ festgelegt ist: Oracle: EVENTS CORRELATED_EVENTS EVT_DEST_EVT_NAME_SMRY_1 EVT_DEST_SMRY_1 EVT_DEST_TXNMY_SMRY_1 EVT_PORT_SMRY_1 EVT_SEV_SMRY_1 EVT_SRC_SMRY_1 SQL Server:...
Seite 185
Ausführen von „dropPartition“ 1. Führen Sie diesen Befehl wie folgt aus: sdm -action dropPartitions [-forceDelete <false>] - keepDays <Anzahl> -connectFile <Pfad zu dem durch „saveConnection“ gespeicherten Dateinamen> In den folgenden Beispielen werden alle Partitionen verworfen, die älter als 30 Tage sind, wobei sichergestellt wird, dass alle Partitionen archiviert sind.
Für diesen Befehl werden folgende Flags verwendet: -action startGui -tableName <Name einer der oben aufgeführten Tabellen> -connectFile <Pfad zu dem durch „saveConnection“ gespeicherten Dateinamen> So zeigen Sie Partitionszusammenfassungen an 1. Führen Sie diesen Befehl wie folgt aus: sdm -action viewPartitions -tableName <Tabellenname> – connectFile <Pfad zu dem durch „saveConnection“...
Seite 187
Ausführen von „archiveConfig“ 1. Führen Sie diesen Befehl wie folgt aus: sdm -action archiveConfig -dirPath <Pfad zu dem Verzeichnis, in das die archivierten Dateien geschrieben werden sollen> -keepDays <Beibehaltung in Tagen> -fileSize <maximale Größe der einzelnen archivierten Dateien, angegeben in KB, MB oder GB> -connectFile <Pfad zu dem durch „saveConnection“...
Seite 188
Ausführen von „archiveData“ 1. Führen Sie diesen Befehl wie folgt aus: sdm -action archiveData -connectFile <Pfad zu dem durch „saveConnection“ gespeicherten Dateinamen> Beispiel für Oracle: Im folgenden Beispiel werden Ereignisse, deren benutzerdefinierte und reservierte Werte sowie korrelierte Ereignisse aus den Tabellen EVENTS, EVT_RESERVED_VALUES, EVT_CUSTOM_VALUES und ASSOCIATIONS entsprechend dem in der Archivierungskonfiguration („archiveConfig“) festgelegten Wert archiviert..
Bei dieser Aktion werden keine Partitionen verworfen, die nicht archiviert wurden. Wenn Sie nicht archivierte Partitionen löschen möchten, muss die optionale Flagge forceDelete angegeben sein und den Wert „true“ (wahr) aufweisen. Bei Verwendung von „forceDelete“ gilt Folgendes: „falsch“ oder Es werden nur die Partitionen verworfen, die älter sind als in „keepDays“ nicht festgelegt, sowie die archivierten Partitionen.
Seite 190
HIST_CORRELATED_EVENTS Für diesen Befehl werden folgende Flags verwendet: -action filesToImport -startDate <MM/TT/JJJJ hh24:min:ss> -endDate <MM/TT/JJJJ hh24:min:ss> -connectFile <Pfad zu dem durch „saveConnection“ gespeicherten Dateinamen> HINWEIS: „hh24“ sind die im 24-Stunden-Format dargestellten Stunden. 1:15:00 p.m. steht beispielsweise für 13:15:00, und 3:00:00 a.m. stellt 03:00:00 dar. Ausführen von „filesToImport“...
Seite 191
Importieren von Daten Mit dieser Aktion („importData“) werden Daten aus dem angegebenen Zeitraum in die folgenden unterstützten Tabellen importiert: Oracle: HIST_EVENTS HIST_CORRELATED_EVENTS SQL Server: HIST_EVENTS HIST_CORRELATED_EVENTS Wenn die Daten bereits importiert wurden oder für den angegebenen Zeitraum keine archivierten Daten gefunden wurden, wird eine entsprechende Meldung zurückgegeben. Die Anwendung importiert die einzelnen Dateien in eine Tabelle und erstellt die Verlaufsansicht für alle historischen Tabellen.
Seite 192
Beispiel für SQL Server: sdm -action importData -dirPath c:\tmp -startDate 09/25/2003 00:00:00 -endDate 09/26/2003 00:00:00 -connectFile sdm.connect Im folgenden Beispiel werden die archivierten Dateien mit den Daten aus dem Zeitraum zwischen „09/25/2003 08:30:00“ (25. September, 08:30 Uhr) und „09/26/2003 20:00:00“ (26.
Im folgenden Beispiel werden die importierten Daten aus dem angegebenen Zeitraum aus den oben aufgeführten Tabellen gelöscht. Beispiel für Oracle: ./sdm -action dropImported -startDate 09/25/2003 00:00:00 -endDate 09/26/2003 00:00:00 -connectFile sdm.connect Beispiel für SQL Server: sdm -action dropImported -startDate 09/25/2003 00:00:00 -endDate 09/26/2003 00:00:00 -connectFile sdm.connect Verwaltung von Tabellenbereichen...
Verwenden des von Novell bereitgestellten Skripts für die automatische Verwaltung (nur Windows) Novell hat eine Stapeldatei entwickelt, die so geplant werden kann, dass viele der Verwaltungsvorgänge von SDM automatisch ausgeführt werden können. HINWEIS: Wenn Ihr Computer keinen Zugriff auf DAS_Binary und DAS_Query hat, kann anstelle der SDM-GUI die SDM-Befehlszeile verwendet werden.
Dieses Verfahren kann nur unter Windows ausgeführt werden. Vergewissern Sie sich, dass während der Ausführung von Vorkonfiguration und Konfiguration folgende Aufgaben ausgeführt werden: Vergewissern Sie sich, dass „sdm.connect“ entweder über die SDM-GUI oder über die Befehlszeile initialisiert wird. Vergewissern Sie sich, dass das Archivverzeichnis existiert. Vergewissern Sie sich, dass die Tage für „achiveConfig“...
Seite 196
2. Führen Sie diesen Befehl wie folgt aus: sdm -action archiveConfig -dirPath <Verzeichnispfad, in den die archivierten Dateien geschrieben werden sollen> -keepDays <Beibehaltungsdauer in Tagen> - connectFile <Pfad zu dem durch “saveConnection” gespeicherten Dateinamen> Im folgenden Beispiel werden alle Daten, die älter als 30 Tage sind, im Verzeichnis „c:\SDM_archive“...
Ausführen von „deleteData“ 1. Führen Sie diesen Befehl wie folgt aus: sdm -action deleteData -keepDays <Beibehaltungsdauer in Tagen> -connectFile <Pfad zu dem durch „saveConnection“ gespeicherten Dateinamen> Im folgenden Beispiel werden die Partitionen aus Tabellen verworfen, die älter als 30 Tage sind. Dabei wird sichergestellt, dass alle verworfenen Partitionen archiviert wurden.
Seite 198
8. Geben Sie einen Benutzer ein, für den der Task ausgeführt werden soll. Bei dem Benutzer kann es sich nicht um ein lokales Systemkonto handeln. Er muss als bestimmter Benutzer ausgeführt werden. Klicken Sie auf Weiter. 9. Klicken Sie auf Fertig stellen, um den Vorgang als geplanten Task fertig zu stellen. 10-46 Sentinel-Benutzerhandbuch...
Dienstprogramme Starten und Beenden des Sentinel Server und des Collector Manager – UNIX HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. Starten des UNIX Sentinel Server Beim Starten des Sentinel Server unter UNIX wird auch der Kommunikationsserver gestartet. Starten des UNIX Sentinel Server 1.
Beenden des UNIX Collector Manager Beenden des UNIX Collector Manager 1. Wechseln Sie als Benutzer „esecadm“ in das Verzeichnis „$WORKBENCH_HOME“. 2. Führen Sie den folgenden Befehl aus: ./agent-manager.sh stop Starten und Beenden des Sentinel Server und des Collector Manager – Windows Je nach Konfiguration der Installation können bis zu drei Sentinel-Services auf dem Computer ausgeführt werden.
5. Klicken Sie mit der rechten Maustaste und wählen Sie Starten aus oder klicken Sie auf der Symbolleiste auf die Schaltfläche zum Starten. Beenden des Sentinel Server für Windows Beenden des Windows Sentinel Server 1. Klicken Sie auf Start > Einstellungen > Systemsteuerung. 2.
stop_container.bat Dieses Skript startet die folgenden Container neu: stop_container.sh DAS_Aggregation DAS_RT DAS_iTRAC DAS_Binary DAS_Query sentinel.sh Dieses Skript beendet bzw. startet den Sentinel Server. Weitere Informationen finden Sie unter Starten des UNIX Sentinel Server bzw. Beenden des UNIX Sentinel Server. Entfernen der Kommunikationsserver-Sperrdateien Bei einem nicht ordnungsgemäßen Herunterfahren kann der Kommunikationsserver gesperrt werden.
Starten des Kommunikationsservers im Konsolenmodus Diese Skripts starten den Kommunikationsserver in der Befehlszeile im Konsolenmodus. Diese Skripts sind hilfreich beim Debuggen des Kommunikationsservers, wobei Sie nicht die übrigen Teile von Sentinel Server ausführen müssen. Es wird davon abgeraten, diese Skripts während des normalen Betriebs zu verwenden (befolgen Sie stattdessen die Anweisungen unter Starten des UNIX Sentinel Server...
Beenden des Kommunikationsservers (UNIX) 1. Melden Sie sich als Benutzer „esecadm“ an. 2. Wechseln Sie in das folgende Verzeichnis: $ESEC_HOME/sentinel/scripts 3. Geben Sie Folgendes ein: ./stop_broker.sh Neustarten von Sentinel-Containern Diese Skripts starten die unten aufgelisteten Container neu: Das Skript sendet eine Meldung an den angegebenen Dienst, in der dieser zum Herunterfahren angewiesen wird.
3. Geben Sie Folgendes ein: ./stop_container <Hostcomputer> <Containername> Beispiel: ./stop_container localhost DAS_RT Versionsinformationen Sentinel Server-Versionsinformationen Sentinel Server verfügt über eine Befehlszeilenoptionen, mit der die Versionsinformationen für die folgenden Prozesse angezeigt werden können: watchdog rulelg_checker correlation_engine data_synchronizer query_manager Abrufen von Sentinel-Versionsinformationen (UNIX) 1.
4. Wählen Sie im Bereich „Elementname“ „Produktversion“ aus. Die Versionsnummer der Datei wird im Bereich „Wert“ angezeigt. Sentinel-Versionsinformationen für JAR-Dateien Abrufen von Sentinel-Versionsinformationen für JAR-Dateien 1. Melden Sie sich beim Sentinel Server als „user“ an: Für UNIX: esecadm Melden Sie sich unter Windows als Benutzer mit entsprechenden Rechten für Sentinel Server an.
Seite 207
Die folgenden Eigenschaften sind in „execution.properties“ enthalten: mail.authentication.user=<domain\\user> correlated events retry wait=5000 mail.smtp.host=<SMTP_HOST> Der SMTP-Host, über den Email- Nachrichten gesendet werden. mail.events.max=1000 Die maximale Anzahl der Ereignisse, die in einer Email gesendet werden, die automatisch von der Correlation Engine generiert wird. Das Ziel besteht darin, die Größe der Emails für korrelierte Ereignisse zu beschränken, die über eine große Menge von Auslöseereignissen...
Sentinel mail property has been configured correctly to send emails Aktualisieren des Lizenzschlüssels Wenn Ihr Sentinel-Lizenzschlüssel abgelaufen ist und Novell einen neuen Lizenzschlüssel ausgestellt hat, führen Sie das softwarekey-Programm aus, um Ihren Lizenzschlüssel zu aktualisieren.
Schnellstart HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. Dieses Kapitel behandelt die Schnellstartverfahren für: Sicherheitsanalysten Berichtsanalyst Administratoren Folgende Themen werden erläutert: Active Views™ Exploit-Erkennung Bestandsdaten Ereignisabfrage Analyseberichte über Crystal Reports Allgemeine Korrelation Sicherheitsanalysten HINWEIS: Es wird vorausgesetzt, dass Ihr Sicherheitsadministrator oder Sie selbst die erforderlichen Filter erstellt und die erforderlichen Collectors für Ihr System...
2. Klicken Sie auf Fertig stellen. Wenn Sie über ein aktives Netzwerk verfügen, wird ein ähnliches Fenster angezeigt wie unten dargestellt: HINWEIS: Zum Anzeigen eines 3D-Diagramms ohne Echtzeitereignisse klicken Sie auf den Abwärtspfeil für „Ereignisse anzeigen?“ und wählen Sie Nein. Exploit-Erkennung Zum Anzeigen von Ereignissen, die auf eine mögliche Ausnutzung hinweisen, müssen Sie über Folgendes verfügen:...
Zum Anzeigen von Ereignissen, die eine mögliche Ausnutzung aufzeigen, erstellen Sie eine aktive Ansicht mit einem Filter, bei dem die Anfälligkeit 1 entspricht. Wenn Sie über Nmap verfügen und den Nmap Collector ausführen, können Sie Bestandsinformationen zum ausgenutzten Bestand oder zu einem anderen Bestand anzeigen. Weitere Informationen zur Funktionsweise der Exploit-Erkennung und zu den unterstützten Intrusion Detection-Systemen und Anfälligkeits-Absuchprogrammen finden Sie in Kapitel 1 –...
Seite 214
So führen Sie eine Ereignisabfrage durch 1. Klicken Sie auf Ereignisabfrage (Lupensymbol) und dann auf den Abwärtspfeil des Felds „Filter“. 2. Klicken Sie auf Hinzufügen und geben Sie als Filternamen „telnet SIP 189_168_10_22“ ein. Geben Sie in das Feld unter „Filter“ Folgendes ein: SourceIP = 189.168.10.22 Schweregrad = 5 EventName = Attempted_telnet...
Berichtsanalyst HINWEIS: Es wird vorausgesetzt, dass Ihr Sicherheitsadministrator Ihren Crystal Enterprise-Webserver konfiguriert und eine Liste der verfügbaren Berichte veröffentlicht hat. Registerkarte „Analyse“ Die Registerkarte „Analyse“ ermöglicht Ihnen das Erstellen von Verlaufsberichten. Verlaufs- und Anfälligkeitsberichte werden auf einem Crystal-Webserver veröffentlicht. Sie werden direkt mit der Sentinel-Datenbank ausgeführt.
5. Sie können diese Datei als Word-, PDF-, RTF- oder Excel-Datei oder als Crystal Report exportieren, indem Sie auf Exportieren (Umschlag) klicken. Ereignisabfrage Ähnlich wie ein Sicherheitsanalyst können Sie auf der Registerkarte „Analyse“ eine Ereignisabfrage durchführen, wenn Ihre Berichte ein oder mehrere Ereignisse von Interesse enthalten.
Seite 217
Wählen Sie Und. Schweregrad = 5 SensorType = H DestinationIP = 189.168.10.23 5. Klicken Sie auf Speichern. Markieren Sie Ihren Filter und klicken Sie auf Auswählen. 6. Klicken Sie auf Weiter, geben Sie für „Wenn Bedingung erfüllt ist“ den Wert 4 und in den Bereich „Schwellenwert und Gruppierungskriterien“...
Seite 218
Klicken Sie mit der rechten Maustaste auf das korrelierte Ereignis und wählen Sie Auslöseereignisse anzeigen, um zu sehen, wie viele Telnet-Ereignisse (es können mehr als 4 sein) diese Korrelationsregel ausgelöst haben. 12-8 Sentinel-Benutzerhandbuch...
Doppelte Benutzerobjekte Wenn ein unerwartetes zweites aktives Benutzerobjekt vorhanden ist (dies ist nicht zulässig), wird das folgende Ereignis generiert. Dies ist ein interner Fehler. Wert Schweregrad Ereignisname TooManyActiveUsers Ressource UserAuthentication Teilressource Authenticate Meldung Error in user table: Multiple users with the name <name>...
Angemeldeter Benutzer Beim Anmelden eines Benutzers wird das folgende interne Ereignis generiert. Wert Schweregrad Ereignisname UserLoggedIn Ressource UserSessionManager Teilressource User Meldung User <user> with OS name <osName> at <IP> logged in; currently <num> active users (Benutzer <Benutzer> mit Betriebssystemname <OSName> an <IP> hat sich angemeldet;...
Ereignis Fehler beim Verschieben von abgeschlossener Datei Wenn eine Ereignisdatei abgeschlossen wurde, wird sie in das Ausgabeverzeichnis verschoben. Wenn dieser Verschiebevorgang nicht erfolgt, wird das folgende interne Ereignis generiert. Wert Schweregrad Ereignisname MoveArchiveFileFailed Ressource <DAS-Name> Teilressource ArchiveFile Meldung Error moving completed archive file <fname> to <dir>...
Fehler beim Schreiben in Archivdatei Wenn das Öffnen einer Archivdatei zum Speichern der Ereignisse für die Aggregation nicht erfolgt, wird das folgende interne Ereignis generiert. Wert Schweregrad Ereignisname WriteArchiveFileFailed Ressource <DAS-Name> Teilressource ArchiveFile Meldung Error writing newly received events to aggregation archive file <fname>...
Einfügen von Ereignissen wird fortgesetzt Wenn nach einer vorübergehenden Unterbrechung mit dem Einfügen von Ereignissen fortgefahren wird, wird das folgende Ereignis gesendet. Wert Schweregrad Ereignisname EventInsertionResumed Ressource EventSubSystem Teilressource Events Meldung Event insertion has resumed after being blocked (Einfügen von Ereignissen wird nach vorübergehender Unterbrechung fortgesetzt) Speicherplatz der Datenbank hat angegebenen Zeitschwellenwert erreicht...
Wert Meldung Tablespace <string> has current size of <num> MB with a max size of <num> MB and has reached the percentage threshold of <num> % (Tabellenbereich <Zeichenkette> hat eine aktuelle Größe von <n> MB bei einer maximalen Größe von <n> MB und der prozentuale Schwellenwert von <n>...
Zuordnungsservice Fehler beim Initialisieren von Zuordnung mit ID Dieses interne Ereignis wird Client-seitig vom Zuordnungsservice generiert (dem Service, der Bestandteil des Collector Manager ist). Dieser Fehler wird generiert, wenn der Collector Manager versucht, eine nicht vorhandene Zuordnung abzurufen. Dies sollte nicht vorkommen, kann jedoch der Fall sein, wenn Zuordnungen erstellt und gelöscht werden.
Aktualisieren von Zuordnung von Server Dieses interne Ereignis wird Client-seitig vom Zuordnungsservice generiert (dem Service, der Bestandteil des Collector Manager ist). Wenn der Collector Manager eine Anweisung zum Aktualisieren der Zuordnung erhält, weil diese selbst oder deren Definition geändert wurde, wird ein internes Ereignis gesendet.
Wert Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Error refreshimg map <mapName>: <exc> (Fehler beim Aktualisieren von Zuordnung <Zuordnung>: <Ausnahme>) Laden von großer Zuordnung Dieses interne Ereignis ist ein Informationsereignis, das vom Zuordnungsservice gesendet wird. Damit wird darüber informiert, dass eine große Zuordnung in den Collector Manager geladen wurde.
TimedoutWaitingForCallback Wenn der Collector Manager eine Zuordnung aktualisieren muss, sendet er eine Anforderung an das Back-End. Diese Anforderung enthält einen Rückruf. Das Back-End generiert die Zuordnung und sendet diese anschließend mithilfe des Rückrufs an den Collector Manager. Wenn der Eingang der Antwort zu lange dauert (länger als 10 Minuten), sendet der Collector Manager eine zweite Anforderung und die erste Anforderung wird als verloren gegangen angesehen.
OutOfSyncDetected Dieses Ereignis wird gesendet, wenn der Zuordnungsservice feststellt, dass eine Zuordnung veraltet ist. Der Zuordnungsservice plant automatisch eine Aktualisierung. Wert Schweregrad Ereignisname OutOfSyncDetected Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Map <mapName> detected the map data is out- of-sync, probably due to a missed update notification--scheduling a refresh (Zuordnung <Zuordnung>...
Ereignisrouter wird initialisiert Dieses interne Ereignis wird gesendet, wenn die Initialisierung eines Ereignisrouters gestartet wird. Die Initialisierung des Ereignisrouters wird gestartet, wenn dieser eine Verbindung mit dem Back-End (DAS Query) hergestellt hat. Wert Schweregrad Ereignisname EventRouterInitializing Ressource AgentManager Teilressource EventRouter Meldung Event router is initializing in <mode>...
Wert Schweregrad Ereignisname EngineRunning Ressource CorrelationEngine Teilressource CorrelationEngine Meldung Correlation Engine is processing events (Die Correlation Engine verarbeitet Ereignisse) Correlation Engine wird angehalten Dieses Ereignis wird gesendet, wenn die Correlation Engine vom ausgeführten in den angehaltenen Zustand wechselt. Wert Schweregrad Ereignisname EngineStopped Ressource...
Regelbereitstellung wurde geändert Dieses Ereignis wird gesendet, wenn eine Engine erfolgreich eine Regelbereitstellung neu lädt. Diese Meldung wird ungeachtet des Ausführungszustands der Engine gesendet. Wert Schweregrad Ereignisname DeploymentModified Ressource CorrelationEngine Teilressource Deployment Meldung Deployment <name> modified (Bereitstellung <Name> wurde geändert) WatchDog Gesteuerter Prozess wurde gestartet Watchdog wird als Service ausgeführt.
Watchdog-Prozess wurde gestartet Beim Starten des Watchdog-Prozesses wird das folgende interne Ereignis generiert. Wert Schweregrad Ereignisname ProcessStart Ressource WatchDog Teilressource WatchDog Meldung WatchDog Service Starting (WatchDog-Service wird gestartet) Watchdog-Prozess wurde beendet Beim Beenden des Watchdog-Prozesses wird das folgende interne Ereignis generiert. Wert Schweregrad Ereignisname...
Permanenter Prozess wurde beendet Die Collector Engine sendet dieses Ereignis, wenn der Connector des permanenten Prozesses feststellt, dass sein gesteuerter Prozess beendet wurde. Wert Schweregrad Ereignisname PersistentProcessDied Ressource AgentManager Teilressource AgentManager Meldung Persistent Process on port <port id> has died (Permanenter Prozess an Port <Port-ID>...
Active Views Active View wurde erstellt DAS_Binary sendet dieses Ereignis, wenn eine Active View erstellt wird. Wert Schweregrad Ereignisname RtChartCreated Ressource RealTimeSummaryService Teilressource ChartManager Meldung Creating new Active View with filter <filter> and attribute <attribute> for users with security filter <security filter>. Currently <n> Active View(s) Collecting.
Inaktive Active View entfernt DAS_Binary sendet dieses Ereignis, wenn eine nicht permanente Active View wegen Inaktivität entfernt wird. Wert Schweregrad Ereignisname RtChartInactiveAndRemoved Ressource RealTimeSummaryService Teilressource ChartManager Meldung Removed idle Active View with filter <filter> and attribute <attribute> for users with security filter <security filter>.
Active View ist nun permanent DAS_Binary sendet dieses Ereignis, wenn festgestellt wird, dass eine Active View nun als permanent festgelegt ist. Eine solche Überprüfung wird regelmäßig ausgeführt, daher kann dieses Ereignis wenige Minuten nach dem Speichern einer Active View in den Einstellungen generiert werden.
Systemereignisse für Sentinel 5 HINWEIS: Die Begriffe „Agent“ und „Collector“ sind austauschbar. Im Folgenden werden Agenten als „Collectors“ bezeichnet. In den unten stehenden Beschreibungstabellen werden kursiv formatierte und in <…> eingeschlossene Begriffe in den tatsächlichen Meldungen durch die relevanten Werte ersetzt. Authentifizierungsereignisse Fehler bei der Authentifizierung Wenn eine Benutzerauthentifizierung nicht erfolgt, wird das folgende Ereignis generiert.
Seite 241
Doppelte Benutzerobjekte Wenn ein unerwartetes zweites aktives Benutzerobjekt vorhanden ist (dies ist nicht zulässig), wird das folgende Ereignis generiert. Dies ist ein interner Fehler. Wert Schweregrad Ereignisname TooManyActiveUsers Ressource UserAuthentication Teilressource Authenticate Meldung Error in user table: Multiple users with the name <name>...
Seite 242
Angemeldeter Benutzer Beim Anmelden eines Benutzers wird das folgende interne Ereignis generiert. Wert Schweregrad Ereignisname UserLoggedIn Ressource UserSessionManager Teilressource User Meldung User <user> with OS name <osName> at <IP> logged in; currently <num> active users (Benutzer <Benutzer> mit Betriebssystemname <OSName> an <IP> hat sich angemeldet;...
Seite 243
Ereignis Fehler beim Verschieben von abgeschlossener Datei Wenn eine Ereignisdatei abgeschlossen wurde, wird sie in das Ausgabeverzeichnis verschoben. Wenn dieser Verschiebevorgang nicht erfolgt, wird das folgende interne Ereignis generiert. Wert Schweregrad Ereignisname MoveArchiveFileFailed Ressource <DAS-Name> Teilressource ArchiveFile Meldung Error moving completed archive file <fname> to <dir>...
Seite 244
Fehler beim Schreiben in Archivdatei Wenn das Öffnen einer Archivdatei zum Speichern der Ereignisse für die Aggregation nicht erfolgt, wird das folgende interne Ereignis generiert. Wert Schweregrad Ereignisname WriteArchiveFileFailed Ressource <DAS-Name> Teilressource ArchiveFile Meldung Error writing newly received events to aggregation archive file <fname>...
Seite 245
Einfügen von Ereignissen wird fortgesetzt Wenn nach einer vorübergehenden Unterbrechung mit dem Einfügen von Ereignissen fortgefahren wird, wird das folgende Ereignis gesendet. Wert Schweregrad Ereignisname EventInsertionResumed Ressource EventSubSystem Teilressource Events Meldung Event insertion has resumed after being blocked (Einfügen von Ereignissen wird nach vorübergehender Unterbrechung fortgesetzt) Speicherplatz der Datenbank hat angegebenen Zeitschwellenwert erreicht...
Seite 246
Wert Meldung Tablespace <string> has current size of <num> MB with a max size of <num> MB and has reached the percentage threshold of <num> % (Tabellenbereich <Zeichenkette> hat eine aktuelle Größe von <n> MB bei einer maximalen Größe von <n> MB und der prozentuale Schwellenwert von <n>...
Seite 247
Zuordnungsservice Fehler beim Initialisieren von Zuordnung mit ID Dieses interne Ereignis wird Client-seitig vom Zuordnungsservice generiert (dem Service, der Bestandteil des Collector Manager ist). Dieser Fehler wird generiert, wenn der Collector Manager versucht, eine nicht vorhandene Zuordnung abzurufen. Dies sollte nicht vorkommen, kann jedoch der Fall sein, wenn Zuordnungen erstellt und gelöscht werden.
Seite 248
Aktualisieren von Zuordnung von Server Dieses interne Ereignis wird Client-seitig vom Zuordnungsservice generiert (dem Service, der Bestandteil des Collector Manager ist). Wenn der Collector Manager eine Anweisung zum Aktualisieren der Zuordnung erhält, weil diese selbst oder deren Definition geändert wurde, wird ein internes Ereignis gesendet.
Seite 249
Wert Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Error refreshimg map <mapName>: <exc> (Fehler beim Aktualisieren von Zuordnung <Zuordnung>: <Ausnahme>) Laden von großer Zuordnung Dieses interne Ereignis ist ein Informationsereignis, das vom Zuordnungsservice gesendet wird. Damit wird darüber informiert, dass eine große Zuordnung in den Collector Manager geladen wurde.
Seite 250
TimedoutWaitingForCallback Wenn der Collector Manager eine Zuordnung aktualisieren muss, sendet er eine Anforderung an das Back-End. Diese Anforderung enthält einen Rückruf. Das Back-End generiert die Zuordnung und sendet diese anschließend mithilfe des Rückrufs an den Collector Manager. Wenn der Eingang der Antwort zu lange dauert (länger als 10 Minuten), sendet der Collector Manager eine zweite Anforderung und die erste Anforderung wird als verloren gegangen angesehen.
Seite 251
OutOfSyncDetected Dieses Ereignis wird gesendet, wenn der Zuordnungsservice feststellt, dass eine Zuordnung veraltet ist. Der Zuordnungsservice plant automatisch eine Aktualisierung. Wert Schweregrad Ereignisname OutOfSyncDetected Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Map <mapName> detected the map data is out- of-sync, probably due to a missed update notification--scheduling a refresh (Zuordnung <Zuordnung>...
Seite 252
Ereignisrouter wird initialisiert Dieses interne Ereignis wird gesendet, wenn die Initialisierung eines Ereignisrouters gestartet wird. Die Initialisierung des Ereignisrouters wird gestartet, wenn dieser eine Verbindung mit dem Back-End (DAS Query) hergestellt hat. Wert Schweregrad Ereignisname EventRouterInitializing Ressource AgentManager Teilressource EventRouter Meldung Event router is initializing in <mode>...
Seite 253
Wert Schweregrad Ereignisname EngineRunning Ressource CorrelationEngine Teilressource CorrelationEngine Meldung Correlation Engine is processing events (Die Correlation Engine verarbeitet Ereignisse) Correlation Engine wird angehalten Dieses Ereignis wird gesendet, wenn die Correlation Engine vom ausgeführten in den angehaltenen Zustand wechselt. Wert Schweregrad Ereignisname EngineStopped Ressource...
Seite 254
Regelbereitstellung wurde geändert Dieses Ereignis wird gesendet, wenn eine Engine erfolgreich eine Regelbereitstellung neu lädt. Diese Meldung wird ungeachtet des Ausführungszustands der Engine gesendet. Wert Schweregrad Ereignisname DeploymentModified Ressource CorrelationEngine Teilressource Deployment Meldung Deployment <name> modified (Bereitstellung <Name> wurde geändert) WatchDog Gesteuerter Prozess wurde gestartet Watchdog wird als Service ausgeführt.
Seite 255
Watchdog-Prozess wurde gestartet Beim Starten des Watchdog-Prozesses wird das folgende interne Ereignis generiert. Wert Schweregrad Ereignisname ProcessStart Ressource WatchDog Teilressource WatchDog Meldung WatchDog Service Starting (WatchDog-Service wird gestartet) Watchdog-Prozess wurde beendet Beim Beenden des Watchdog-Prozesses wird das folgende interne Ereignis generiert. Wert Schweregrad Ereignisname...
Seite 256
Permanenter Prozess wurde beendet Die Collector Engine sendet dieses Ereignis, wenn der Connector des permanenten Prozesses feststellt, dass sein gesteuerter Prozess beendet wurde. Wert Schweregrad Ereignisname PersistentProcessDied Ressource AgentManager Teilressource AgentManager Meldung Persistent Process on port <port id> has died (Permanenter Prozess an Port <Port-ID>...
Seite 257
Active Views Active View wurde erstellt DAS_Binary sendet dieses Ereignis, wenn eine Active View erstellt wird. Wert Schweregrad Ereignisname RtChartCreated Ressource RealTimeSummaryService Teilressource ChartManager Meldung Creating new Active View with filter <filter> and attribute <attribute> for users with security filter <security filter>. Currently <n> Active View(s) Collecting.
Seite 258
Inaktive Active View entfernt DAS_Binary sendet dieses Ereignis, wenn eine nicht permanente Active View wegen Inaktivität entfernt wird. Wert Schweregrad Ereignisname RtChartInactiveAndRemoved Ressource RealTimeSummaryService Teilressource ChartManager Meldung Removed idle Active View with filter <filter> and attribute <attribute> for users with security filter <security filter>.
Seite 259
Active View ist nun permanent DAS_Binary sendet dieses Ereignis, wenn festgestellt wird, dass eine Active View nun als permanent festgelegt ist. Eine solche Überprüfung wird regelmäßig ausgeführt, daher kann dieses Ereignis wenige Minuten nach dem Speichern einer Active View in den Einstellungen generiert werden.
Seite 260
Zusammenfassung Ereignisname Schweregrad Quelle SubResource Komponente AuthenticationFailed UserAuthentication Authenticate Authentication NoSuchUser UserAuthentication Authenticate Authentication TooManyActiveUsers UserAuthentication Authenticate Authentication LockedUser UserAuthentication Authenticate Authentication UserLoggedOut UserSessionManager User User Session UserLoggedIn UserSessionManager User User UserLoggedIn UserSessionManager User User DAS-Name MoveArchiveFileFailed ArchiveFile Event InsertEventsFailed EventSubSystem Events Event...
Seite 262
erstellen............ 5-12 3D-Balkendiagramm exportieren ..........5-14 rotieren ............3-8 importieren ..........5-14 mit der rechten Maustaste klicken ..5-8, 5-9 3D-Banddiagramm Aktualisieren des Lizenzschlüssels rotieren ............3-8 Host-ID (UNIX) ........11-11 Abfrage-Manager ........1-16 Host-ID (Windows) ......... 11-11 addPartitions ......10-31, 10-33 Analysenbericht Advisor URL konfigurieren........
Seite 263
Starten (UNIX) .......... 11-1 Assitenten-Host Starten (Windows) ........11-2 überwachen..........8-1 Collector-Ansicht Auflisten der zu importierenden Dateien..ändern ............8-4 ............10-38 erstellen............8-3 Ausblenden von Ereignisdetails Container Snapshot ..........3-10 Neustarten (UNIX) ........11-6 visueller Navigator........3-10 Neustarten (Windows) ......11-6 Ausführen Correlation Engine......
Seite 264
Verwaltung der Archivierung – Befehlszeile ..Ereigniskonfiguration......10-22 ............10-35 Beschreibung ......... 10-22 Verwaltung von Partitionen..... 10-30 Verwerfen von Partitionen – Befehlszeile..Ereignisnachricht ............10-33 per Email ..........3-10 Zuordnung ..........10-19 Ereignisregeln ..........9-3 Daten-Controller Siehe Datensynchronisierung Ereignisse Anzeigen von Ereignissen, die ein korreliertes Datenfeed-Zeit Ereignis ausgelöst haben ....
Seite 265
Globale Filter Klonen Datenbank ..........9-17 Benutzerkonten ........9-31 verwerfen ..........9-16 Menüoption für die Menükonfiguration ..9-23 öffentlicher Filter ........9-20 Globaler Filter.........9-15 privater Filter ..........9-20 Datenbank und GUI........9-17 Kommunikationsschicht erstellen............ 9-16 löschen ............. 9-17 Beenden (UNIX) ........11-6 neu anordnen ...........
Seite 266
größer als META-Tag......... 9-7 Passwort größer oder gleich ........9-7 Sentinel Control Center ......2-10 größer oder gleich META-Tag ....9-7 kleiner als ........... 9-7 Per Email senden kleiner als META-Tag......... 9-7 Vorfall ............4-8 kleiner oder gleich ........9-7 kleiner oder gleich META-Tag ....
Seite 267
Navigationsfenster, ausblenden ....2-8 Speichern von Verbindungseigenschaften in Navigationsfenster, einblenden ....2-8 der Datenbank ........10-29 Navigationsfenster, Verankerung aufheben ..Speicherplatzauslastung – Befehlszeile . 10-41 .............. 2-8 Starten (UNIX) .......... 10-2 Nebeneinander anordnen......2-8 Starten (Windows) ........10-2 Passwort ..........2-10 Umbenennen einer Ereignisspalte..
Seite 268
Spalten anordnen ........3-24 Ereignisse hinzufügen ......3-26 erstellen..........3-12, 4-6 Speichern von Anlagen ......4-6 Konfigurieren des Anlage-Viewer ....4-7 löschen ............4-9 Speichern von Einstellungen....2-9 per Email senden........4-8 Sperrdatei Workflow löschen ........4-9 Entfernen..........11-4 Vorfallsnachricht Standardbenutzer per Email ..........