Home

Sentinel Wizard User`s Guide

Contents

1. sess 2 5 Installieren Windows 2 4 Starten Befehlszeile unter Windows 2 3 Starten unter Windows seen 2 3 Stoppen Befehlszeile unter Windows 2 3 Stoppen unter Windows sssesseeseeeeeeeeeeeee 2 3 Collector Daten nennen 2 1 Durchf hren der Fehlersuche POlt EE 2 13 Eigenschaften Ward Host 2 8 Emptangenf taius sss 1 5 Empfangen Status sessess 1 5 Entscheiden StatuSs 0000eae00aaaaaaan 1 5 1 7 Erstellen Parameterdateien esses 3 8 POM E aeterne ee 3 15 Gchablonendatel ee eeeeeeeeeeennn 3 3 EE 3 9 Suchdateieri emet 3 8 Exportieren Wizard Host 2 8 Heraufladen Collector auf einen Host 2 14 Collector auf mehrere Hosts 2 15 Mehrere Collectors in ein Netzwerk 2 18 Heraufladen von Collectors 2 14 2 15 Herunterladen HOS teat MM M E MID 2 16 Hinzuf gen Status zu Schablone 3 4 Host Heraufladen von Ports auf Hosts 2 17 Herunterladen esee 2 16 Herunterladen eines Collectors von einem einzelnen Host 2 17 Konfigurieren Parameterdateien ccccccccceeeeeeessseeeeees 3 8 Gchablonendatel ee eeeeeeeeeenn 3 3 Suchd lei 2 2 rn 3 8 OORT 1 4 L schen Port rennen 2 12 Gchablonendatel ernennen 2 9 Sk
2. 48 64 80 96 rabookIIi gt talkabout lt 37 gt Apr 1 18 54 11 SYSLOG C port 42830 0000 83cd 1395 0040 2082 202b 0800 4500 SE E 0061 fa09 4000 ff11 DC KC GE 0048 a74e 0202 004d H N M 37 5Ap 7220 2031 2031 383a 18 54 11 su 3a20 2773 7520 726f su root succ 6565 6465 6420 666f oespad 63020 6f6e 202f 6465 dev pts 0 28d3 5d7e 3534 6f74 7220 762f ac10 3c33 3a31 2720 6f65 7074 kabout gt pes020 esecurity net lt 37 gt Apr 1 18 54 11 0046 373e 3120 7375 7370 732f acl10 4170 7375 Ee db 6363 6164 eeded for 30 m on SYSLOG C port 38890 000a 5e02 a335 0000 83cd 1395 0800 4500 SE E 0061 304b 4000 ff11 CaDR c b rues Es 02a6 97ea 0202 004d TTD Mj lt 37 gt Ap 7220 2031 2031 383a 18 54 11 su 3a20 2773 7520 726 su root succ 6565 6465 6420 666f oespad 63420 6f6e 202f 6465 dev pts 0 031 6a82 3534 6f74 7220 762f aci0 36033 3a31 2720 6f65 7074 Folgendes wurde auf talkabout aufgezeichnet 1 18 54 11 ultrabookIIi su Apr oespadm on dev pts 0 0048 373e 3120 7319 7370 732f acl10 4170 7375 FE A 6363 6164 eeded for 30 mon su root succeeded for Syslog Connector A 15 A 16 Sentinel Wizard Benutzerhandbuch Konfigurieren eines Socket Servers auf einem UNIX Host HINWEIS Die Begriffe Agent und Collector sind aust
3. und deaktivieren Sie Port beim Start ausf hren bzw aktivieren Sie Uhrzeit des Ger ts verwenden Klicken Sie auf OK Klicken Sie auf Speichern Klicken Sie auf die Registerkarte Collectors um den Bereich mit dem Collector Baum zu ffnen Verwalten von Wizard Hosts 2 15 12 13 14 15 16 Klicken Sie auf einen Collector F hren Sie einen der folgenden Schritte aus W hlen Sie die Optionsfolge Datei gt Heraufladen Herunterladen Klicken Sie mit der rechten Maustaste auf den Collector und w hlen Sie dann Collector heraufladen Klicken Sie auf die Schaltfl che Heraufladen Herunterladen KI Daraufhin wird das Fenster Heraufladen Herunterladen ge ffnet Aktivieren Sie im Fenster Heraufladen Herunterladen die Registerkarte Hosts und aktivieren bzw deaktivieren Sie das Kontrollk stchen Collectors beim Heraufladen heraufladen Wenn dieses Kontrollk stchen aktiviert ist werden auf der Registerkarte Collectors ausgew hlte Collectors heraufgeladen Dieses Kontrollk stchen ist standardm ig aktiviert Diese Option hat keinerlei Auswirkung auf das Herunterladen von Collectors von einem Host W hlen Sie in der Liste die Wizard Hosts aus auf die Collectors heraufgeladen werden sollen Alle Wizard Hosts im Netzwerk werden automatisch in die Liste aufgenommen Die Schaltfl chen geben Aufschluss dar ber ob der Hostcomputer online ist ode
4. 1999 2000 Nullsoft Inc Eastman Kodak Company 1992 Lucinda eine eingetragene Marke oder Marke von Bigelow and Holmes a Taligent Inc IBM einige Teile verf gbar unter http oss software ibm com icu4j Weitere Informationen zu diesen Drittanbietertechnologien und den zugeh rigen Haftungssauschl ssen und Einschr nkungen finden Sie unter http java sun com j2se 1 4 2 j2se 1 4 2 thirdpartylicensereadme txt JavaBeans Activation Framework JAF Copyright O Sun Microsystems Inc Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www java sun com products javabeans glasgow jaf html klicken Sie auf Download gt License JavaMail Copyright Sun Microsystems Inc Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www java sun com products javamail downloads index html klicken Sie auf Download gt License Java Ace von Douglas C Schmidt und seiner Forschungsgruppe an der Washington University und Tao mit ACE Wrappers von Douglas C Schmidt und seiner Forschungsgruppe an der Washington University University of California Irvine und Vanderbilt University Copyright 1993 2005 Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www cs wustl edu schmidt ACE copying html und http www cs wustl edu pjain java ace J ACE copying html Java Authentication and Authorization Service Mod
5. ein Skript von der Schablone in die Spalte Startskripts bzw Zur cksetzungsskripts im rechten Fensterbereich d Customer Actions Startup Scripts eSecurity Actions eSecurity AlertStyle default eSecurity CP keywords EI eSecurity_Parsing LE Parsing r4 1 Comments Die Skripts werden in der Reihenfolge ausgef hrt in der sie in den Spalten Startskripts und Zur cksetzungsskripts angezeigt werden Sie k nnen die Skriptreihenfolge ndern indem Sie die Skripts in den Spalten nach oben bzw unten verschieben HINWEIS Das Endskript in einer Zur cksetzungssequenz muss mit dem Verarbeitungsstatus Stoppen enden 5 Optional F hren Sie mit dem Fehlersuchprogramm eine Fehlersuche durch 6 Klicken Sie auf Datei gt Speichern 7 Damit die nderungen wirksam werden m ssen Sie den Port mithilfe der Schaltfl chen Stoppen und Starten in der Symbolleiste stoppen und erneut starten CH Aktivieren von AutoBuild f r Collectors vor Version 5 0 Durch Aktivieren der AutoBuild Funktion k nnen Sie den Schritt der Skripterstellung bei der Konfiguration und Bereitstellung von Collectors berspringen So aktivieren Sie AutoBuild f r Collectors vor Version 5 0 1 Kopieren Sie folgende Dateien aus einem bestehenden v5 Collector und kopieren Sie sie in den Collector f r den Sie AutoBuilding aktivieren m chten auto tem auto asd auto Ikp
6. F hren Sie einen der folgenden Schritte aus W hlen Sie die Optionsfolge Datei gt Heraufladen Herunterladen Klicken Sie mit der rechten Maustaste auf den Collector und w hlen Sie dann Collector heraufladen Klicken Sie auf die Schaltfl che Heraufladen Herunterladen KI Aktivieren Sie die Registerkarte Netzwerk auff llen Geben Sie im ersten Auswahlfeld mithilfe des Dropdown Men s an welche Portkonfiguration und Collectors eines Host heraufgeladen werden sollen Geben Sie im zweiten Auswahlfeld mithilfe des Dropdown Men s an auf welche Hosts die Konfiguration heraufgeladen werden soll HINWEIS Sie m ssen mindestens eine Auswahl in mindestens einem der Auswahlfelder treffen damit die zugeh rige Konfiguration heraufgeladen werden kann Sie k nnen f r jedes Dropdown Feld einen anderen Collector ausw hlen Jeder in der Hauptliste markierte Collector erh lt die Portkonfiguration und Collectors des Host der im Feld zur Auswahl des Host dessen Portkonfiguration und Collectors heraufgeladen werden soll ausgew hlt ist es sei denn Keine ist ausgew hlt Wenn Sie die Einrichtung der Netzwerkkonfiguration abgeschlossen haben klicken Sie auf die Schaltfl che Heraufladen um mit dem Heraufladen zu beginnen Aufr sten von Collectors 2 18 Aufr sten von Collectors 1 Ziehen Sie die Dokumentation die im Lieferumfang des neuen Collector enthalten ist hinsichtlich s mtlicher v
7. Schabloneneditor Sentinel Wizard Benutzerhandbuch 3 Klicken Sie im Schabloneneditor auf den zu bearbeitenden Status und nehmen Sie die gew nschten nderungen vor Ein Status kann mithilfe des visuellen Editors oder des Texteditors bearbeitet werden Informationen zu Parsing Befehlen Befehlen f r Analysevorg nge finden Sie im Sentinel Referenzhandbuch f r Benutzer Template Editor Parsing Be Parameters l mie aa State 1 Parsing E Visual Editor Text Editor AB Debugger E E State Script H E Comments 9 1 Comments breakpoint Sa COPY s ResAlertStyle A 7 TOUPPERI s_Res lertStyle COPY s_Generic_ResNarr Ez COPY s SubRes lertStyle 1 TOUPPERIs_SubRes lert COPY s Generic SubResl i COPY s SendETTag Se TOW Oh E Di ur m gt Ju Tur L schen einer Schablonendatei L schen einer Schablonendatei 1 2 Klicken Sie im Collector Baum mit der rechten Maustaste auf eine Schablone und Klicken Sie auf die Registerkarte Collectors um den Bereich mit dem Collector Baum zu ffnen w hlen Sie dann Schablone l schen Verwalten von Wizard Hosts 2 9 Umbenennen einer Suchdatei Umbenennen einer Suchdatei 1 Klicken Sie auf die Registerkarte Collectors um den Bereich mit dem Collector Baum zu ffnen 2 Klicken Sie mit der rechten Maustaste auf die Suchdatei und w hlen Sie dann Suchdatei umbenennen 3 Geben Sie den neuen Namen
8. auto par 2 Benennen Sie die Schablonendatei in main tem um Dies kann in Collector Builder vorgenommen werden Renar Build Scripts Delete Template 3 Markieren Sie die umbenannte Schablonendatei und klicken Sie auf die Registerkarte Parameter ndern Sie den Namen des Spaltenheaders der den Namen Ihrer Skriptdatei aufweist z B r4 1 in main und dr cken Sie die Eingabetaste 3 10 Sentinel Wizard Benutzerhandbuch Parameters 4 Klicken Sie auf Speichern 5 Klicken Sie in der Startkette mit der rechten Maustaste auf auto asd und ziehen Sie die Datei vor main C EsploitDetect test zd SendMultipleE vents G Send neE vent Ca T1_CHKP_FRWL_xxxx_0 3 T1 CISC Plxx 6x LOC CH T1 GNUx NMAP 0355 I B agent alert_style 33 Demo sset r Startup Scripts default Y Wenn Sie mit der Fehlersuche beginnen wird der Status des Ports im Fensterbereich Portinformationen auf Fehlersuche gesetzt Informationen zur Fehlersuche in Skripts finden Sie unter Durchf hren der Fehlersuche bei einem Wizard Port in Kapitel 2 Zuweisen einer Startsequenz zu einem Skript Wenn ein Port beim Start ausgef hrt werden soll k nnen Sie eine Startsequenz zuweisen die beim Start eine angegebene Menge von Skripts ausf hrt Eine Startsequenz ist eine Datei die die Namen der beim Start auszuf hrenden Skripts enth lt Zuweisen einer Startsequenz zu einem
9. Firewalls Datenbanken Betriebssysteme Mainframe Richtlinien berwachung Anf lligkeitsbewertung Authentifizierung Directory Services Router amp Switches Netzwerk Management VPN Propriet re Systeme Collectors bestehen aus Schablonendateien Parameterdateien Suchdateien Zuordnungsdateien Beschreibungsdatei f r Parameter sowie Manifest Dateien Die Schablonendatei und die zugeh rige Parameterdatei werden bei der Erstellung des Collector Skripts in unterschiedliche Skriptdateien zusammengef hrt Die einzelnen Skriptdateien werden anhand des Spaltennamens der Wertegruppe in der Parameterdatei benannt Skriptdateien werden der Reihenfolge nach in Start und Zur cksetzungssequenzen unterteilt Start und Zur cksetzungssequenzen werden einem Port zugewiesen der eine Reihe von Skripts ausf hrt die verf gbar sind wenn der Port gestartet oder angehalten wird Ein Skript muss in eine Start oder Zur cksetzungssequenz eingebunden sein damit es vom Port verwendet werden kann ber Ports kann ein Collector im Netzwerk nach Wizard Hosts suchen hierzu werden die IP Adresse bzw der Dateiname des Host angegeben Ports stellen f r Sentinel au erdem Informationen zum Speicherort der Sensoren und des Collector bereit der zum Verwalten der Daten f r diese Sensoren verwendet wird Folgende Optionen k nnen f r Ports konfiguriert werden Verbindungstyp s Seriell Daten werden von ein
10. Wizard Collector Manager Sentinel Advisor Sammeln Normalisieren gt Echtzeitanalysse gt Berichterstellung Collectors 1 2 Collectors werden zum Filtern und Standardisieren kritischer Ereignisdaten in ein normalisiertes Format sowie zum Bereitstellen dieser Daten f r den Sentinel Vorgang verwendet Es gibt drei Collector Stufen Unterst tzte Collectors T1 F r diese Collectors gilt Folgendes sie sind dokumentiert a sie weisen Metadaten auf a sie sind f r alle Kunden verf gbar f r sie wird technischer Support angeboten Dokumentierte Collectors T2 F r diese Collectors gilt Folgendes a Sie sind f r die Collector Bibliothek bestimmt sie sind dokumentiert a sie weisen Metadaten auf a sie basieren auf den standardm igen Sentinel Schablonen f r sie wird eingeschr nkter technischer Support angeboten Sentinel Wizard Benutzerhandbuch Beispiel Collectors T3 F r diese Collectors gilt Folgendes a sie weisen ein bew hrtes Konzept auf sie wurden f r einen bestimmten Kunden entwickelt s weisen u U keine Metadaten bzw unterst tzte Dokumentation auf f r sie wird eingeschr nkter technischer Support angeboten ber Collectors k nnen Sie auf Ereignisdaten zahlreicher Quellen zugegriffen werden Hierzu z hlen Intrusion Detection Systeme Host Virenschutz Intrusion Detection Systeme Netzwerk Webserver
11. wird durch Rechtsklick auf den Informationsbereich f r den Collector Builder Port und anschlie endes Klicken auf Rx Tx Wert bearbeiten ge ffnet k nnen Sie Wizard f r folgende Aktionen konfigurieren Empfang von Traps auf anderen Ports als dem UDP Port 162 Standard Erstellen eines einzelnen Wizard Analyseskripts zur Verarbeitung von Traps aus mehreren IP Adressen mit Informationen wie mehreren Trap Codes und mehreren Trap OIDs Object Identfiers Erm glichen eines Abgleichs regul rer POSIX Ausdr cke auf den Feldern f r IP Adresse Enterprise Object Identifier OID Trap Code und Trap OID Nach der Dekodierung des Trap legt Wizard Werte f r die im Skript enthaltenen Variablen fest Collector IP Addressen Collector IP Adressen sind IP Adressen die Traps empfangen sollen Trennen Sie mehrere Werte durch Semikolon Mithilfe des Formats lt Ausdruck gt k nnen Sie POSIX kompatible regul re Ausdr cke abgleichen Das Sternchen ist ein Modifikator f r das vorstehende Zeichen bzw den vorstehenden Ausdruck Der Punkt kann als Platzhalterzeichen verwendet werden und bei Verwendung regul rer Ausdr cke berall in der Zeichenkette auftreten Die h ufigsten regul ren Ausdr cke die Sie wahrscheinlich verwenden werden sind folgende entspricht einer beliebigen Zeichenkette beliebiger L nge 192 168 entspricht einer beliebigen Zeichenkette die 192 168 enth lt Um nur Zeichenketten zu fin
12. Herunterladen wird die Portkonfiguration f r einen Remote Collector auf dem f r das Herunterladen ausgew hlten Host angezeigt und s mtliche Collectors auf dem Remote Host mit demselben Namen wie auf dem lokalen Host werden berschrieben Heraufladen eines Collector auf einen einzelnen Host 2 14 Heraufladen eines Collector auf einen einzelnen Host 1 10 11 Wenn Ihr Collector bereits vorschriftsm ig konfiguriert ist und Sie Ihr Skript erstellt haben k nnen Sie Schritt 2 bis 11 berspringen Klicken Sie auf die Registerkarte Wizard Hosts und w hlen Sie einen Host aus Doppelklicken Sie unterhalb der Spalte mit dem Portnamen auf neu Geben Sie einen Namen Ihrer Wahl ein W hlen Sie unter der Collector Spalte einen Collector aus Konfigurieren Sie den Collector gem den Angaben in der Collector Dokumentation SWORKBENCH_HOME Elements lt Collector Name gt docs lt Dateiname gt pdf Aktivieren Sie die Registerkarte Collectors erweitern Sie den jeweiligen Collector Eintrag und markieren Sie die Schablonendatei Klicken Sie rechts auf die Registerkarte Parameter Legen Sie die Parameterwerte gem den Angaben in der Collector Dokumentation fest Optional Wenn dieser Collector beim Systemstart nicht gestartet werden soll bzw die vom Ger t angegebene Uhrzeit verwenden soll aktivieren Sie die Registerkarte Wizard Hosts klicken Sie mit der rechten Maustaste auf den Namen des
13. Remote Data Exchange Protocol RDEP Die Java Anwendug rdep_client ruft Daten aus Cisco IDS v4 0 Remote Sensoren ab auf denen RDEP ausgef hrt wird Der Client rdep_client stellt mithilfe von HTTP bzw HTTPS eine Verbindung zu einem IDS Remote Sensor her Nachdem der Client die Verbindung hergestellt hat ffnet er ein Abonnement oder verwendet ein zuvor ge ffnetes Abonnement Das Abonnement beschreibt die Art der Daten die der IDS Sensor an den Client sendet Die Art der Daten die ein neues Abonnement abruft kann durch Bearbeitung der rdep_client Konfigurationsdatei ge ndert werden Mithilfe des Abonnements initiiert der Client eine Anforderung f r Ereignisdaten vom IDS Sensor Die Ereignisdaten werden vom IDS Sensor im XML Format zur ckgegeben vom Sentinel RDEP Client in Namen Wert Paare konvertiert und anschlie end vom Collector analysiert und normalisiert Der Collector sendet schlie lich das normalisierte Ereignis weiter an Sentinel Diese Anwendung wird zusammen mit Collector Manager in WORKBENCH HOME cisco rdep client installiert Weitere Informationen zur Verwendung von RDEP finden Sie in der README Datei zu der Anwendung in der Sentinel Collector Dokumentation f r Cisco IDS 4 0 Collector ber RDEP oder im eSecurity Kundenportal unter http www esecurityinc com Einrichten des SNMP Trap 3 18 Sentinel kann SNMP Traps empfangen die Sicherheitsereignisse darstellen die bei einem Sensor in einem Netzwerk aufgetreten
14. Skript 1 Klicken Sie mit der rechten Maustaste auf einen Skriptnamen im Collector Baum und w hlen Sie Neue Startsequenz Das Dialogfeld Neue Startsequenz wird angezeigt 2 Geben Sie im Dialogfeld Neue Startsequenz den Sequenznamen ein und klicken Sie auf OK Der neue Startsequenzname wird zu dem Men oben im Feld Startskripts hinzugef gt F r Sequenznamen gelten folgende Einschr nkungen Die W rter startup und backout d rfen nicht als Sequenznamen verwendet werden Verwenden Sie keine Sequenznamen im selben Collector doppelt Ziehen Sie Skriptdateinamen aus dem Collector Baum in die Spalte Startskripts Die Skripts werden in der Reihenfolge ausgef hrt in der sie in der Spalte aufgef hrt werden von oben nach unten Um die Skriptreihenfolge zu ndern ziehen Sie die Skripts aus der Spalte oder klicken Sie mit der rechten Maustaste auf das Feld Startskripts und w hlen Sie die Option Reihenfolge der Startskripts ndern Erstellen und Warten von Collectors 3 11 Erstellen eines Wizard Ports Sie k nnen mehrere Ports f r einen Sammler erstellen Bei einigen Sensortypen m ssen Sie m glicherweise mehrere Instanzen desselben Collector erstellen und jede Instanz einem anderen Port zuweisen Der Verbindungstyp eines Ports legt fest wie Sicherheitsdaten gelesen werden welche Informationen gelesen werden und wann eine Verbindung hergestellt wird Es gibt folgende Verbindun
15. Wizard Ports w hlen Sie Andere Portoptionen und deaktivieren Sie Port beim Start ausf hren bzw aktivieren Sie Uhrzeit des Ger ts verwenden Klicken Sie auf OK Other Port Options Startup Sequence default e Trust Device Time IV Run Port At Startup OK Klicken Sie auf Speichern Aktivieren Sie die Registerkarte Collectors klicken Sie mit der rechten Maustaste auf die Schablonendatei und w hlen Sie dann Skripts erstellen Sentinel Wizard Benutzerhandbuch 12 13 14 15 F hren Sie einen der folgenden Schritte aus W hlen Sie die Optionsfolge Datei gt Heraufladen Herunterladen Klicken Sie mit der rechten Maustaste auf den Collector und w hlen Sie dann Collector heraufladen Klicken Sie auf die Schaltfl che Heraufladen Herunterladen R1 Daraufhin wird das Fenster Heraufladen Herunterladen ge ffnet Klicken Sie im Fenster Heraufladen Herunterladen auf die Registerkarte Collectors W hlen Sie in der Dropdown Liste den Collector aus der heraufgeladen werden soll Klicken Sie auf Heraufladen Wenn Sie diesen Schritt zum ersten Mal durchf hren werden Sie zur Eingabe eines Collector Manager Passworts aufgefordert auch bei einem lokalen Wizard Host Das Fenster mit dem bertragungsfortschritt wird ge ffnet aus dem der Fortschritt des Heraufladevorgangs hervorgeht HINWEIS ber das Fenster mit dem bertragungsfortschritt k nnen Hosts im Anschluss an eine bertragung neu gestarte
16. auf Neuer Collector 4 Geben Sie den Namen des neuen Collector in das vorgesehene Feld ein und dr cken Sie die Eingabetaste Erstellen und Warten von Collectors 5 Klicken Sie mit der rechten Maustaste auf den neuen Collector und klicken Sie anschlie end auf Neue Schablone nix D L Yew pem Preferences Hel u ojos DEEN Omeri Hawt Tech Dee Desi 172 16 2 17 E Agents ib Z th D 23 Demaigere_ N BI DemeoAgeri PA liL Sercilubpel vents Fin Ts Vaia ib Sy SerdOnsE von 89 fL TI OSC PIG Dan LOGE DAN Sy 11 GNU SWAT 0000 LOGF Bvtto SSe ALSC D ODBC WED SS SITE Den ODOC wvt10 TWN 2000 LOGF vi My T1 N SCAN 20s LOGF_8 420 BI T1 SuNS SLAS hen LOGI tto DZ Torgina LOGF_fvtio i Gy Tercero OCBC Dato WI Togia SNMP bw B apres L seis 6 Geben Sie in das Feld Neue Schablone im Collector Baum einen neuen Schablonennamen ein und dr cken Sie die Eingabetaste 7 W hlen Sie die neue Schablone aus und klicken Sie auf die Registerkarte Schabloneneditor 8 Ziehen Sie im Feld Schabloneneditor die Statuswerte in den Bearbeitungsbereich und legen Sie sie dort ab Verwenden Sie hierf r die Statusschaltfl chen im linken Fensterbereich Informationen zum Hinzuf gen von Statuswerten zu einer Schablone finden Sie unter Hinzuf gen eines Status zu einer Schablonendatei 9 Klicken Sie auf Speichern Hinzuf gen eines Status zu einer Schablonendatei Alle Collector
17. den Serverprozess aus Bei der Nummer des nicht privilegierten Ports handelt es sich um eine beliebige Zahl zwischen 1 025 und 65 535 Mithilfe des folgenden Befehls k nnen Sie berpr fen ob die von Ihnen gew hlte Portnummer bereits verwendet wird ersetzen Sie lt Portnummer gt hierbei mit dem gew nschten Port netstat an grep LISTEN grep lt Portnummer gt Wenn eine Zeile wie die nachfolgende ausgegeben wird wird der Port zurzeit verwendet Sie m ssen also einen anderen Port ausw hlen 5555 0000 LISTEN Konfigurieren eines Socket Servers auf einem UNIX Host B 1 B 2 3 Bearbeiten Sie als Benutzer root die Datei etc services und f gen Sie am Ende der Datei einen Eintrag f r den neuen Socket Service hinzu Im nachfolgenden Beispiel wird eine Zeile f r einen Service namens syslog_monitor hinzugef gt der zur berwachung von TCP Port 5555 konfiguriert wurde syslog_monitor5555 tcp Bearbeiten Sie die Datei etc inetd conf und f gen Sie am Ende der Datei einen Eintrag f r den neuen Socket Service hinzu Im nachfolgenden Beispiel wird eine Zeile f r einen Service namens syslog_monitor hinzugef gt der zur Ausf hrung von Skript usr local bin in syslog monitor konfiguriert wurde Der nachfolgende Text sollte als durch Tabulatoren getrennte Felder in eine einzelne Zeile der Datei eingegeben werden unabh ngig von der Paginierung Syslog monitor stream tcp nowait nobody usr local bin in syslog m
18. der Komponente und die Stufe der Meldungen verwendet am Anfang jeder Meldung angezeigt Diese Art von Protokollierung wird durch den folgenden Schalter aktiviert log Dateiname Name der Protokolldatei an die die Meldungen angef gt werden sollen Um diese Art von Protokollierung zu aktivieren m ssen Sie nach dem letzten Vorkommen von wrapper app parameter die folgenden beiden Zeilen in die Datei syslog conf einf gen wrapper app parameter 11 log wrapper app parameter 12 lt Dateiname gt Um beispielsweise diese Art von Protokollierung f r die Datei SESEC HOME wizard syslog messages log zu aktivieren m ssen Sie die Einstellungen wie folgt ndern wrapper app parameter 7 connector wrapper app parameter 8 9091 wrapper app parameter 9 messageSiz wrapper app parameter 10 5000 wrapper app parameter 11 log wrapper app parameter 12 messages log Wenn fiir den Dateinamen kein absoluter Pfad angegeben wurde ist der Pfad relativ zum Verzeichnis ESEC_HOME wizard syslog HINWEIS Die Protokolldatei kann recht gro werden Daher m ssen Sie sicherstellen dass das Verzeichnis in das die Datei geschrieben wird ber gen gend Speicherplatz verf gt z B ein Verzeichnis dass nicht unter ESEC_HOME liegt Sentinel Wizard Benutzerhandbuch Es wird empfohlen den Syslog Proxy mit mindestens 64 MB und h chstens 256 MB JVM Heap Speicher auszuf hren Bei dieser Konfiguration k nnen Si
19. ein und dr cken Sie die Eingabetaste L schen einer Suchdatei L schen einer Suchdatei 1 Klicken Sie auf die Registerkarte Collectors um den Bereich mit dem Collector Baum zu ffnen 2 Klicken Sie mit der rechten Maustaste auf die Suchdatei und w hlen Sie dann Suchdatei l schen L schen eines Skripts L schen eines Skripts 1 Ein Skript kann auf zweierlei Art gel scht werden Klicken Sie im Collector Baum mit der rechten Maustaste auf ein Skript und w hlen Sie dann L schen Klicken Sie in der Spalte Startskripts bzw Zur cksetzungsskripts mit der rechten Maustaste auf das Skript und w hlen Sie Skript l schen L schen einer Startsequenz L schen einer Startsequenz 1 W hlen Sie im Bereich mit den Startskripts die Startsequenz im Dropdown Men aus damit der Sequenzname im Feld Startskripts angezeigt wird 2 Klicken Sie im Collector Baum mit der rechten Maustaste auf das Skript und w hlen Sie Aktuelle Startsequenz l schen Daraufhin wird die Startsequenz aus der Liste Startskripts entfernt HINWEIS Wenn Sie die standardm ige Startsequenz l schen werden s mtliche der standardm igen Startsequenz zugewiesene Skripts aus der Spalte Startskripts entfernt der Standard wird im Men mit den Startsequenzen jedoch weiterhin angezeigt Wizard Ports In diesem Abschnitt wird das Stoppen Starten Bearbeiten und L schen von Wizard Ports sowie die F
20. er gestoppt wurde Wenn der Collector Manager Vorgang bereits ausgef hrt wird wird er gestoppt und neu gestartet agent manager sh console Startet den Collector Manager Vorgang im Vordergrund Stoppen von Collector Manager unter UNIX Stoppen von Collector Manager unter UNIX 1 Wechseln Sie als Benutzer esecadm zu folgendem Verzeichnis SWORKBENCH_HOME 2 Geben Sie den folgenden Befehl ein agent manager sh stop Collector Manager Administration Es gibt eine ausf hrbare Datei Windows bzw ein Skript UNIX mit dem Sie folgende Schritte ausf hren k nnen Collector Manager Service f r Windows installieren nur unter Windows Collector Manager Service f r Windows entfernen nur unter Windows Collector Manager Service festlegen Ausf hrliche Informationen zur Fehlersuche drucken Build Version anzeigen Hilfe anzeigen Installieren des Collector Manager Services f r Windows nur unter Windows Installieren des Collector Manager Services f r Windows nur unter Windows 1 Begeben Sie sich an der Eingabeaufforderung zu workbench_home 2 Geben Sie den folgenden Befehl ein agent manager bat install 3 F hren Sie einen der folgenden Schritte durch um den Service zu starten Geben Sie an der Eingabeaufforderung Folgendes ein net start agent manager Klicken Sie auf Start gt Einstellungen gt Systemsteuerung Doppelklicken Sie auf Dienste w hlen Sie Col
21. gt private shared log lt Dateipfad gt messageSize lt Nummer gt Syslog Connector A 11 G ltige Argumente EE Ee SOE immer verwendet werden Wird von der IVM verwendet Xms64m Gibt die urspr ngliche Arbeitsspeichergr e des Syslog Proxy dE Xmx256m Gibt die maximale Arbeitsspeichergr e des Syslog Proxy an Empfohlener Standardwert 256 Megabyte Dadurch kann der Proxyserver mit Spitzen im Datenvolumen und mehreren Client Connectors umgehen und mit Puffern arbeiten wenn die Connectors die Verbindung wiederherstellen Dieser Wert kann erh ht werden wenn gen gend Arbeitsspeicher verf gbar ist und das Datenvolumen sowie die Anzahl der Clients die eine Verbindung herstellen h her ist Dieser Wert sollte 1 2 Gigabyte pro Syslog Proxyserver nicht berschreiten also Xmx1200m Djava util Diese Eigenschaft gibt den Namen der Konfigurationsdatei des logging config Konfigurationspfads f r die Protokollierung der Fehlersuche an file Sie muss also auf die Stelle verweisen an der sich die Datei befindet Wenn kein Pfad angegeben wird sucht sie im aktuellen Verzeichnis von dem aus die JVM ausgef hrt wurde Beispiel udp lt Port gt Port f r die berwachung auf UDP Meldungen von Ger ten Bi re en rn PD ee E ae tcp Port Port f r die berwachung auf TCP Verbindungen von Ger ten EE connector lt Port gt Port f r die berwachung auf TCP Verbindungen von Connectors Stan
22. hlen und die Port Konfiguration sowie nach M glichkeit den Collector auf den Remote Wizard laden Der Syslog Connector Client verwendet eine Reihe von Standardargumenten zur Vereinfachung der allgemeinen Syntax Die einfachste Befehlszeile f r den Syslog Connector Client lautet Bei UNIX syslog SyslogConnectorAgent sh id MyUniqueID Syslog Connector A 7 A 8 Bei Windows syslogNSyslogConnectorAgent bat id MyUniqueID Die Interpretation dieser Befehlszeile lautet wie folgt Verbindung zum Syslog Proxy herstellen der diese Verbindung berwacht unter 127 0 0 1 9091 Alle Meldungen mit allen m glichen Syslog Funktionen abonnieren Alle Meldungen mit allen m glichen Syslog Stufen abonnieren Alle Meldungen unabh ngig von der im IP Header enthaltenen Quellen IP Adresse abonnieren Alle Meldungen unabh ngig von der Host Angabe innerhalb der Meldung abonnieren Diesen Sitzungsabonnementparametern die ID MyUniquelD zuweisen Die Sitzung des Syslog Connector Client wird mit dem oben angegebenen Abonnementfilter unter der ID MyUniqueID beim Syslog Proxy registriert Die ID ist erforderlich Die ausgew hlte ID war willk rlich festgelegt sie muss jedoch f r alle Syslog Connector Client Sitzungen mit demselben Syslog Proxy eindeutig sein Wenn ein anderer Syslog Connector Client mit derselben ID konfiguriert wird wird eine der beiden Verbindungen mit derselben ID aufgegeben Die letzte Sitzung deren V
23. of California Copyright O 2001 bis 2003 Networks Associates Technology Inc Copyright 2001 bis 2003 Cambridge Broadband Ltd Copyright 2003 Sun Microsystems Inc und Copyright 2003 bis 2004 Sparta Inc Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http net snmp sourceforge net The OpenSSL Project Copyright 1998 2004 The Open SSL Project Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www openssl org Oracle Help f r Java Copyright 1994 2006 Oracle Corporation RoboHELP Office Copyright Adobe Systems Incorporated vormals Macromedia Skin Look and Feel SkinLF Copyright 2000 2006 L2FProd com Lizenziert unter der Apache Softwarelizenz Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter https skinlf dev java net Sonic Software Corporation Copyright 2003 2004 Die SSC Software enth lt Sicherheitssoftware die von RSA Security Inc lizenziert wurde Tinyxml Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http grinninglizard com tinyxmldocs index html SecurityNexus Copyright 2003 bis 2006 SecurityNexus LLC Alle Rechte vorbehalten Xalan und Xerces jeweils von der Apache Software Foundation lizenziert Copyright 1999 2004 Weitere Informationen Haftungsausschliisse und Beschr nkungen finden Sie unter http xml apache org dist LICENSE txt yW
24. or tete B 1 Starten von Collector Builder 2 7 Startsequenz EOschen x ER nerui 2 10 Zuweisen zu Skript ssssss 3 11 ii Sentinel Wizard Benutzerhandbuch Status Anahysieren reenen 1 5 1 8 Entscheiden ENEE 1 5 bertragen eene 1 5 Weiter und Gehe zu 1 5 Stoppen Status see 1 5 Suchdatei Definition 1 9 Erstell n een 3 8 Konfigurieren eese 3 8 LOSCHEM BEE 2 10 Umbenennen 2 10 Tempor rer Prozess 3 16 Rx Tx Wert inem 3 17 Texteditor Eingabe eines Parsing Befehls 3 7 TRANSLATE an 1 4 bertragen Status sss 1 5 Umbenennen SuChdAatel EE 2 10 Ward Host 2 7 Verbindungstyp Datei alle ia en 3 13 Datel nel ale en ce rectae 3 13 OE tiic REOR 3 15 Permanenter Vorgang nennen 3 13 Serielle und uS 3 12 SNMPZETrap ies 3 14 SOCKS ssc a een 3 12 Tempor rer Vorgang escenes 3 14 Visueller Editor Eingabe eines Parsing Befehls 3 6 Wizard Host Berechtigung Collector Administration 2 2 Berechtigung Collectors anzeigen 2 2 Berechtigung Collectors steuern 2 2 Eigenschaften eeeseseees 2 8 Exportieren ein 2 8 LOSGNEN ara a nie 2 7 Neustarten sese 2 7 Umbenennen 2 7 Wizard Port Siehe Port Zuordnungsdatei Definiti n 2 2 en eisen 1 9
25. r Begrenzungszeichen mit den eingelesenen Daten bereinstimmt und die minimale Anzahl an Byte eingegangen ist Bei der decide Zeichenkette f r Begrenzungszeichen handelt es sich um einen mit POSIX 1003 2 konformen regul ren Ausdruck Empfangstyp Szenarien Es gibt vier Empfangstyp Szenarien Szenario Zeit berschreitung Nachdem der Wechsel in den Status Empfangen erfolgt ist wird die Verarbeitung gestoppt bis die minimale Anzahl an Byte gelesen wurde bzw die RX TIMEOUT DELAY Sekunden verstrichen sind Nachdem bei Wizard mehr als die angegebene minimale Anzahl an Byte eingegangen ist bzw nachdem der Zeit berschreitungswert berschritten wurde wird die Collector Port Verarbeitung fortgesetzt und wechselt zum n chsten Status des Skripts Szenario Warten Beim Empfangstyp Warten wird gewartet bis die im Feld Minimale Byte angegebene Mindestzahl an Byte bei Wizard Collector eingeht Nachdem bei Wizard mehr als die im Feld Minimale Byte angegebene minimale Anzahl an Byte eingegangen ist wird die Collector Port Verarbeitung fortgesetzt und wechselt zum n chsten Status des Skripts Wenn die minimale Anzahl an Byte nicht eingeht kommt es nie zur Zeit berschreitung der Collector Port Verarbeitung Szenario Zeit berschreitung Begrenzungszeichen Wenn die decide Zeichenkette f r Begrenzungszeichen gefunden wird nachdem die im Feld Minimale Byte angegebene Zahl an Byte eingegan
26. sind Diese Ereignisse werden mithilfe des SNMP Protokolls ber ein Netzwerk an Sentinel gesendet Die SNMP Versionen vl v2 und v3 werden unterst tzt Um Sentinel f r den Empfang von SNMP Traps zu aktivieren muss eine Wizard Collector Instanz erstellt werden die den SNMP Trap Verbindungstyp Rx Tx verwendet Sie k nnen die Einstellungen des SNMP Trap konfigurieren um die Parameter anzugeben mithilfe deren Wizard SNMP Collectors Traps als bin re Ereignisse an Sentinel weitergeben k nnen Das Fenster SNMP Trap Einstellung dient zur Konfiguration der Einstellungen f r Wizard SNMP Collectors einschlie lich des f r SNMP Traps verwendeten Traps der Trap Codes der Authentifizierung und der Verschl sselungsinformationen So k nnen Sie auf das Fensters SNMP Trap zugreifen 1 Weisen Sie in Collector Builder Ihrem SNMP Collector einen Portnamen zu 2 W hlen Sie f r Rx Tx Typ SNMP Trap 3 Klicken Sie mit der rechten Maustaste auf den Portnamen und w hlen Sie die Option Rx Tx Wert bearbeiten Sentinel Wizard Benutzerhandbuch Geben Sie Ihre SNMP Informationen ein HINWEIS Der Standardport f r das UDP Trap ist162 Vergewissern Sie sich dass dieser Port verf gbar ist Anderenfalls k nnen Sie eine andere Portnummer ausw hlen HINWEIS Anders als bei anderen Collector Ports wird das Feld Rx Tx Wert ausgef llt gem Ihren Einstellungen im Fenster f r die Einrichtung des SNMP
27. ssel Muss mindestens acht Zeichen lang sein Beim Verschl sselungsschl ssel muss die Gro und Kleinschreibung beachtet werden Nur aktiviert wenn in der Verschl sselungsliste DES ausgew hlt wurde Engine ID s Eine eindeutige Kennung f r einen SNMP v3 Collector Es gibt eine Abfrageschaltfl che f r Engine IDs mit der die abzufragende IP Adresse gefunden werden kann Eine erfolgreiche Abfrage gibt die Informationen zur ck und f gt die Engine ID hinzu Wenn bereits eine Engine ID im Feld vorhanden ist wird eine weitere angeh ngt Trap OID s Die Objekt ID des Trap das den speziellen Typ des empfangenden Trap angibt HINWEIS Wenn Sie mehrere Sicherheitsnamen und Engine IDs angeben wird f r alle dasselbe Authentifizierungs und Verschl sselungsschema verwendet HINWEIS Wenn verschiedene Authentifizierungs und Verschl sselungsschl ssel f r verschiedene SNMP Collectors ben tigt werden muss f r jeden Collector ein separater Port konfiguriert werden SNMP Trap Variablen Einige Trap Variablen gelten f r alle Traps SNMP v1 und v3 andere nur f r eine einzige Version In den folgenden Tabellen werden alle SNMP Trap Variablen aufgelistet Diese sind nach der SNMP Version gruppiert mit der sie arbeiten SNMP Trap Variablen f r SNMP v1 und v3 SNMP Trap Variablen f r SNMP v1 SNMP Trap Variablen f r SNMP v3 SNMP Trap Variablen f r SNMP v1 und v3 Variable s Trap IP
28. werden wenn ein Collector nicht den Status Empfangen verwendet und lediglich Befehle verarbeitet Detailliertere Informationen zur Einrichtung von Collectors mit dem Verbindungstyp Ohne finden Sie in der Collector Dokumentation z B Collectors ISS RealSecure und ISS SiteProtector unter workbench_home elements lt Collector Name gt docs Erstellen Zuweisen Starten und Stoppen eines Wizard Ports Erstellen eines Wizard Ports 1 Informationen zur Collector Konfiguration finden Sie in der Collector Dokumentation unter workbench_home elements lt Collector Name gt docs Klicken Sie auf die Registerkarte Collectors und w hlen Sie einen Collector aus Klicken Sie in Collector Builder auf die Registerkarte Wizard Hosts und w hlen Sie einen Host aus Doppelklicken Sie im Bereich Portinformationen auf der rechten Seite auf Neu geben Sie den Namen des Ports ein und dr cken Sie die Eingabetaste W hlen Sie einen Rx Tx Typ aus Geben Sie Einrichtungsoptionen auf der Grundlage des Verbindungstyps an Bei seriellen Verbindungen und Socket Verbindungen klicken Sie im Feld Portname mit der rechten Maustaste auf den Namen des Anschlusses und w hlen Sie Rx Tx Wert bearbeiten aus Geben Sie eine der folgenden Optionsmengen an a Bei seriellen Verbindungen W hlen Sie Baudrate Wortgr e Parit t und Stop Bits aus Klicken Sie auf OK a Bei Socket Verbindungen Geben Sie die IP Adresse un
29. Code des Trap Nur relevant wenn s Trap Code Generic 6 SNMP Trap Variablen f r SNMP v3 Variable S l rap Engine ID rap OID Beschreibung Engine ID des SNMP v3 Collector der das Trap gesendet hat Object Identifier OID des Trap das den Typ des empfangenden SNMP v3 Trap angibt Zum Zwecke der Trap Identifizierung bernimmt die OID f r SNMP v3 Traps den Platz der SNMP v1 Enterprise OID und der generischen spezifischen Trap Codes ein S Trap Security Name Sicherheitsname der den SNMP v3 Collector kennzeichnet der das Trap gesendet hat 3 24 Sentinel Wizard Benutzerhandbuch Syslog Connector v1 0 2 HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Novell hat diesen Syslog Connector ver ffentlicht um eine reibungslose Integration zwischen Sentinel Collectors und den Produkten zu erm glichen die in der Lage sind Syslog Meldungen zu generieren Dieses Dokument soll Architektur Installation Verwendung und Optionen des Syslog Connector erl utern Architektur Der Syslog Connector besteht aus zwei Teilen Ein Teil ist der Syslog Proxy und der andere der Syslog Connector Client Der Syslog Proxy berwacht ausgew hlte UDP und TCP Ports Der standardm ige UDP Port ist 514 Der standardm ige TCP Port ist 146 Dieser Port wird blicherweise von Cisco PIX zum Senden von Syslog Meldungen ber das TCP Proto
30. Novell Sentinel www novell com S BS aE cr Band Ill SENTINEL WIZARD BENUTZERHANDBUCH 7 Juli 2006 Novell Rechtliche Hinweise Novell Inc bernimmt keine Gew hrleistung oder Haftung in Bezug auf den Inhalt und die Verwendung dieser Dokumentation und schlie t insbesondere jede ausdr ckliche oder stillschweigende Gew hrleistung bez glich der handels blichen Qualit t sowie der Eignung f r einen bestimmten Zweck aus Dar ber hinaus beh lt sich Novell Inc das Recht vor diese Ver ffentlichung ohne vorherige Ank ndigung zu berarbeiten und inhaltliche nderungen vorzunehmen ohne dass f r Novell die Verpflichtung entsteht Personen oder Organisationen ber die vorgenommenen nderungen zu informieren Novell Inc bernimmt ferner keine Gew hrleistung oder Haftung in Bezug auf Software und schlie t insbesondere jede ausdr ckliche oder stillschweigende Gew hrleistung bez glich der handels blichen Qualit t sowie der Eignung f r einen bestimmten Zweck aus Dar ber hinaus beh lt sich Novell Inc das Recht vor die Novell Software vollst ndig oder teilweise zu ndern ohne dass f r Novell die Verpflichtung entsteht Personen oder Organisationen ber die vorgenommenen nderungen zu informieren S mtliche Produkte und technischen Informationen die im Rahmen dieser Vereinbarung bereitgestellt werden unterliegen m glicherweise den US Exportbestimmungen und den Handelsgesetzen anderer L nder Hiermit erk
31. S Trap Time i Trap Version i Trap Vars Beschreibung IP Adresse des Collector Sensors der das Trap gesendet hat Aktivzeit Wert der vom Collector Sensor gemeldet wurde der das Trap gesendet hat Normalerweise gibt dieser Wert an wie lange der Collector bereits ausgef hrt wird Format D HH MM SS ss Tage Stunden Minuten Sekunden Hundertstelsekunden Wert f r eine bestimmte SNMP Version 1 SNMP vl 32 SNMP v3 Anzahl der Variablenbindungen im Trap Erstellen und Warten von Collectors 3 23 Variable s_Trap_OID S Trap Value Beschreibung Ein Array der Gr e i_Trap_Vars mit den Namen der in der Trap Meldung gebundenen MIB Variablen Jedes Element des s Trap OID Array ist eine OID beispielsweise 1 3 6 1 4 1 4286 Ein Array der Gr e 1 Trap vars mit den Werten der in der Trap Meldung gebundenen MIB Variablen Die Indizes dieses Array und des s Trap OID Array entsprechen sich sodass s Trap OID 0 der Name und s Trap Value 0 der Wert ist SNMP Trap Variablen f r SNMP vi Variable S Trap Ent S Trap Code Generic Beschreibung Enterprise Object Identifier OID des Collector Sensors der das Trap gesendet hat Generischer Trap Code des Trap Es gibt folgende Werte 1 5 Standardm ige IETF definierte Internet Engineering Task Force Trap Typen 6 Unternehmensspezifische Trap Code ist in s Trap Code Specific definiert S Trap Code Specific Spezifischer Trap
32. Trap Bei einem SNMP Collector kann das Feld Rx Tx Wert nicht manuell bearbeitet werden Speichern Sie den SNMP Collector und laden Sie ihn herauf Aktivieren Sie diesen Collector indem Sie Collector Manager stoppen und erneut starten HINWEIS Zur Aktivierung dieses Collector m ssen Sie Collector Manager wie in Schritt 6 angegeben stoppen und erneut starten Erstellen und Warten von Collectors 3 19 SNMP Trap Setup f Name Pacific Rim SNMP Trap Configuration Agent IP Address es SNMP Version SNMP vi UDP Trap Port 162 SNMP v1 Settings Enterprise OID s Trap Codefs be 1 SNMP v2 v3 Settings Security Name s Authentication Authentication Key Encryption Encryption Key Engine ID s Trap OID s Multiple values may be separated by semicolons Use lt expression gt to enable POSIX reqular expression matching OK Cancel Die SNMP Einrichtung besteht aus folgenden Elementen Collector IP Addresse n SNMP Version UDP Trap Port SNMP vl Einstellungen 7 Enterprise OID s s Trap Code s 3 20 Sentinel Wizard Benutzerhandbuch SNMP v2 v3 Einstellungen a Sicherheitsname n Authentifizierung Authentifizierungsschl ssel Verschl sselung a Verschl sselungsschl ssel Engine ID s mit Abfrageschaltfl che a Trap OID s Im Dialogfeld SNMP Trap Einstellung
33. agen werden Nachdem das Unterverzeichnis auf den Remote Computer bertragen wurde f hren Sie den uploadhost Befehl aus Hiermit werden die erforderlichen Dateien in die entsprechenden Verzeichnisse kopiert HINWEIS Wenn die SNMP Simple Network Management Protocol Einstellungen ge ndert werden kann Collector Builder ab dem Zeitpunkt ab dem die Schaltfl che Exportieren aktiviert wird so lange nicht mit dem Remote Computer kommunizieren bis die exportieren Collector Dateien heraufgeladen werden Anzeigen von Wizard Host Eigenschaften Anzeigen von Wizard Host Eigenschaften 1 Aktivieren Sie die Registerkarte Wizard Hosts um den Baumbereich mit den Wizard Hosts zu ffnen Klicken Sie im Baum mit den Wizard Hosts mit der rechten Maustaste auf den Host und w hlen Sie Eigenschaften Im Fenster mit den Wizard Eigenschaften werden folgende Informationen angezeigt Name s ID Hostname IP Adresse Version Aktivzeit Mit OK wird das Fenster mit den Eigenschaften geschlossen HINWEIS Wenn der Host nicht ausgef hrt wird wird beim Klicken auf Eigenschaften ein Fenster angezeigt aus dem hervorgeht dass der Host nicht reagiert Bearbeiten einer Schablonendatei 2 8 Bearbeiten einer Schablonendatei 1 Klicken Sie auf die Registerkarte Collectors um den Bereich mit dem Collector Baum zu ffnen Klicken Sie im Collector Baum auf die Schablone und dann auf die Registerkarte
34. altfl che Bitmap zweite Spalte zweite Zeile und klicken Sie auf Bitmap zuweisen W hlen Sie im Dialogfeld Bitmap Zuweisung eine Bitmap Schaltfl che aus 6 Doppelklicken Sie auf die einzelnen neuen Parameterfelder und geben Sie die entsprechenden Werte ein 7 Wenn alle Werte definiert sind m ssen die Parameter und die Schablonendatei kompiliert werden um ein Skript zu erstellen Gehen Sie zum Abschnitt Erstellen von Skripts Erstellen und Konfigurieren von Suchdateien Dieses Verfahren ist optional Erstellen und Konfigurieren von Suchdateien 1 Klicken Sie auf die Registerkarte Collectors um das Feld mit dem Collector Baum zu ffnen 2 Klicken Sie mit der rechten Maustaste auf einen Collector und klicken Sie auf Neue Suchdatei 3 Geben Sie im Feld Neue Suchdatei einen neuen Suchdateinamen ein und dr cken Sie die Eingabetaste 3 8 Sentinel Wizard Benutzerhandbuch 4 Doppelklicken Sie in der Spalte Abgleichen auf Neu geben Sie die abzugleichende Zeichenkette ein und dr cken Sie die Eingabetaste Abgleichsklauseln k nnen hinzugef gt eingef gt und gel scht werden Hinzuf gen Klicken Sie in der Spalte Abgleichen mit der rechten Maustaste auf eine Klausel und klicken Sie dann auf Abgleichsklausel hinzuf gen Einf gen Klicken Sie in der Spalte Abgleichen mit der rechten Maustaste auf eine Klausel und klicken Sie dann auf Abgleichsklausel einf gen L schen Klicke
35. aluieren Dadurch kann der Filter mit Syslog Relay Servern umgehen Relay Server identifizieren sich nicht in den Meldungen die sie weiterleiten Dieses Argument ist zwar eigentlich dazu gedacht den Umgang mit weitergeleiteten Meldungen zu erm glichen es kann jedoch auch zum Filtern von Meldungen verwendet werden die direkt aus der Syslog Quelle gesendet wurden Besonders relevante Relay Server bzw Syslog Quellen sind 192 16 0 12 und 192 16 0 0 16 Das zweite Element steht tats chlich f r einen Bereich von IP Adressen solange die Quellen IP Adresse zwischen 192 16 0 0 und 192 16 255 255 liegt erf llen die betreffenden Meldungen die Filterkriterien Hostnamem sind nicht g ltig da keine Hostnamen Aufl sung durchgef hrt wird um die Hostnamen der Quellen IP Adresse zu bestimmen host Meldungen abonnieren die die Host Bezeichner 17 16 8 0 24 bzw 10 1 1 13 innerhalb der Syslog Meldung aufweisen Beim ersten Element handelt es sich um einen IP Adressbereich Wenn eine Meldung einen Host Bezeichner in der Form einer IP Adresse enth lt die im Bereich von 17 16 8 0 bis 17 16 8 255 liegt erf llt die Meldung diese Bedingung im Filter Hostnamen werden vom Argument host unterst tzt Der Hostname kann entweder w rtlich oder durch einen regul ren Ausdruck angegeben werden Denken Sie daran dass auch f r dieses Argument keine Hostnamen Aufl sung durchgef hrt wird Man kann nicht davon ausgehen dass die Konfigurierung entweder eines Host
36. auf die Schaltfl che Stoppen Wenn Sie einen Port starten m chten klicken Sie in der entsprechenden Starten Stoppen Spalte auf die Schaltfl che Starten Bearbeiten eines Wizard Ports Wenn Sie die Konfiguration eines Ports bearbeiten w hrend dieser aktiv ist also ausgef hrt wird wird der Port gestoppt Um Datenverluste zu vermeiden stoppen Sie den Port manuell bevor Sie seine Konfiguration bearbeiten Bearbeiten eines Wizard Ports 1 Stoppen Sie den Port f r den entsprechenden Host 2 Befolgen Sie die Schritte zum Erstellen eines Wizard Ports in Kapitel 3 Wenn Sie den Port speichern oder heraufladen wird die vorhandene Konfiguration mit der neuen Konfiguration berschrieben Verwalten von Wizard Hosts 2 11 L schen eines Wizard Ports L schen eines Wizard Ports 1 Stoppen Sie den Port 2 Klicken Sie im Collector Builder Bereich mit den Portinformationen mit der rechten Maustaste auf den Portnamen und w hlen Sie dann Port l schen Alle Ports unterhalb des gel schten Ports werden automatisch gel scht 3 Gehen Sie beim L schen von folgendem Standort wie folgt vor Lokaler Host W hlen Sie die Optionsfolge Datei gt Speichern und dann Portinformationen Remote Hoer W hlen Sie die Optionsfolge Datei gt Heraufladen Herunterladen Durchf hren der Fehlersuche bei einem Wizard Port 2 12 Das Fehlersuchprogramm Debugger erm glicht Ihnen die Fehlersuche hinsichtli
37. auschbar Im Folgenden werden Agenten als Collectors bezeichnet Ein Socket Server stellt einen Endpunkt f r Socket Verbindungen von UNIX Wizard Collector Manager zur Verf gung Beispiel Sie m chten eine Protokolldatei oder eine UNIX Box von einer Wizard Remote Instanz aus berwachen und m ssen eine Firewall passieren um zum Port der UNIX Box zu gelangen Die nachfolgenden Anweisungen dienen der Einrichtung eines Socket Servers auf einem UNIX Uniplexed Information and Computing System Host zudem basierend sie auf der Annahme dass Sie auf dem UNIX Host eine ASCH American Standard Code for Information Interchange Protokolldatei berwachen So richten Sie einen Socket Server Prozess auf einem UNIX Host ein 1 Erstellen Sie das Skript das die Daten f r die TCP Transfer Control Protocol Socket Verbindung bereitstellt Erstellen Sie hierzu eine neue Textdatei und kopieren Sie die nachfolgend angegebenen Zeilen in die Datei Ersetzen Sie hierbei lt Protokolldatei gt mit dem vollst ndigen Pfadnamen der Datei die Sie berwachen m chten bin sh bin tail f lt Protokolldatei gt Speichern Sie die Datei Pfad und Dateiname k nnen frei gew hlt werden Die Datei sollte jedoch an einem Ort gespeichert werden an dem sie nicht gel scht wird und ihr Name sollte Aufschluss ber ihre Funktion geben Beispiel usr local bin logfileserver 2 W hlen Sie einen nicht privilegierten TCP Port auf dem UNIX Host f r
38. ch des an einem Port ausgef hrten Collector Codes Auf der linken Seite des Bereichs mit dem Fehlersuchprogramm wird das Statusskript angezeigt Auf der rechten Seite des Bereichs werden Skripts und RX_Buffer Variablen angezeigt die Namen bis zu 32 Zeichen umfassen k nnen B visual Editor Text Editor 2B Debugger n las ees STOP ASSET TW6 EFState Script IDS AGENT TW6 re breakpdVULN TW6 Currently Debuggii Damit das Fehlersuchprogramm effektiv arbeiten kann muss es sich beim ersten Status um einen Analysestatus handeln und es m ssen Breakpoint Befehle vorhanden sein State 1 Parsing Visual Editor Text Editor 2B Debugger B Bal Dl pure 85 y sz Currently Debugging YULN_TW6 E State Script E Comments printf xFile os main p amp FILER xFile xData RI LENGTH i xData i 5 if i 0 il 4 ES strip xData Od licount 5 REPLACE xData 10 i RXBufferLength REPLACE xData Pe D REPLACEIData For s RXBufferString Sentinel Wizard Benutzerhandbuch Warten Sie beim Durchf hren der Fehlersuche bis der Empfangspuffer Rx Buffer aktualisiert wird bevor Sie die n chste Funktion ausf hren HINWEIS Wenn die Konnektivit t des Collector Manager Host nicht mehr gegeben ist KA ist das Durchf hren der Fehlersuche f r einen Port dieses Collector Manager Host nicht m glich Durchf hren der Fehlersuche bei einem Wizard Po
39. d die Portnummer des Hostcomputers durch Doppelpunkt getrennt ein Wenn kein Empfangsstatus verwendet wird setzen Sie den Typ auf Ohne und klicken Sie auf OK Erstellen und Warten von Collectors 3 15 Bo allen anderen Verbindungstypen Doppelklicken Sie in die Zelle Rx Tx Wert geben Sie die entsprechenden Informationen ein und dr cken Sie die Eingabetaste Informationen zum Verbindungstyp SNMP Trap finden Sie unter Einrichten des SNMP Trap 7 Doppelklicken Sie auf die Collector Zelle und w hlen Sie einen Collector Namen aus 8 Klicken Sie mit der rechten Maustaste auf Portname und klicken Sie dann auf Andere Portoptionen Das Dialogfeld Andere Portoptionen wird angezeigt 9 Aktivieren bzw deaktivieren Sie im Dialogfeld Andere Portoptionen das Kontrollk stchen Port beim Start ausf hren w hlen Sie eine Startsequenz aus und klicken Sie auf OK 10 Wenn Sie einen Port f r den lokalen Host erstellen klicken Sie auf Datei gt Speichern und w hlen Sie Portinformationen Wenn Sie einen Port f r einen Remote Host verwenden Klicken Sie auf Datei gt Heraufladen Herunterladen Der Port wird zum Bereich Portinformationen hinzugef gt Zur Implementierung des neuen Ports braucht das System nicht neu gestartet zu werden Klicken Sie auf Starten um den Status des neuen Ports von Aus in Ein zu ndern Permanente und tempor re Prozesse 3 16 Mithilfe von Permanenter Vorgang oder Tem
40. d zur Protokolldatei gt id lt Uniqueld gt help version _ Komponenten v verwendet Kommagetrennte Liste der gew nschten Hosts Der Syslog Proxy f r die Verbindung mit Host Port Standard 127 0 0 1 9091 REN Kommagetrennte Liste der gew nschten Komponenten standardm ig werden alle Kommagetrennte Liste der gew nschten Schweregrade standardm ig werden alle Stufen verwendet u Kommagetrennte Liste der gew nschten Sender standardm ig werden alle Sender verwendet standardm ig werden alle Hosts verwendet Name der Protokolldatei an die die Meldungen angef gt werden sollen ERE Angabe der Connector Identit t ERFORDERLICH m Zeigtc diese Hilfemeldung an 8 Tabelle der unterst tzen Komponenten Bei der Angabe in der Befehlszeile des Syslog Connector Client wird f r Komponentennamen die Gro und Kleinschreibung nicht ber cksichtigt KERNEL UUCP USER CRON MAIL SECURITY DAEMON FTP DAEMON AUTH NTP SYSLOG LOG AUDIT LPR OG ALERT NEWS CLOCK DAEMON OCA OCA OCA OCA OCA OCA OCA OCA SAU e GA H ta CH Tabelle der unterst tzen Stufen Bei der Angabe in der Befehlszeile des Syslog Connector Client wird f r Stufennamen die Gro und Kleinschreibung nicht ber cksichtigt EMERGENCY WARNING ALERT NOTICE CRITICAL INFORMATIONAL ERROR DEBUG Syslog Connect
41. dard 9091 private berwacht auf Connector Verbindungen auf Loopback Ze re DIR ne rn nee nee LU shared berwacht auf Connector Verbindungen auf Lokalhost Wenn diese Eigenschaft nicht festgelegt ist wird ein log Name der Protokolldatei an die die Meldungen angef gt werden Kb help oo Zeigt diese Hilfemeldung an aaa version Sibt die Version des Proxy aus 0 91 poc _____22 messageSiz Anzahl der gepufferten Meldungen die f r die vor bergehend nicht verf gbaren Verbindungen erneut gesendet werden sollen Die maximale Gr e ist 5000 ohne Kommas Wenn der Optionswert nicht verwendet wird oder gr er als 5000 ist Syslog Connector Client java jar syslogconnector jar id lt Uniqueld gt proxy Host Portnummer facilities lt facilityl facility2 gt levels lt levell level2 gt sender Source IP1 integer subnet mask Source IP2 integer subnet mask gt host lt IPl integer A 12 Sentinel Wizard Benutzerhandbuch subnet mask Hostnamel subnet mask Hostname2 Hostname Regexl IP2 integer Hostname Regex2 gt log lt Dateipfad zur Protokolldatei gt G ltige Argumente proxy lt Host Portnummer gt facilities lt tac lityl fac lity2 gt sender Source IP1 integer subnet mask Source integer subnet mask integer subnet Hostnamel Hostname Regexl IP2 integer subnet log Dateipfa
42. dem alternativen Port herzustellen Au erdem kann der Ziel Host des Connector Client als ein anderer Host als das lokale System angegeben werden Falls ein Syslog Proxy Sitzungen von Remote Connector Clients akzeptiert kann ein Syslog Connector so konfiguriert werden dass er eine Sitzung mit diesem Remote Syslog Proxy herstellt Die IP Adresse und der Connector Client Port des Syslog Proxy werden mit dem Argument proxy konfiguriert Das Argument log aktiviert die Protokollfunktion des Connector Client Der Connector Client gibt Meldungen aus die er vom Syslog Proxy empf ngt Anders als bei der Syslog Proxy Protokolldatei wird der Meldungsinhalt gem f den registrierten Abonnementdetails gefiltert und die einzelnen protokollierten Meldungen enthalten nicht das Priorit tsfeld lt PRI gt Der Inhalt stimmt mit dem Inhalt berein den der Collector vom entsprechenden Syslog Connector Client empf ngt HINWEIS Die Protokolldatei kann recht gro werden Daher m ssen Sie sicherstellen dass das Verzeichnis in das die Datei geschrieben wird ber gen gend Speicherplatz verf gt z B ein Verzeichnis dass nicht unter SEESEC HOME liegt Ein Beispiel unter UNIX f r die Verwendung der Argumente proxy und log ist Folgendes syslog SyslogConnectorAgent sh proxy localhost 9091 log connector messages log id MyUniqueID Konfigurieren der Protokollierung f r den Syslog Proxyserver Der Syslog Proxyserver schreibt Protokollierung
43. den Analysieren Weiter Gehe zu oder Stoppen je nach Bedarf oder klicken Sie auf die entsprechenden Schaltfl chen i bertragen ipe Entscheiden a Bl Analysieren eS weier EZ Gehe zu stoppen F gen Sie mithilfe des Bearbeitungsbereichs unten im Fenster Schabloneneditor den neuen Code in die einzelnen Status ein w hrend Sie sie hinzuf gen Eine weitere M glichkeit besteht darin eine Analysestatus Schaltfl che von der linken Seite des Schabloneneditors in den Bearbeitungsbereich zu ziehen und dort abzulegen HINWEIS Verwenden Sie in der decide Zeichenkette keine doppelten Anf hrungszeichen weder im Status Empfangen um beispielsweise das Begrenzungszeichen in einer Protokolldatei abzugleichen noch im Status Entscheiden Sie erhalten folgende Fehlermeldung ERROR Reading Template File Wenn ein oder mehrere Anf hrungszeichen in die decide bzw delimiter Zeichenkette eingef gt werden tritt ein Fehler der folgenden Art auf StateDecideString test 123 Sie k nnen das Problem umgehen indem Sie anstelle von Anf hrungszeichen die Zeichenkette 22A verwenden HINWEIS Wenn Sie ein weiteres Element auf der Registerkarte Collectors ausw hlen auch wenn es sich dabei um denselben Collector handelt und anschlie end zu der problematischen Schablone zur ckkehren gibt Collector Builder diese Fehlermeldung aus und zeigt keinen Teil oder Status der Schablone an D
44. den die mit diesem Wert beginnen verwenden Sie 192 168 Dabei muss der Zeilenanfangs Anker sein Um nur Zeichenketten zu finden die mit diesem Wert beginnen verwenden Sie 0 47 Dabei muss der Zeilenend Anker sein abc entspricht a oder b oder c a zA 20 9 entspricht einem beliebigen Einzelbuchstaben im Alphabet Gro oder Kleinbuchstabe bzw einer beliebigen Ziffer von 0 bis 9 Erstellen und Warten von Collectors 3 21 Im Grunde lauten die Regeln in den obigen Beispielen f r bliche regul re Ausdr cke wie folgt entspricht einem beliebigen Zeichen entspricht null oder mehr Vorkommnissen des vorstehenden Musters entspricht einem beliebigen Einzelzeichen aus dem in Klammern definierten Muster HINWEIS Diese Regeln k nnen kombiniert werden SNMP Version Es kann nur eine einzige SNMP Version konfiguriert werden Die Optionen in den Bereichen f r die Einstellungen von SNMP v1 und SNMP v2 v3 werden gem der von Ihnen ausgew hlten Version aktiviert UDP Trap Port Der Standardwert f r den Zielport des UDP Ports lautet 162 SNMP v1 Einstellungen Diese Einstellungen sind nur aktiviert wenn Sie SNMP v1 aus der Liste der SNMP Versionen ausw hlen Enterprise OID s Object ID s zur Identifizierung des Collector Typs der das Trap gesendet hat Trennen Sie mehrere Werte durch Semikolon Trap Code s Trap Codes f r Sensors die die SNMP Traps senden Diese Trap Codes repr s
45. dung gewonnen werden Erstellen Sie die Collectors und starten Sie die Ports Bei Verwendung von Remote Hosts m ssen Sie die Collector Dateien auf diese Remote Hosts heraufladen Starten Sie den Port zur Ausf hrung der Start Skripts die gesammelten Informationen werden ber das Sentinel System gemeldet Sentinel Wizard Benutzerhandbuch berwachung erfolgt ber eine serielle Verbindung RS 2320 Host oder Datenquellennetzwerk aktiviert Agent Datenquelle am selben Ort Ja Ja berwachung erfolgt durch Lesen einer lokalen Datei vom Datentr ger Ist der Zugriff auf die Datenquelle ber ein Netzwerkdateisystem m glich 1 berwachung erfolgt Nein ber eine TCP Socket Verbindung berwachung erfolgt durch Lesen einer Datei vom Netzwerklaufwerk Stoppen y Erstellen eines Collector Wie bereits er rtert m ssen Sie zur Erstellung eines Collector folgende Elemente erstellen Schablonendateien Parameterdateien Suchdateien optional Skripts Zuweisen eines Wizard Portnamens f r einen Collector Erstellen und Konfigurieren von Schablonendateien Erstellen und Konfigurieren von Schablonendateien 1 Starten Sie Collector Builder 2 Klicken Sie auf die Registerkarte Collectors um das Feld mit dem Collector Baum zu ffnen 3 Klicken Sie im Collector Baum mit der rechten Maustaste auf Collectors und klicken Sie dann
46. e Informationen zur Konfiguration von Collectors mit diesem Verbindungstyp finden Sie in der Dokumentation zum Collector z B Collectors Solaris Syslog und Windows 2000 Ereignisprotokoll unter workbench_home elements lt Collector Name gt docs Verbindungstyp Permanenter Vorgang Der Verbindungstyp Permanenter Vorgang dient zum Starten eines permanenten Prozesses beim Start des Ports Der Prozess sorgt durch Empfangs und bertragungsstatusangaben f r die Kommunikation zwischen dem diesem Port zugewiesenen Collector und einer externen Anwendung Ein permanenter Vorgang wird beim ersten Lese Schreibstatus gestartet und w hrend der gesamten aktiven Dauer des Ports fortgesetzt Der Prozess wird vom Port im Rahmen des Herunterfahrens beendet Wenn der Port stoppt wird ein Ereignis der Stufe 5 gesendet Beim Starten des Ports wird ein Ereignis der Stufe 1 gesendet Erstellen und Warten von Collectors 3 13 Weitere Informationen finden Sie im Abschnitt Permanente und tempor re Prozesse Informationen zur Konfiguration des Rx Tx Werts f r diesen Verbindungstyp finden Sie im Abschnitt Konfigurieren des Rx Tx Werts f r eine permanente bzw tempor re Verbindung Rx Tx Typ Weitere Informationen zur Konfiguration von Collectors mit einem permanenten Verbindungstyp finden Sie in der Dokumentation zum Collector z B Collector Check Point Firewall amp VPN unter workbench_home elements lt Collector Name gt docs V
47. e Verbindung Rx Tx Typ Verbindungstyp SNMP Trap 3 14 Der Verbindungstyp SNMP Trap dient zum Empfang von Traps der SNMP v1 v2 und v3 Traps Diese Traps werden von Sensoren an die Server IP Adresse von Wizard gesendet Anhand der IP Adresse und des Object Identifier OID des sendenden Ger ts aktiviert Collector Manager die Analyse ber den entsprechenden Collector Der Rx Analyse Zustand leitet eingehende SNMP Trap Daten an den Collector weiter Sentinel Wizard Benutzerhandbuch Alle zum Sammeln und Analysieren von SNMP v1 und v3 Traps verwendeten Informationen k nnen konfiguriert werden SNMP v1 Traps werden mithilfe der IP Adresse und des Object Identifier OID sowie mit einem Trap Code identifiziert SNMP v2 v3 Traps werden mithilfe von IP Adresse Sicherheitsnamen Engine ID Authentifizierung und Verschl sselungsschl sseln wenn im Trap aktiviert sowie des Object Identifier OID des Trap identifiziert Das urspr ngliche Format des Trap wird hinsichtlich der Trap Werte so weit wie m glich beibehalten Das Format wird urspr nglich in der MIB Management Information Base f r den Sensor definiert von dem das Trap ausging Weitere Informationen finden Sie unter Einrichten des SNMP Trap Verbindungstyp Ohne Der Verbindungstyp Ohne wird ohne Kommunikationsport verwendet Er ist effizienter da er nicht versucht eine Verbindung herzustellen Dieser Verbindungstyp sollte verwendet
48. e folgende Leistung erwarten Grenzwerte f r den Proxyserver Maximale Anzahl an 500 E s Gesamtwert f r alle Client Ports Maximale Gr e von 5000 Meldungen Standard wenn nichts anderes angegeben ist e EE EE Maximale Anzahl an 5 Connectors Um die Einstellungen f r den Arbeitsspeicher zu bearbeiten m ssen Sie folgenden Abschnitt der Datei syslog conf ndern Initial Java Heap Size in MB wrapper java initmemory 64 Maximum Java Heap Size in MB wrapper java maxmemory 256 Syslog Connector Client Der Syslog Connector Client stellt eine Verbindung zum Syslog Proxy her und sammelt dabei die Meldungen die er abonniert hat Die vom Client gesammelten Meldungen werden anschlie end an die Standardausgabe weitergeleitet Die Sitzung des Client mit dem Server endet erst wenn der Client Prozess bzw der Syslog Proxy beendet wird Durch dieses Betriebs und Ausgabeverhalten eignet er sich zur Verwendung als Connector f r permanente Prozesse durch die Collector Engine Konfigurieren Sie im Fenster f r die Port Konfiguration von Collector Builder einen Port mit dem Rx Tx Typ Permanenter Vorgang und einem Rx Tx Wert der der im Folgenden angegebenen allgemeinen Syntax hnelt Bei UNIX syslog SyslogConnectorAgent sh Argumente Bei Windows syslogNSyslogConnectorAgent bat Argumente Nach Abschluss des Rx Tx Werts m ssen Sie den entsprechenden Collector aus der Bibliothek ausw
49. ectors werden mithilfe von Wizard Collector Builder erstellt aktiviert und gewartet Klicken Sie auf die Registerkarte Collectors um den Collectors Baum und somit alle Collector Komponenten Ihres Sentinel Systems anzuzeigen iix File Edi Yiew Options Preferences Help miele ES pal Curent Host Teac van E Template Editor main D Parameters DICH DemoEvents E E DemoVulnerabilityUpload E SendMultipleE vents DICH SendOneE vent ELCH TI CHKP FRwL suen DESC Bv Be T1 CISC Pia Das LOGF Bv41 fe T1 GNUx NM P 0355 LOGF B a T1 GNUx SNRT 0200 LOGF Bv 23 T1 GNUx SNRT 0200 LOGF Bv B agent EI agent parsing B alert style State 1 Parsing auto fi auto Visual Editor Text Editor A Debugger s B e El State Script nain Bi LB Comments EI main e Comments LOOKUP Setup std LOOKUPf Setup agent LOOKUPf Setup custom LOOKUP Check_Setup std LOOKUP Check Setup agent EI Rename Customer CT1 Filter i B Rename_Customer_CT2_Filter E Ze EF E Rename Customer CUSTOM Lh Ge EB Rename_Customer_DHN_Filter bk Ce E Rename_Customer_DIP_Filter S Ss 4 EI Rename Customer DP Filter s Zu EI Rename Customer DUN Filtei H Ad EI Rename Customer EVT Filter B Rename Customer RT1 Filter EM Rename Customer AT SC Wi Agents iml Wizard Hosts Collector Manager bietet Ihnen folgende M glichkeiten Erstellen eines Collector Erst
50. ee en nein deM ENEE Een 2 7 Neustarten eines Ward Host 2 7 Exportieren eines WiZard Host 20 2 2 ccceececeecseeeeeeneeeeeeeseeeeeeseneenenenneeeesceeesessenenseseaeesesaneesesseneneseneeessces 2 8 Anzeigen von Wizard Host Eigenschaften AAA 2 8 Bearbeiten einer Schablonendatei cies eene nene sense 2 8 L schen einer Schablonendatei ccce ene nenene mener nnne eren nra 2 9 Umbenennen einer Suchdaltei 2 2 2 a 2 ecce eee eee eue nenn 2 10 L schep einer S chdalel rte e rte hte nen te cin eni eue dieere e dre 2 10 L schen eines Skfipts tdem an een teet gites AE 2 10 LOschen einer E ET 2 10 ISS re D Gel CN 2 10 Starten und Stoppen eines Wizard Ports GU 2 11 Bearbeiten eines Wizard Poms tists niii eere re eee e rye dere a ee de den EE 2 11 L schen eines Wizard Ports un nenne va le e V Pee le e rr va tc Dn Ed 2 12 Durchf hren der Fehlersuche bei einem Wizard Port 2 12 Herauf und Herunterladen von Collectors und Hosts nennen 2 14 Aufr sten voti Gollectors x ei te Eee UE een ee aie 2 18 3 Erstellen und Warten von Collectors 3 1 Grundlagen zur Collector Erstellung AAA 3 2 Grundlegende Schritte f r die Implementierung von Collectors ssssssessseeesirssssinssstnneretnnerrnnetnnnneenn nne 3 2 Ersteller eiries GollectOr 2 en na ee nee EEN 3 3 Erstellen und Konfigurieren von Schablonendateien ssseeeene 3 3 Erstellen und Konfigu
51. ehlersuche bei Wizard Ports erl utert 2 10 Sentinel Wizard Benutzerhandbuch Starten und Stoppen eines Wizard Ports GUI Wenn ein Collector gestartet oder gestoppt wird ver ndert sich die Schaltfl che Starten bzw Stoppen unterhalb der Starten Stoppen Spalte sobald der Collector tats chlich startet bzw stoppt Bei der Arbeit mit einem Remote Collector wird diese nderung m glicherweise mit Verz gerung bermittelt da auf Informationen zum Collector Status gewartet wird Durch das Starten bzw Stoppen eines Ports werden das ausgew hlte Startskript und das ausgew hlte Zur cksetzungsskript ausgef hrt Wenn s mtliche Ports gestartet werden wird ein Port nur gestartet wenn im Men Optionen unter Andere Portoptionen das Kontrollk stchen Port beim Start ausf hren aktiviert ist Starten und Stoppen aller Wizard Ports 1 Gehen Sie zur Durchf hrung folgender Schritte im Wizard Fenster wie folgt vor Wenn Sie alle Ports stoppen m chten klicken Sie in der Symbolleiste auf die Schaltfl che Stoppen Wenn Sie alle Ports starten m chten klicken Sie in der Symbolleiste auf die Schaltfl che Starten File Edit View Of ECKE Stop Start Starten und Stoppen eines einzelnen Wizard Ports 1 Gehen Sie zur Durchf hrung folgender Schritte im Wizard Fenster wie folgt vor Wenn Sie einen Port stoppen m chten klicken Sie in der entsprechenden Starten Stoppen Spalte
52. eldungen in den USA und in anderen L ndern sind jedoch nicht darauf beschr nkt Novell Inc 404 Wyman Street Suite 500 Waltham MA 02451 U S A www novell com Online Dokumentation Zugriff auf die Online Dokumentation f r dieses und andere Novell Produkte sowie auf Aktualisierungen erhalten Sie unter www novell com documentation Novelt Marken Informationen zu Novell Marken finden Sie in der Liste der Marken und Dienstleistungsmarken von Novell http www novell com company legal trademarks tmlist html Materialien von Drittanbietern Alle Marken von Drittanbietern sind Eigentum der jeweiligen Inhaber Rechltliche Hinweise zu Drittanbieterprodukten Sentinel 5 enth lt m glicherweise folgende Drittanbietertechnologien Apache Axis und Apache Tomcat Copyright 1999 bis 2005 Apache Software Foundation Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www apache org licenses ANTLR Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www antlr org Boost Copyright 1999 Boost org Bouncy Castle Copyright 2000 2004 the Legion of Bouncy Castle Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www bouncycastle org Checkpoint Copyright Check Point Software Technologies Ltd Concurrent Dienstprogrammpaket Copyright Doug Lea Wird ohne die Klassen CopyOnWriteArrayList und ConcurrentReade
53. ellen und Konfigurieren von Schablonendateien Erstellen und Konfigurieren von Parameterdateien a Erstellen und Konfigurieren von Suchdateien Erstellen von Skripts Erstellen eines Wizard Ports Erstellen und Warten von Collectors 3 1 Grundlagen zur Collector Erstellung Die grundlegenden Schritte zum Erstellen von Collectors sind folgende Erstellen und Konfigurieren von Schablonendateien einschlie lich Entscheidungspunkten auf der Grundlage der Anwendung von Statuswerten Erstellen und Konfigurieren von Parameterdateien Erstellen und Konfigurieren von Suchdateien optional Erstellen von Skripts Zuweisen einer Startsequenz zu einem Skript Erstellen Zuweisen Starten und Stoppen eines Wizard Ports Grundlegende Schritte f r die Implementierung von Collectors Das Implementieren eines Collector gliedert sich in folgende grundlegende Schritte 3 2 Bestimmen der zu berwachenden Elemente Festlegen der Art und Weise der Daten berwachung Ermitteln des Betriebssystems des Produkts Wenn sich Host und Produkt auf demselben Computer befinden besteht die naheliegendste Methode zur Gewinnung der Daten darin sie aus der Protokolldatei des Produkts auszulesen Wenn sich Host und Produkt nicht auf demselben Computer befinden k nnen die ben tigten Daten durch die Einrichtung eines Netzwerkdateisystems wie NFS Samba oder SMB Freigabe einer TCP IP Socket Verbindung oder einer seriellen Verbin
54. em seriellen RS 232C Anschluss gelesen s Socket eine TCP Socket Verbindung o Datei neu liest nur Sicherheitsereignisdaten die einer Datei hinzugef gt werden nachdem das Skript gestartet wurde liest vom Ende der Datei Datei alle liest s mtliche Sicherheitsereignisdaten in einer Datei Permanenter Vorgang startet einen permanenten Vorgang wenn der Anschluss aktiviert wird sorgt durch Empfangs und bertragungsstatusangaben f r die Kommunikation zwischen dem diesem Anschluss zugewiesenen Collector und einer externen Anwendung und wird f r die aktive Dauer des Anschlusses fortgesetzt Einf hrung in Wizard 1 3 v Tempor rer Vorgang sorgt durch Empfangs und bertragungsstatusangaben f r die Kommunikation zwischen dem diesem Anschluss zugewiesenen Collector und einer externen Anwendung Tempor re Vorg nge k nnen mehrmals gestartet werden a SNMP empf ngt SNMP v1 v2 und v3 Traps Keine Collectorname Collectors k nnen umbenannt kopiert und hinzugef gt werden Wenn eine Schablone den LOOKUP Parsing Befehl verwendet wird die entsprechende Suchdatei nach einem bestimmten Block mit Parsing Befehlen zur Ausf hrung durchsucht Wenn eine Schablone den TRANSLATE Parsing Befehl verwendet l dt der Befehl eine Zuordnungsdatei um die schnelle Suche nach Schl sseleintr gen zu erm glichen Schablonendatei Parameterdatei tem par Suchdatei ikp Skriptdateien asd Startsequenzen ch
55. en Collector Builder Instanzen ein Collector Builder als prim rer Collector Builder bestimmt wird Auf diesem Computer werden Collectors gespeichert entwickelt oder ge ndert sowie Ports konfiguriert Wizard umfasst folgende Komponenten Collector Builder ist die Wizard Benutzeroberfl che ber die Sie Collectors erstellen konfigurieren bereitstellen und steuern k nnen Collector Builder erm glicht neben der lokalen Ausf hrung von Collectors zudem das Heraufladen das Herunterladen sowie das Steuern von Collectors auf Remote Systemen Collector Manager ist die Wizard Back End Komponente die Collectors und Meldungen zum Systemstatus verwaltet und eine globale Filterung von Ereignissen durchf hrt Als Collector wird ein Rezeptor bezeichnet der unverarbeitete rohe Ereignisse aus Sicherheitsger ten und Programmen sammelt und normalisiert Diese Ereignisse k nnen korreliert gemeldet und f r Antworten auf Vorf lle verwendet werden Die Sentinel Software stellt Tier 1 Collectors bereit ber das Sentinel Kundenporal unter http www esecurityinc com k nnen zus tzliche Collectors heruntergeladen werden Ereignisse von Sicherheitsger ten zB IDS Firewalls Router Webserver Datenbanken Switches Mainframe Virenschutz lt 7c lt 1 gt
56. endigung auf da ein UDP Paket eine einzelne Meldung transportiert und UDP verbindungslos ist Installation und Deinstallation Der Syslog Connector wurde f r den Betrieb auf allen Wizard Plattformen entwickelt Aufgrund dieser Portierbarkeitsanforderung wurden beide Komponenten in Java geschrieben Im Folgenden finden Sie eine Auflistung der Hardware und Softwareanforderungen A 2 Sentinel Wizard Benutzerhandbuch Systemanforderungen Software Java 1 4 1 oder h her Wizard 4 2 oder h her Windows 2000 XP 2003 Solaris 8 9 RedHat Enterprise Linux v3 ES AS Hardware Zus tzlich 14 MB RAM 45 MB virtueller Arbeitsspeicher f r jede Instanz von Syslog Connector und Proxy Installation Sowohl der Syslog Proxy als auch die Connector Client Dateien werden automatisch bei der Installation des Collector Service installiert Die Syslog Dateien befinden sich in folgendem Verzeichnis Bei Bei 9 KJ UNIX ESEC HOME wizard syslog Windows ESEC HOMES NwizardNsyslog Wizard startet den Syslog Proxy nicht automatisch Wenn der Syslog Proxy automatisch gestartet werden soll muss er als Service installiert werden Installieren Sie den Syslog Proxy gem den folgenden Anweisungen als Proxy Installation als Windows Service Windows HINWEIS Der Syslog Proxy kann als automatisch auszuf hrender Windows Service installiert werden Um den Syslog Proxy als Service zu installieren m ssen S
57. entieren die vom jeweiligen SNMP Collector gesendeten Trap Typen Trennen Sie mehrere Werte durch Semikolon SNMP v2 v3 Einstellungen Sicherheitsname n Der f r den Zugriff auf den Collector verwendete Benutzername Bei Sicherheitsnamen muss die Gro und Kleinschreibung beachtet werden Trennen Sie mehrere Werte durch Semikolon Authentifizierung Authentifizierungsmethode Es gibt folgende Werte a Keine Bei SNMP v3 Traps wird keine Authentifizierung durchgef hrt s MDS Sicherheitsname wird so konfiguriert dass der MD5 Algorithmus zur Erstellung einer digitalen Signatur f r die Authentifizierung verwendet wird Authentifizierungsschl ssel Das zur Authentifizierung des Benutzers auf dem Collector verwendete Passwort Nur Aktiviert wenn Authentifizierung auf MD5 gesetzt ist Muss mindestens acht Zeichen lang sein Bei Authentifizierungsschl sseln muss die Gro und Kleinschreibung beachtet werden Derselbe Schl ssel muss auf dem sendenden SNMP Collector konfiguriert werden Verschl sselung Verschl sselungsmethode Es gibt folgende Werte o Keine Bei SNMP v3 Traps wird keine Verschl sselung durchgef hrt DES Erwartet Traps zu erhalten die mit der Verschl sselungsmethode DES Data Encryption Standard verschl sselt sind 3 22 Sentinel Wizard Benutzerhandbuch Verschl sselungsschl ssel Der zur Verschl sselung der an Wizard Collectors gesendeten Traps verwendete Schl
58. entinel Console zudem wird die Collector Versionsermittlung unterst tzt Collector Parsing wird in der Datei agent lkp definiert Es gibt folgende Suchf lle Setup Einmalige Einrichtung von Variablen und Parametern Check Setup Einmalige Pr fung dieser Variablen und Parameter nitialize Vars Der Anfang der einzelnen Schleifen Variablen werden hierbei einmal pro Analysevorgang Parse initialisiert Parse Der Ort an der der Analysevorgang durchgef hrt wird Auf diese Weise k nnen neue Collectors als Plugins in bestehende Schablonen eingef gt werden Zudem ist der Overlay Vorgang f r neue Versionen des Collector Analysevorgangs und somit die Aktualisierung des Codes m glich Nachfolgend sind die Manifest Dateien und ihr Inhalt f r V5 0 aufgef hrt agent nfo o product Snort s product vendor GNU o product version 2 0 o product security type IDS 2 product sensor type N s product name IDSx_GNUx_SNRT s file version l Weitere Sentinel Referenzen Folgende Handb cher sind auf den Sentinel Installations CDs enthalten SentinelTM Installationshandbuch SentinelTM Benutzerhandbuch SentinelTM 5 Wizard Benutzerhandbuch SentinelTM Referenzhandbuch f r Benutzer Sentinel M Handbuch f r Drittanbieter Integration Versionshinweise Kontaktaufnahme mit Novell Website http www novell com Technischer Support von Novell http www novell com support index html Internationaler technischer S
59. erbindung mit dieser ID hergestellt wurde bleibt erhalten Der generische Filter im vorherigen Filter f hrt eventuell zu nutzloser Collector Verarbeitung Dies ist der Fall wenn die Meldungen die die Filteranforderungen erf llen n mlich alle empfangenen Meldungen f r die Vorg nge des betreffenden Collector nicht relevant sind Aus dem oben angegebenen Beispiel sollte hervorgehen dass der Filterausdruck sehr vielseitig einsetzbar ist Im folgenden Beispiel UNIX wird restriktiver daf r jedoch auch genauer beschrieben welche Meldungen f r den Collector relevant sind syslog SyslogConnectorAgent sh facilities user kernel levels warning error sender 192 16 0 12 192 16 0 0 16 host 5n17 16 8 0 24 10 1 1 13 id MyOtherUniqueID Die Interpretation dieser Befehlszeile lautet wie folgt Verbindung zum Syslog Proxy herstellen der diese Verbindung berwacht unter 127 0 0 1 9091 facilities Alle Meldungen abonnieren die mit den Funktionen user Benutzer oder kernel Kernel gesendet wurden levels Alle Meldungen abonnieren die mit den Stufen warning Warnung oder error Fehler gesendet werden Sentinel Wizard Benutzerhandbuch sender Meldungen abonnieren die durch die Quellen IP Adresse der eingehenden Meldungen an den Syslog Proxy identifiziert werden Dieses Argument f hrt dazu dass der Syslog Proxy die IP Header Informationen untersucht um diese Kriterien zu ev
60. erbindungstyp Tempor rer Vorgang Der Verbindungstyp Tempor rer Vorgang dient zum Starten eines tempor ren Prozesses beim Start des Ports Der Prozess sorgt durch Empfangs und bertragungsstatusangaben f r die Kommunikation zwischen dem diesem Port zugewiesenen Collector und einer externen Anwendung Tempor re Vorg nge k nnen mehrmals gestartet werden Der Prozess wird vom Port im Rahmen des Herunterfahrens beendet HINWEIS Bei Auswahl von Permanenter Vorgang bzw Tempor rer Vorgang muss Rx Tx Wert den Pfad und den Dateinamen des auszuf hrenden Prozesses enthalten Sie k nnen entweder den vollst ndigen Pfad und Dateinamen oder einen relativen Pfad und Dateinamen f r WORKBENCH_HOME angeben Beispiel Vollst ndiger Pfad C Programme Cisco Csids_client start Relativer Pfad elements Cisco Csids_client start Beim permanenten Prozess wird von einem relativen Pfad ausgegangen es sei denn Rx Tx Wert wird als vollst ndiger Pfad eingegeben Beenden des tempor ren Prozesses Wenn der tempor re Prozess vor Beendigung des Parsers stoppt wird er beim n chsten Lese oder Schreibstatus neu gestartet ohne dass ein Ereignis gesendet wird Weitere Informationen finden Sie im Abschnitt Permanente und tempor re Prozesse Informationen zur Konfiguration des Rx Tx Werts f r diesen Verbindungstyp finden Sie im Abschnitt Konfigurieren des Rx Tx Werts f r eine permanente bzw tempor r
61. erwaltet Es gibt folgende Wizard Host Benutzerberechtigungen Berechtigungsname Beschreibung Collectors anzeigen a Collector Registerkarte in Sentinel Control Center anzeigen Registerkarte mit Wizard Hosts in Collector Builder anzeigen Collectors steuern Umfasst dieselben F higkeiten wie die Berechtigung Collectors anzeigen Erm glicht die Steuerung von Collectors ber Sentinel Control Center Erm glicht die Steuerung von Collectors ber Wizard Collector Builder Collector Administration 7 Umfasst dieselben F higkeiten wie die Berechtigung Collectors steuern In Collector Builder Bearbeiten und Bereitstellen von Collectors In Collector Builder Erstellen Bearbeiten und Kompilieren von Collectors sowie Durchf hren der Fehlersuche f r Collectors In Collector Builder Herauf und Herunterladen von Collectors In Collector Builder Exportieren von Wizard Hosts In Collector Builder Hinzuf gen Bearbeiten und L schen von Ports In Collector Builder Festlegen von Portoptionen Die Steuerung umfasst folgende Schritte Einzelne Ports starten stoppen Alle Ports starten stoppen Hosts neu starten Hosts umbenennen Wizard Host Verwaltung In diesem Kapitel werden folgende Themen erl utert Starten von Collector Manager Umbenennen einer Suchdatei Stoppen von Collector Manager L schen einer Suchdatei Collector Manager Administration L schen eine
62. eue Werte f r Parameter eingegeben werden diese wirksam nachdem Sie Ihr Skript erstellt haben Beim Erstellen eines Skripts werden sie mit der Schablonendatei zusammengef hrt Die Dateinamen der Ausf hrungsskriptdateien werden in der ersten Zeile der Tabelle angezeigt die Parameternamen oder Labels werden in der ersten Spalte der Tabelle angezeigt In der zweiten Zeile der Tabelle werden die Symbole definiert die im Collector Baum angezeigt werden In den restlichen Zeilen werden die Variablen oder die Parameterwerte definiert die f r die Parameter verwendet werden da diese zu einem bestimmten Skript geh ren Sentinel Wizard Benutzerhandbuch Werte innerhalb der Parameterdatei sind META Tags Informationen und Kommentare es sind mehr als 200 META Tags verf gbar 100 k nnen vom Benutzer konfiguriert werden die restlichen sind reserviert Regel Dateinamen werden in der Kopfzeile der Tabelle angezeigt die Parameter selbst werden in der ersten Spalte der Tabelle angezeigt Bitmap zweite Zeile in der Tabelle Es wird die Bitmap definiert die f r diese Datei verwendet wird Die Bitmap wird in der Collectors Liste angezeigt Suchdateien Suchdateien sind optionale Tabellen Ikp Dateien die zum Vergleich empfangener Werte verwendet werden k nnen um zu ermitteln welche Ma nahmen ggf als Reaktion auf Sicherheitsereignisse ergriffen werden m ssen In den Suchdateien sind Abgleichsklauseln enthalten die zum Vergle
63. f Dienste w hlen Sie Agenten Manager Stoppen und starten Sie den Service f r den Agenten Manager ndern des Collector Manager Passworts unter UNIX 2 6 HINWEIS Um die strengen Sicherheitskonfigurationen zu erf llen die von Common Criteria Certification gefordert werden wird die Verwendung eines starken also komplexen Passworts mit folgenden Eigenschaften dringend empfohlen 1 W hlen Sie Passw rter aus die mindestens 8 Zeichen umfassen und mindestens einen Gro buchstaben einen Kleinbuchstaben ein Sonderzeichen amp _ und eine Zahl 0 9 enthalten 2 Das Passwort darf nicht Ihren Email Namen oder einen Teil Ihres vollst ndigen Namens enthalten 3 Bei Ihrem Passwort sollte es sich nicht um ein bliches Wort handeln z B kein Wort das im W rterbuch steht oder ein allgemein gebr uchliches umgangssprachliches Wort 4 Ihr Passwort sollte keine W rter aus irgendeiner Sprache enthalten da es zahlreiche Programme zum Knacken von Passw rtern gibt die in wenigen Sekunden Millionen m glicher Wortkombinationen durchgehen k nnen 5 Sie sollten ein Passwort w hlen das Sie sich merken k nnen und das dennoch komplex ist Beispiel mSi5 JalT Mein Sohn ist 5 Jahre alt oder iLs5 JiK Ich lebe seit 5 Jahren in K ln ndern des Collector Manager Passworts unter UNIX 1 Begeben Sie sich als Benutzer esecadm zum Verzeichnis SWORKBENCH HOME Geben Sie den folgenden Befehl ei
64. fnahme der Befehlsausf hrung klicken Das Fehlersuchprogramm stoppt bei allen Haltepunkten seine Ausf hrung wird jedoch fortgesetzt Der Port weist den Status Ein auf Bei Pausen im Fehlersuchmodus werden keine Ereignisse gesendet Wenn der Parser das Analyseprogramm beendet wird werden die Schaltfl chen abgeblendet und in der Auswahlliste wird angegeben dass zurzeit keine Fehlersuche f r einen Port durchgef hrt wird Das Fehlersuchprogramm unterbricht eine Pause nicht eigenst ndig Wenn Sie also die Fehlersuche f r einen Parser durchf hren der auf einen Befehl zum vor bergehenden Anhalten Pause gesto en ist wird die Schaltfl che f r das Stoppen bzw f r den Schritt erst aktiv wenn die Pause verstrichen ist Verwalten von Wizard Hosts 2 13 Herauf und Herunterladen von Collectors und Hosts Das Fenster Heraufladen Herunterladen enth lt die folgenden drei Registerkarten Hosts Hiermit werden die einzelnen Portkonfigurationen sowie die einzelnen Collector Erfassungen auf jeden der angegebenen Hosts heraufgeladen Jeder Host verf gt weiterhin ber seine eigene Portkonfiguration und Collector Erfassung Collectors F r das Heraufladen einzelner Collectors Netzwerk auff llen Hiermit werden die Portkonfigurationen Agenten eines einzelnen angegebenen Host auf alle ausgew hlten Hosts heraufgeladen Alle ausgew hlten Hosts erhalten dieselbe Portkonfiguration und Collector Erfassung wie der Quell Host Beim
65. gen ist werden die Daten bis zum und einschlie lich des Begrenzungszeichens im Empfangspuffer Rx Buffer gespeichert Wenn die decide Zeichenkette f r Begrenzungszeichen nicht gefunden wird werden keine Daten in den Empfangspuffer bertragen und die Zeit berschreitung der Collector Port Verarbeitung tritt innerhalb des standardm igen Zeit berschreitungszeitraums ein Szenario Warten Begrenzungszeichen Wenn die decide Zeichenkette f r Begrenzungszeichen gefunden wird nachdem die im Feld Minimale Byte angegebene minimale Anzahl an Byte eingegangen ist wird die Collector Port Verarbeitung fortgesetzt und die Daten werden verarbeitet Wenn die decide Zeichenkette f r Begrenzungszeichen nicht gefunden wird werden keine Daten in den Empfangspuffer bertragen und es kommt zu keiner Port Zeit berschreitung Wenn die decide Zeichenkette f r Begrenzungszeichen in keinem Fall gefunden wird kommt es in keinem Fall zur Zeit berschreitung der Collector Port Verarbeitung Zudem gilt Folgendes Wenn die decide Zeichenkette f r Begrenzungszeichen gefunden wird die minimale Anzahl an Byte jedoch nicht eingegangen ist kommt es in keinem Fall zur Zeit berschreitung der Collector Port Verarbeitung Status Entscheiden Im Status Entscheiden wird der Inhalt des Empfangspuffers bzw der Variable ausgewertet um zu ermitteln welche Ma nahme ergriffen werden soll Wenn die Informationen im Empfangspuffer den ausgew h
66. gstypen Serieller Verbindungstyp Socket Verbindungstyp Verbindungstyp Datei neu Verbindungstyp Datei alle Verbindungstyp Permanenter Vorgang Verbindungstyp Tempor rer Vorgang Verbindungstyp SNMP Trap Verbindungstyp Ohne Serieller Verbindungstyp Der serielle Verbindungstyp wird verwendet wenn Daten ber einen seriellen RS 232C Anschluss gelesen werden entweder ber ein serielles Kabel oder eine serielle Modemverbindung Sie m ssen den ensprechenden seriellen Anschluss z B COMI COM2 im Feld Rx Tx Wert angeben Der Host auf dem das zu berwachende Produkt ausgef hrt wird muss au erdem ber eine serielle Verbindung mit dem Host des Collector verf gen entweder ber ein serielles Kabel oder ber Modems auf beiden Seiten der Verbindung Bei Verwendung dieses Verbindungstyps k nnen andere Bearbeitungen und Eintr ge erforderlich sein Socket Verbindungstyp 3 12 Der Socket Verbindungstyp wird verwendet wenn Daten ber eine TCP Socket Verbindung gelesen werden Sie m ssen die IP Adresse und die TCP Portnummer des Remote Host im Feld Rx Tx Wert angeben Die IP Adresse und die TCP Portnummer m ssen durch einen Doppelpunkt getrennt sein Um beispielsweise den SMTP Port anzugeben geben Sie Folgendes im Feld Rx Tx Wert ein IP Adresse Port Au erdem m ssen Sie m glicherweise einen TCP Socket Server Prozess auf dem Remote Host in
67. i gelesen Der Name im Name Wert Paar Ergebnis wird aus dem Spaltennamen des Ergebnissets bernommen Aufgrund dessen sollte der gew nschte Spaltenname explizit in der SQL angegeben werden Die genaue Syntax variiert je nach Datenbankserver Diese Anwendung wird zusammen mit Collector Manager in WORKBENCH_HOME dbconnector installiert Weitere Informationen zur Verwendung von DBConnector finden Sie in der README Datei zu der Anwendung in der Sentinel Collector Dokumentation f r Entercept Host IDS 4 0 ber JDBC oder im eSecurity Kundenportal unter http www esecurityinc com Lea Client Sentinel lea client verwendet die Log Export API von OPSEC um Daten aus Check Point Firewall 1 zu entnehmen und im Format Namen Wert Paar auszugeben Der Client lea client wird normalerweise verwendet um Daten an den Sentinel Check Point Firewall 1 Collector zuzuf hren wo die Daten normalisiert werden und je nach der Aktion des Ereignisses z B verwerfen ablehnen oder akzeptieren wird eine Warnung an den Sentinel Server gesendet Diese Anwendung wird zusammen mit Collector Manager in WORKBENCH_HOME checkpoint installiert Erstellen und Warten von Collectors 3 17 Weitere Informationen zur Verwendung von Check Point lea client finden Sie in der README Datei zu der Anwendung in der Sentinel Collector Dokumentation f r ECheck Point Firewall amp VPN Collector ber OPSEC oder im eSecurity Kundenportal unter http www esecurityinc com
68. ich der einzelnen Zeichenketten verwendet werden Auf der Grundlage der Abgleichsklauseln in einer spezifischen Suchdatei und den von den Quellger ten empfangenen Daten wird mit dem LOOKUP Befehl bestimmt ob die gesuchte Zeichenkette gefunden wird oder nicht Optional k nnen der Abgleichzeichenkette Parsing Befehle zugeordnet werden Die Parsing Befehle werden ausgef hrt wenn eine bereinstimmung gefunden wird Zuordnungsdateien Zuordnungsdateien sind optionale Dateien csv mit denen die schnelle Suche nach Schl sseleintr gen m glich ist Die CSV Datei stellt einen relativen Pfad von einem Skriptverzeichnis des Collector dar Zurzeit k nnen diese Dateien in Collector Builder nicht bearbeitet werden Die Bearbeitung in Excel ist jedoch m glich Hier ein Beispiel einer Zuordnungsdatei Month Number Jan dh Feb 2 Mar 3 Apr 4 May 5 Jun 6 Jul 7 Aug 8 Sep 9 Oct 10 Nov 11 Dec 12 Bei den Eintr gen kann es sich um eine variable Anzahl an Skriptvariablen Zeichenkette Variable oder Float Wert handeln mit denen die Variablen zum Speichern der Daten angegeben werden Im vorliegenden Beispiel wird Month in eine Number bersetzt ihr also zugeordnet beispielsweise Jan mit 1 Einf hrung in Wizard 1 9 Manifest Dateien Manifest Dateien machen den Unterschied zwischen Collectors mit Version 5 und bisherigen Collectors aus Manifest Dateien unterst tzen die Entwicklung von Collectors ber S
69. ie die Argumentwerte im Popup Fenster Befehlseditor ein W hlen Sie einen Typ aus Die Typen f r die einzelnen Parsing Befehle sind im Sentinel Referenzhandbuch f r Benutzer beschrieben Geben Sie einen Wert an Werte werden f r eine bestimmte Anwendung definiert Beispiele f r die Werte der einzelnen Parsing Befehle finden Sie im Sentinel Referenzhandbuch f r Benutzer Sentinel Wizard Benutzerhandbuch Eingabe eines Parsing Befehls ber den Texteditor 1 2 Klicken Sie im Schabloneneditor auf die Registerkarte Texteditor Geben Sie die gew nschten Parsing Befehle manuell ein Mit der Tabulatortaste k nnen Sie bei Verwendung einer nichtproportionalen Schriftart den Text ausrichten Die Optionen zum Kopieren Ausschneiden und Einf gen funktionieren wie bei jedem Standard Texteditor Bearbeiten von Parsing Befehlen Command Editor i Command Name COPY Arguments Arguments Argument Use Type E Ee Ee ee EE EE EE Eet H Description i e Copy strings from Rx Buffer to a string variable until search string Cancel Argumente Enth lt alle m glichen Argumente f r den im visuellen Editor ausgew hlten Parsing Befehl Argumentenverwendung Legt fest ob das Argument obligatorisch oder optional ist Typ Legt den Variablentyp fest beispielsweise Zeichenketten Zeichenkettenvariablen Zahlen Zahlenvariablen Gleitkommazahlen Gleitkommavariablen oder vordefi
70. ie einzelnen Komponenten sowie deren Funktionsweise erl utert In diesem Handbuch wird davon ausgegangen dass Sie mit den Aspekten der Netzwerksicherheit der Datenbankverwaltung sowie den Windows und UNIX Betriebssystemen vertraut sind Inhalt Dieses Handbuch enth lt folgende Kapitel Kapitel 1 Einf hrung in Wizard Kapitel 2 Verwalten von Wizard Hosts Kapitel 3 Erstellen und Warten von Collectors Anhang A Syslog Connector Anhang B Socket Server Anhang C Copyright Informationen Verwendete Konventionen Hinweise und Warnhinweise HINWEIS Hinweise stellen zus tzliche Informationen bereit die sich als hilfreich erweisen k nnen ACHTUNG Warnhinweise stellen zus tzliche Informationen bereit mit denen sich Besch digungen des Systems bzw Datenverluste u U vermeiden lassen Befehle Befehle sind in Courier Schriftart angegeben Beispiel useradd g dba d export home oracle m s bin csh oracle Wizard Mit Wizard k nnen Collectors erstellt konfiguriert und gesteuert werden Collectors werden f r die Sammlung und Normalisierung von Ereignissen von Sicherheitsger ten und programmen verwendet Diese normalisierten Ereignisse werden dann f r Echtzeitanalyse Korrelation Berichterstellung und Vorfallsreaktion an Sentinel gesendet Einf hrung in Wizard 1 1 HINWEIS Es ist zwar keine Voraussetzung jedoch empfehlenswert dass bei einer Wizard Konfiguration mit mehrer
71. ie folgende Befehle an der Eingabeaufforderung ausf hren Wechseln Sie in das Verzeichnis d ESEC_HOME wizard syslog syslog server bat install Dadurch wird ein Windows Service mit der Bezeichnung eSecurity Syslog Server erstellt Installation als Service UNIX HINWEIS Der Syslog Proxy kann als Service unter UNIX installiert werden sodass er automatisch ausgef hrt wird wenn der Computer startet Um den Syslog Proxy als Service zu installieren m ssen Sie folgende Befehle ausf hren Melden Sie sich als root an Wechseln Sie in das Verzeichnis ESEC_HOME wizard syslog syslog server sh install Syslog Connector A 3 Dadurch wird der Syslog Proxy beim Start des Computers automatisch gestartet Standardm ig wird der Syslog Proxy als Benutzer root ausgef hrt Dies ist erforderlich da der Syslog Proxy standardm ig an Port 514 gebunden wird f r den Root Berechtigungen erforderlich sind Um den Syslog Proxy als einen anderen Benutzer als root auszuf hren m ssen Sie das Skript etc init d esyslogserver bearbeiten Sie m ssen sicherstellen dass der betreffende Benutzer ber die Berechtigungen zum Herstellen einer Bindung mit dem Port verf gt der auf Meldungen berwacht werden soll Hier einige Beispiele daf r wie dies erreicht werden kann Starten Sie den Syslog Proxy ber den Befehl sudo Damit erh lt der Benutzer sudo Berechtigungen f r die Bindung an den entsprechenden Po
72. ieser Fehler tritt auf weil das Anf hrungszeichen zur Begrenzung der Feldwerte in tem Dateien verwendet wird Beispiel StateDecideString test StateDelimiterString 123 Erstellen und Warten von Collectors 3 5 Eingabe eines Parsing Befehls ber den visuellen Editor 3 6 Es gibt zwei Methoden zur Eingabe eines Parsing Befehls ber den visuellen Editor und ber den Texteditor Verwenden Sie nicht mehr als 4096 Befehle Eingabe eines Parsing Befehls ber den visuellen Editor 1 W hlen Sie im Schabloneneditor einen Analysestatus aus Die Registerkarte Visueller Editor ist standardm ig ge ffnet wenn Sie auf eine zu ffnende Schablone klicken Template Editor Parsing Be Parameters M State 3 Parsing 2 Visual Editor Text Editor A Debugger E E State Script H E Comments i PRINTF s Tmp The agent v a PRINTFis_Tmp1 s BadCor DISPLAY s Tmp AK ALERT s Tmpl s Tmp 5 2 Ziehen Sie im visuellen Editor die Parsing Befehle auf die rechte Seite des Fensters State 3 Parsing B visual Editor Text Editor 3X Debugger E Hog KLM 3 59 N 0 P d negsearch 3 numtohex parser_attachvariable i parser_createbasic parser_next parser_parsestring a pause EI popup F a E State Script ELCH Comments Ba PRINTF s Tmp The agent v PRINTF s_Tmp1 s BadCor KI DISPLAY s Tmp LK ALERT s Tmpl s Tmp 5 3 Geben S
73. ipt kep ei a eee A 2 10 Startsequenz seseeeeee 2 10 Suchdaltel m sre 2 10 Ward Host 2 7 Neustarten Ward Host 2 7 Novell Technischer Support 1 10 Website EN 1 10 Parameterdatei Definition scrie iiiaae kiuria nid 1 8 ARAE ERE ea 3 8 Konfigurieren eeennn 3 8 Index i Parsing Befehl Aus Texteditor nnda 3 7 Aus visuellem Edttor 3 6 Bearbeiten cc cccceeeeeessenceeeeeeeeeeeeneeees 3 7 EOONKUB ua ee ee 1 4 TRANSLATE gengen Esseg Ee 1 4 Permanenter Prozess oo oaonnnnnnoe010100no 3 16 Rx Tx Wert eeascneeneneeessnnnnnnnnnneesnnnnnnnnnnnnenn 3 17 Port BearbeiteM aana na 2 11 Durchf hren der Fehlersuche 2 13 Erstellen een 3 15 Heraufladen auf mehrere Hosts 2 17 Ra 2 12 Starten GU eee 2 11 Stoppen GU 2 11 Rx Tx Wert Permanenter Prozess 3 17 tempor rer Prozess 3 17 Schablone Hinzuf gen eines Status en 3 4 Schablonendatei Be arbeiten ccccccccsssseeceeeeceeeseseseeeeeneaes 2 8 Definition 1 4 Erstellen en irre eterno 3 3 Konfigurieren ernennen enennne nn 3 3 L schen uot ctetu f o cernis 2 9 Skript Erstellen xi ob ee 3 9 L schen ann 2 10 Zuweisen einer Startsequenz 3 11 NM Trape ssosssosesosenosensssnsesrresrneenneens 3 18 ZUQgtifT nds 3 18 Socket Server Konfigurieren eee B 1 Socket Server Prozess Einrichtung erue
74. it Zellen zur Eingabe von H ufigkeiten zur Angabe von M glichkeiten siehe relation oder Unm glichkeiten siehe constraint oder zur Darstellung der berg nge die das Verhalten eines Systems ausmachen Krippendorff HINWEIS Zum Zeitpunkt der Ver ffentlichung des vorliegenden Dokuments war der oben aufgef hrte Link zur Website korrekt Syslog Connector A 9 Dies impliziert dass theoretisch eine relativ gro e Anzahl verschiedener Meldungen den Filter durchlaufen k nnen Nur durch praktische funktionsf hige Bedingungen wird die Anzahl der verschiedenen Meldungen tats chlich festgelegt Neben den Befehlszeilenargumenten f r den Filter gibt es noch folgende optionale Befehlszeilenargumente proxy Die Hostadresse des Syslog Server lt Serveradresse gt lt Portnummer gt Proxy und die Portnummer f r die GE log Dateiname Aktiviert die Protokollierung in der angegebenen Datei Das Argument proxy dient zur Konfiguration des Connector Client zur Verbindung mit entweder einem nichtstandardm igen TCP Port oder einem anderen Host als localhost Der Syslog Proxy erwartet dass f r eine Connector Client Verbindung standardm ig 9091 verwendet wird Wenn 9091 f r den Host auf dem der Syslog Proxy ausgef hrt wird nicht geeignet ist kann der Port w hrend des Starts des Syslog Proxy angepasst werden und mithilfe des Arguments proxy k nnen die Clients angewiesen werden eine Verbindung zu
75. koll verwendet Syslog Quelle Syslog Quelle em Syslog Connector Syslog Quelle UDP Syslog Quelle Die von den einzelnen Syslog Connector Komponenten ausgef hrten Funktionen werden im Folgenden beschrieben Syslog Proxy a berwacht einen TCP und oder UDP Port auf Syslog Meldungen Analysiert die eingehende Meldung auf standardm ige Syslog Meldungskomponenten Priorit t Datum Hostname und Meldung Syslog Connector A 1 Falls die Meldungsquelle eine Meldung ohne Priorit t Datum oder Hostnamen sendet wird RFC 3164 BSD Syslog Protokoll befolgt und Daten zur Erg nzung werden eingef gt a Nach der Ermittlung von Komponente und Stufe aus der Priorit t und dem Hostnamen ver ffentlicht der Proxy die Meldung an die Syslog Connector Sitzungen die daran interessiert sind Falls die Sitzung des Syslog Connector Client endet setzt der Syslog Proxy die eingehenden Meldungen f r diesen Client 10 Minuten lang in eine Warteliste Dadurch soll sichergestellt werden dass der Collector keine Meldungen verpasst w hrend er gerade neu gestartet oder vor bergehend angehalten wird o Der Syslog Proxy berwacht einen TCP Port normalerweise 9091 um die Sitzungen des Syslog Connector Client zu warten Syslog Connector Client Der Connector wird als permanenter Prozess gestartet Alle Laufzeitoptionen f r den permanenten Syslog Connector Prozess sind unter RX TX Wert eingegeben Em Laufzeitparame
76. l ren Sie sich bereit s mtliche Exportbestimmungen einzuhalten und ggf die erforderlichen Lizenzen oder Berechtigungen f r den Export die Wiederausfuhr oder den Import einzuholen Sie erkl ren sich bereit keinen Export oder keine Wiederausfuhr an nat rliche oder juristische Personen zu t tigen die zurzeit auf den Exportausschlusslisten der USA aufgef hrt sind oder in L nder die einem Embargo unterliegen oder die den US Exportbestimmungen zufolge den Terrorismus unterst tzen Sie erkl ren sich bereit die Lieferbestandteile nicht f r die Endnutzung in verbotenen nuklearen chemischen oder biologischen Waffen oder Raketen einzusetzen Weitere Informationen zum Export von Novell Software finden Sie unter www novell com info exports Novell bernimmt keinerlei Verantwortung wenn Sie es vers umen die erforderlichen Exportgenehmigungen einzuholen Copyright 1999 2006 Novell Inc Alle Rechte vorbehalten Ohne ausdr ckliche schriftliche Genehmigung des Herausgebers darf kein Teil dieser Ver ffentlichung reproduziert fotokopiert bertragen oder in einem Speichersystem verarbeitet werden Novell Inc besitzt Rechte an geistigem Eigentum f r die Technologie die in das in dieser Dokumentation beschriebene Produkt integriert ist Diese Rechte an geistigem Eigentum umfassen im Besonderen eines oder mehrere der unter http www novell com company legal patents aufgelisteten Patente sowie ein oder mehrere andere Patente oder Patentanm
77. ldungen verwendet Eine benutzerdefinierte Zeichenkette informiert Wizard dar ber dass Daten eingegangen sind Wizard verwendet die Daten im Feld decide Zeichenkette f r Begrenzungszeichen zur berpr fung der Empfangsdaten beim Eingang der einzelnen Byte Wenn die Option Warten Begrenzungszeichen verwendet wird hat der Parameter RX TIMEOUT DELAY keine Auswirkung HINWEIS Bei den Empfangstypen Zeit berschreitung Begrenzungszeichen und Warten Begrenzungszeichen wird das Skript erst fortgesetzt wenn die decide Zeichenkette f r Begrenzungszeichen als true ausgewertet wird und die minimale Anzahl an Byte eingegangen ist bzw wenn bei der Option Zeit berschreitung Begrenzungszeichen die Zeit berschreitung eintritt Minimale Byte Bei der minimalen Anzahl an Byte handelt es sich um die Anzahl an Byte die eingehen m ssen bevor Wizard entweder den standardm igen Zeit berschreitungszeitraum verwendet oder mit der Verarbeitung fortf hrt Die Verarbeitung im Skript wird erst fortgesetzt wenn die minimale Anzahl an Byte eingegangen ist Sentinel Wizard Benutzerhandbuch decide Zeichenkette f r Begrenzungszeichen Die decide Zeichenkette f r Begrenzungszeichen wird vervollst ndigt wenn Zeit berschreitung Begrenzungszeichen bzw Warten Begrenzungszeichen der Empfangstyp ist Die Collector Verarbeitung wechselt erst dann zum n chsten Status wenn die decide Zeichenkette f
78. lector Manager Starten Sie den Collector Manager Service HINWEIS Wenn das Fenster Dienste bereits ge ffnet ist Klicken Sie auf Aktion gt Aktualisieren und starten Sie dann den Collector Manager Service 2 4 Sentinel Wizard Benutzerhandbuch Entfernen des Collector Manager Services fur Windows Windows Entfernen des Collector Manager Services f r Windows Windows 1 F hren Sie einen der nachfolgenden Schritte aus um den Collector Manager Service zu stoppen Geben Sie an der Eingabeaufforderung Folgendes ein net stop agent manager Klicken Sie auf Start gt Einstellungen gt Systemsteuerung Doppelklicken Sie auf Dienste w hlen Sie Collector Manager Stoppen Sie den Collector Manager Service Schlie en Sie das Fenster Dienste 2 Begeben Sie sich an der Eingabeaufforderung zu workbench_home 3 Geben Sie den folgenden Befehl ein agent manager bat remove ndern des Collector Manager Passworts unter Windows HINWEIS Um die strengen Sicherheitskonfigurationen zu erf llen die von Common Criteria Certification gefordert werden wird die Verwendung eines starken also komplexen Passworts mit folgenden Eigenschaften dringend empfohlen 1 W hlen Sie Passw rter aus die mindestens 8 Zeichen umfassen und mindestens einen Gro buchstaben einen Kleinbuchstaben ein Sonderzeichen amp _ und eine Zahl 0 9 enthalten 2 Das Passwort darf nicht Ihren Email Namen ode
79. log Proxy erg nzt bei jeder Meldung die er von einem Solaris 9 Relay erh lt die Meldungen um die IP Adresse des Relay Host Dies hat schwerwiegende Folgen Der Ursprung eines Sicherheitsereignisses ist f r den Collector und damit f r Sentinel nicht sichtbar Es wird dringend empfohlen dass der Proxy nicht als Empf nger von weitergeleiteten Meldungen fungiert wenn die Meldungen nicht die IP Adresse bzw den Hostnamen des tats chlichen Ursprungs enthalten Diese Empfehlung kann schwerwiegende logistische Folgen haben wenn der Proxy tats chlich im Betrieb verwendet wird Beispiel Ein su Ereignis findet auf ultrabooklli 172 16 0 70 statt unter Solaris 7 Dieser Computer sendet die Syslog Meldungen an den Computer talkabout 172 16 0 72 unter Solaris 9 weiter der wiederum die Meldung an den Syslog Proxy weiterleitet Die folgenden Meldungen werden vom Sentinel Connector generiert Proxy 375Apr 02 06 54 11 172 16 0 72 151 234 su su root succeeded for oespadm on dev pts 0 Connector Client Apr 02 06 54 11 172 16 0 72 151 234 su su root succeeded for oespadm on dev pts 0 Im Folgenden finden Sie den Paket Trace derselben Meldung wenn sie zuerst bei talkabout ankommt und dann an den Syslog Proxy auf pes020 esecurity net weitergeleitet wird snoop x0 udp port 514 Using device dev dmfe0 promiscuous mode Sentinel Wizard Benutzerhandbuch ult 16 325 48 64 80 96 tal 1 6 32
80. lten decide Typ enthalten verarbeitet Collector Manager den Befehl als true und die Yes Route wird verfolgt Wenn der Empfangspuffer den ausgew hlten decide Typ nicht enth lt verarbeitet Collector Manager die Entscheidung als false und die No Route wird verfolgt Einf hrung in Wizard 1 7 Beim Empfangspuffer size Rxbuffer handelt es sich um einen Parameter der bearbeitet werden kann und sich in folgendem Verzeichnis befindet SWORKBENCH HOME config wizard properties System max receive buffer siz Mit diesem Parameter k nnen Sie den Empfangspuffer Rx buffer von Collector Manager konfigurieren 50 000 Ereignisse ist der Standardwert Das Minimum betr gt 5 000 Ereignisse Wenn der Empfangspuffer Rx buffer die maximale Gr e erreicht werden neue Ereignisse abgelegt da sie gedrosselt werden Es gibt vier decide Typen Zeichenkette Vergleicht eine benutzerdefinierte decide Zeichenkette mit dem Inhalt des Empfangspuffers Der Inhalt der decide Zeichenkette wird anhand des Inhalts des Empfangspuffers bzw anhand einer Variable verglichen um zu ermitteln welche Entscheidungsroute verarbeitet werden soll Bei der decide Zeichenkette handelt es sich um einen mit POSIX 1003 2 konformen regul ren Ausdruck Eine Variable unterst tzt Zeichenketten Ganzzahlen und Float Variablen True Erzwingt die Auswertung in true Collector Manager folgt der Yes Route False Erzwi
81. meldung wieder in den Baum mit den Wizard Hosts E Wizard Hosts lb Tanuki 6 BR Tanuki MAIN Wenn ein Host erkannt wird wird ihm eine Kennnummer zugewiesen Aktuelle Collectors finden Sie auf der Service Pack CD Weitere Informationen finden Sie in den Service Pack Versionshinweisen HINWEIS Weitere Informationen zur Konfiguration der Demo Collectors finden Sie im Sentinel Installationshandbuch unter Testen der Installation So ruft ein Wizard Host Collector Daten ab Um einem Wizard Host einem Computer auf dem Collector Manager installiert ist den Empfang von Daten von einem Collector zu erm glichen laden Sie den Collector von einem Collector Builder Computer ber einen in Collector Builder konfigurierten Port auf den Wizard Host herauf Nachdem ein Collector auf einen Host heraufgeladen wurde kann der Host Daten von diesem Collector empfangen Jeder Wizard Host kann mit mehreren Ports verbunden sein und kann Daten von mehreren Collectors berwachen Ein Wizard Host kann ber Ports mit Collectors verf gen die Verbindungen zu vielen unterschiedlichen Datenquellen herstellen Einzelne Collectors auf einem Wizard Port Host m ssen zum Ausf hren heraufgeladen werden Zudem stellen Ports Informationen zu Datenquellenstandorten f r Collector Manager bereit Verwalten von Wizard Hosts 2 1 Wizard Host Berechtigungen Die Wizard Host Berechtigungen werden ber die Admin Registerkarte von Sentinel Control Center v
82. n ACHTUNG Sie werden nicht zur Best tigung des Passworts aufgefordert bzw Sie werden zur Eingabe des alten Passworts aufgefordert agent manager sh password neues Passwort Gehen Sie wie folgt vor damit das Passwort in Kraft tritt Begeben Sie sich zu Jusr local bin und geben Sie folgenden Befehl ein agent manager sh restart Sentinel Wizard Benutzerhandbuch Starten von Collector Builder Starten von Collector Builder 1 W hlen Sie die Optionsfolge Start gt Programme gt Sentinel gt Collector Builder oder doppelklicken Sie auf Ihrem Desktop auf das Symbol f r Collector Builder 2 Melden Sie sich abh ngig von Ihrer Installation entweder als esecadm oder mit Ihrem Benutzernamen f r die Windows Authentifizierung an Login Password Umbenennen eines Wizard Host Umbenennen eines Wizard Host 1 Aktivieren Sie in Collector Builder Wizard die Registerkarte Wizard Hosts um den Baumbereich mit den Wizard Hosts zu ffnen 2 Klicken Sie im Baum mit den Wizard Hosts mit der rechten Maustaste auf den Host der umbenannt werden soll und w hlen Sie Host umbenennen Nur aktive Hosts k nnen umbenannt werden 3 Geben Sie den neuen Namen des Host ein und dr cken Sie die Eingabetaste HINWEIS Beim Umbenennen eines Host bleibt die ID Nummer die einem Wizard Host bei der Installation zugewiesen wird unver ndert Diese Angabe wird in WORKBENCH_HOME wizard agents names dat gespeiche
83. n Zuordnungsdatei CSV Zur cksetzungs sequenzen chn Schablonendateien 1 4 Schablonen k nnen erstellt um Zust nde erg nzt bearbeitet und gel scht werden Mit Schablonen wird die Verarbeitung der Datens tze bestimmt Die Entscheidungen beziehen sich mehrheitlich darauf mit welchen Datensatztypen Sie arbeiten sowie auf deren Format Es gibt eine quivalente Schablonendatei mit der Erweiterung tem Ihr Speicherort WORKBENCH_HOME elements lt collector name gt Schablonendateien basieren auf dem jeweiligen Zustand Ein Zustand ist ein Entscheidungspunkt im logischen Fluss oder Pfad einer Schablone Jeder Punkt Zustand enth lt Informationen die Aufschluss ber den durchzuf hrenden Vorgang geben Zust nde schlie en Verweise auf Parameter ein wenn die Schablone mit einer Parameterdatei zusammengef hrt wird werden die Parameter durch spezifische Werte ersetzt Wenn die Parameter durch spezifische Werte ersetzt werden werden eine oder mehrere Skriptdateien erstellt Sentinel Wizard Benutzerhandbuch Wenn ein Status in eine Schablone eingef gt wird wird dem Status eine Zahl zugewiesen die nicht ge ndert wird unabh ngig davon an welche Position innerhalb der Schablone der Status verschoben wird Es gibt drei Statusgruppierungen Die Zust nde bertragen Empfangen Entscheiden und Analysieren werden in der Reihenfolge nummeriert in der Sie in die Schablone eingef gt werden a S
84. n Sie in der Spalte Abgleichen mit der rechten Maustaste auf eine Klausel und klicken Sie dann auf Abgleichsklausel l schen Mra AR RE Add Match Clause Insert Match Clause Delete Match Clause 5 Optional Klicken Sie zur Eingabe von Parsing Befehlen mit der rechten Maustaste auf die Analysespalte um den visuellen Editor zu ffnen Informationen zur Verwendung des visuellen Editors finden Sie unter Eingabe eines Parsing Befehls ber den visuellen Editor 6 W hlen Sie die gew nschten Parsing Befehle aus und stellen Sie sie im Fenster Befehlseditor fertig Die Befehle werden in der Analysespalte angezeigt 7 Wenn alle Werte definiert wurden muss durch Kompilieren ein Skript erstellt werden Gehen Sie zu Abschnitt Erstellen von Skripts Skripts Skripts werden aus Schablonen generiert Aus einer Schablone k nnen mehrere Skripts erstellt werden Collector Manager bietet Ihnen folgende M glichkeiten Erstellen von Skripts Fehlersuche bei einem Skript Zuweisen einer Startsequenz zu einem Skript Erstellen von Skripts Erstellen von Skripts 1 Klicken Sie auf die Registerkarte Collectors um das Feld mit dem Collector Baum zu ffnen 2 W hlen Sie im linken Fensterbereich die Schablone aus von der aus Sie die Skripts erstellen 3 W hlen Sie die Optionsfolge Datei gt Skripts erstellen Erstellen und Warten von Collectors 3 9 4 Ziehen Sie auf der Registerkarte Schabloneneditor
85. n stehen drei Connector Prozesse zur Verf gung Hierbei handelt es sich um DBConnector JDBC Prozess Connector Lea Client Remote Data Exchange Protocol RDEP Verwenden Sie im Feld Rx Tx Wert f r die permanenten und tempor ren Prozesse keine Anf hrungszeichen Wenn es sich bei dem Prozess um einen absoluten Pfad zu einer ausf hrbaren Datei mit einem langen Namen handelt der Leerzeichen enth lt geben Sie ihn ohne Anf hrungsstriche ein Beispiel SWORKBENCH_HOME e security elements checkpoint lea_clien t checkpoint lea_client conf new Verwenden Sie keine Leerzeichen in Argumenten f r die ausf hrbare Datei im Feld Rx Tx Wert Diese Argumente sind durch Leerzeichen getrennt Wenn sie also Leerzeichen enthalten geht die Software von zwei Argumenten aus obwohl es sich tats chlich nur um ein einziges handelt Wenn die Argumente zum Speicherort einer Konfigurationsdatei bergehen wie beispielsweise bei Check Point m ssen Sie einen relativen Pfad von WORKBENCH_HOME verwenden Beispiel checkpoint lea_client checkpoint lea_client conf new DBConnector DBConnector ein JDBC Prozess Connector f hrt einen Client aus der eine Verbindung mit einem Datenbankserver herstellt eine SQL Abfrage auf dieser Datenbank ausf hrt und das Ergebnis im Format Name Wert Paar in der Standardausgabe ausgibt Die auszuf hrende SQL Abfrage wird entweder aus der Standardeingabe oder aus einer Date
86. namens oder einer IP Adresse dazu f hrt dass der Filter das jeweils andere Benennungsschema ber cksichtigt Beispiel Die Konfiguration von host 172 16 0 90 f hrt nicht zu einer Filter bereinstimmung f r eine Meldung die den Hostnamen testbox1 enth lt selbst wenn Namenaufl sungs Services 172 19 0 90 und testbox1 einander zuordnen w rden Bei der Host Angabe als IPs werden also nur IP Adressen gefunden und bei der Host Angabe mithilfe von Hostnamen nur Hostnamen Der Filter aus dem obigen Beispiel l sst sich als folgender boolescher Ausdruck beschreiben Facility user or Facility kernel and Level warning or Level error and Sender 192 16 0 12 or Sender 192 16 0 0 16 and Host 17 16 8 0 24 or Host 10 1 1 13 Die Anzahl der m glichen Kombinationen dieser Argumente ist das kartesische Produkt der Argumenttpyen wobei jeder Argumenttyp ein Set ist Gem PRINCIPIA CYBERNETICA WEB http pespmcl vub ac be ASC CARTES PRODU html ist das kartesische Produkt hier in bersetzung Die Sammlung aller geordneten n Tupel die gebildet werden k nnen sodass sie genau ein Element der ersten Menge ein Element der zweiten und ein Element der n ten Menge enthalten Diese Sammlung kann so betrachtet werden dass sie einen n dimensionalen Raum darstellt in dem jedes n Tupel eine Zelle bildet Das einfachste kartesische Produkt zweier Mengen ist eine zweidimensionale Tabelle Kreuztabelle m
87. ndardm ig folgende Konfiguration verwendet Listener auf UDP Port 514 f r Syslog Meldungen Listener auf TCP Port 1468 f r Syslog Meldungen Listener auf TCP Port 9091 f r Connector Verbindungen Der Syslog Proxy kann so konfiguriert werden dass er andere Ports berwacht um Syslog Meldungen zu empfangen oder Client Verbindungen zu akzeptieren Die zugeh rigen Schalter lauten tcp Port Port f r die berwachung auf TCP Verbindungen von Ger ten tu EE cc i LL uu ui connector Port f r die berwachung auf TCP Verbindungen von Connectors Port Standard 9091 Um diese Einstellungen zu bearbeiten m ssen Sie folgenden Abschnitt der Datei syslog conf ndern wrapper app parameter 3 tcp wrapper app parameter 4 1468 wrapper app parameter 5 udp wrapper app parameter 6 514 wrapper app parameter 7 connector wrapper app parameter 8 9091 Beispiel Sie m chten die Port Einstellungen auf folgende Werte ndern Listener auf UDP Port 4514 f r Syslog Meldungen Listener auf TCP Port 4168 f r Syslog Meldungen Listener auf TCP Port 4991 f r Connector Verbindungen In diesem Fall sollte der oben angegebene Abschnitt aus der Datei syslog conf wie folgt ge ndert werden wrapper app parameter 3 tcp wrapper app parameter 4 4168 wrapper app parameter 5 udp wrapper app parameter 6 4514 wrapper app parameter 7 connector wrapper app parameter 8 4991 Standardm ig wird die Syslog Proxy Ko
88. neneeseceeseneneesessesensseeeeseseeeeseneenenenseneeesces A 11 Tabelle der unterst tzen Komponenten A A 13 Tabelle der unterst tzen Stufen AE A 13 Bereitstellungshinwelse 5 oie nee De hier ean ded A 14 An Syslog Proxy weitergeleitete Meldungen esee A 14 B Konfigurieren eines Socket Servers auf einem UNIX Host B 1 2 Sentinel Wizard Benutzerhandbuch Vorwort Bei der technischen Dokumentation von Sentinel handelt es sich um allgemeine zweckorientierte Handb cher f r den Betrieb und zur Referenz Diese Dokumentation ist f r Mitarbeiter des Bereichs Informationssicherheit konzipiert Der Text in dieser Dokumentation gilt als Referenzquelle zum Enterprise Security Management System von Sentinel Im Sentinel Webportal steht weitere Dokumentation zur Verf gung Die Technische Dokumentation von Sentinel umfasst f nf einzelne Ausgaben Dazu geh ren Band I SentinelTM 5 Installationshandbuch Band II Sentinel 5 Benutzerhandbuch Band III Sentinel 5 Wizard Benutzerhandbuch Band IV Sentinel 5 Referenzhandbuch f r Benutzer Band V Sentinel Handbuch f r Drittanbieter Integration Band Il Sentinel Installationshandbuch In diesem Handbuch wird die Installation folgender Komponenten erl utert Sentinel Server Wizard Collector Builder Sentinel Console Wizard Collector Manager Sentinel Correlation Engine Advisor Sentinel Crystal Reports Band Il Sentinel Benutzerhandbuch In diesem Handb
89. nfiguration so eingerichtet dass Client Verbindungen von jedem Host akzeptiert werden Zur Erh hung der Sicherheit kann der Syslog Proxy so eingerichtet werden dass er nur Client Verbindungen akzeptiert die sich auf demselben Host befinden Dies ist eine Sicherheitsma nahme da zwischen den Client Connectors und dem Proxy kein Datenschutz keine Zugriffssteuerung und keine Authentifizierung in Kraft ist Hierf r k nnen folgende Schalter verwendet werden private berwachtauf Connector Verbindungen auf Loopback shared berwacht auf Connector Verbindungen auf Localhost Standardeinstellung Syslog Connector A 5 A 6 Der Schalter shared weist den Proxy an den Listener f r die Client Verbindung an ein Socket zu binden auf das Remote Hosts Zugriff haben Um diese Einstellungen zu bearbeiten m ssen Sie folgenden Abschnitt der Datei syslog conf ndern wrapper app parameter 2 shared Um beispielsweise nur Client Verbindungen vom selben Host zuzulassen sollten Sie die Einstellungen wie folgt ndern wrapper app parameter 2 private Der Syslog Proxy kann so konfiguriert werden dass alle empfangenen Meldungen in einer Protokolldatei aufgezeichnet werden Das Format der Meldungen wird in der Form angezeigt die der Syslog Proxy f r die Weitergabe der Meldungen an einen anderen Syslog Server verwenden w rde Daher wird lt PRI gt also die Priorit t die der empfangende Syslog Server f r die Evaluierung
90. ngt die Auswertung in false Collector Manager folgt der No Route Data Vergleicht eine benutzerdefinierte decide Zeichenkette mit einer anderen Zeichenkette bzw dem Wert einer Variablen Status Analysieren Der Status Analysieren wird f r die Entwicklung von Skripts verwendet die an den Ports ausgef hrt werden sollen Die Parsing Befehle also die Befehle f r den Analysevorgang k nnen Parameter enthalten die mit der Schablone zusammengef hrt werden wenn die Skripts erstellt werden F r die Definition von Parsing Befehlen stehen ein visueller Editor und ein Texteditor zur Verf gung Der Status Analysieren dient zudem dem Einf gen von Parsing Befehlen in eine Schablone Die Parsing Befehle k nnen Parameter enthalten die durch bestimmte Werte ersetzt werden wenn die Schablone im Rahmen der Skripterstellung mit einer Parameterdatei zusammengef hrt wird Das Zusammenf hren einer Schablone und einer Parameterdatei resultiert m glicherweise in mehreren Skripts zur Ausf hrung an den Ports Parameterdateien 1 8 Parameter bilden das quivalent zu Variablen Parameterdateien par Dateien sind Tabellen mit deren Hilfe Variablennamen f r die verkn pften Ausf hrungsskriptdateien definiert werden Sie werden verwendet wenn eine Referenz im Analysecode vorliegt Parameter werden als Zeichenketten gespeichert Zur Bearbeitung muss ein numerischer Wert in eine Zeichenkette konvertiert werden Werden n
91. nierte Variablen Wert Der Wert den Sie f r die in der Spalte Typ genannte Variable festlegen Bearbeiten von Parsing Befehlen 1 Verwenden Sie im visuellen Editor eine der folgenden Vorgehensweisen Klicken Sie mit der rechten Maustaste auf einen Parsing Befehl und w hlen Sie die Option Zu Statusanalyseliste hinzuf gen Doppelklicken Sie auf einen Parsing Befehl Der Befehlseditor wird ge ffnet F llen Sie die Felder Typ und Wert aus um die Bearbeitung abzuschlie en Weitere Informationen zu den Beschreibungen der Parsing Befehle finden Sie im Sentinel Referenzhandbuch f r Benutzer Erstellen und Warten von Collectors 3 7 Erstellen und Konfigurieren von Parameterdateien Erstellen und Konfigurieren von Parameterdateien 1 Klicken Sie auf die Registerkarte Collectors 2 W hlen Sie eine Schablone aus und klicken Sie auf die Registerkarte Parameter im rechten Fensterbereich Template Editor Parsing Be Parameters cec Br Bitmap Rx TIMEQUT DELAY Res Alerting Style See Agent standards for valid e Generic_ResName FRwL Res SubRes Alerting Style See Agent standards for valid 4 gt 3 Doppelklicken Sie in der ersten Spalte der Parametertabelle auf Neu 4 Geben Sie den neuen Parameternamen ein dies ist der Name Ihres Skripts beispielsweise r4 1 und dr cken Sie die Eingabetaste 5 Optional Klicken Sie mit der rechten Maustaste auf die Sch
92. nste Klicken Sie im Dialogfeld Dienste mit der rechten Maustaste auf Collector Manager und klicken Sie dann entweder auf Starten oder Stoppen Starten von Collector Manager Services unter Windows Befehlszeile l 2 Begeben Sie sich zu WORKBENCH_HOME So starten Sie Collector Manager agent manager start agent manager restart Startet das Collector Manager Skript im Hintergrund und startet den Collector Manager Vorgang automatisch wenn er gestoppt wurde Wenn der agentmanager Vorgang bereits ausgef hrt wird wird er gestoppt und neu gestartet agent manager sh console Startet den Collector Manager Vorgang im Vordergrund HINWEIS Wenn Sie sich im Konsolenmodus befinden vergewissern Sie sich dass nur eine Instanz von Collector Manager auf dem Computer ausgef hrt wird Stoppen von Collector Manager Services unter Windows Befehlszeile 1 Begeben Sie sich zu WORKBENCH_HOME 2 So stoppen Sie Collector Manager agent manager stop Starten von Collector Manager unter UNIX Normal und Konsolenbetrieb Starten von Collector Manager unter UNIX 1 Wechseln Sie als Benutzer esecadm zu folgendem Verzeichnis SWORKBENCH_HOME Verwalten von Wizard Hosts 2 3 2 Geben Sie den folgenden Befehl ein agent manager sh start agent manager sh restart Startet das Collector Manager Skript im Hintergrund und startet den Collector Manager Vorgang automatisch wenn
93. ollectors vom ausgew hlten Host herunterzuladen Heraufladen von Ports auf mehrere Hosts Heraufladen von Ports auf mehrere Hosts 1 F hren Sie einen der folgenden Schritte aus W hlen Sie die Optionsfolge Datei gt Heraufladen Herunterladen Klicken Sie auf die Schaltfl che Heraufladen Herunterladen Daraufhin wird das Fenster Heraufladen Herunterladen ge ffnet Aktivieren Sie im Fenster Heraufladen Herunterladen die Registerkarte Netzwerk auff llen W hlen Sie in der Liste zur Auswahl des Host dessen Portkonfiguration und Collectors heraufgeladen werden sollen den Host aus dessen Portkonfigurationseinstellungen und Collectors heraufgeladen werden sollen Verwalten von Wizard Hosts 2 17 W hlen Sie in der Liste zur Auswahl der Hosts auf die diese Konfiguration heraufgeladen werden soll den Host aus auf den die ausgew hlten Einstellungen heraufgeladen werden sollen Alle Wizard Hosts im Netzwerk werden automatisch in die Liste aufgenommen Die Schaltfl chen geben Aufschluss dar ber ob der Hostcomputer online ist oder nicht Klicken Sie auf Alle ausw hlen um alle Wizard Hosts in der Liste auszuw hlen Klicken Sie auf Keine Auswahl um die Auswahl aller Wizard Hosts in der Liste aufzuheben Heraufladen mehrerer Collectors in ein Netzwerk Heraufladen mehrerer Collectors in ein Netzwerk 1 2 W hlen Sie im Wizard Hauptfenster einen Collector im Collector Baum aus
94. onitor in syslog monitor F hren Sie folgenden Befehl aus um den Socket Server Prozess zu aktivieren kill HUP bin ps ef grep inetd grep v grep awk print 2 Testen Sie den Socket Server Stellen Sie hierzu eine Telnet Verbindung zu dem von Ihnen ausgew hlten Port her daraufhin sollte der Inhalt Ihrer Protokolldatei angezeigt werden telnet localhost 5555 F hren Sie zum Beenden der Telnet Sitzung den control Vorgang durch und geben Sie dann an der telnet gt Eingabeaufforderung quit ein Sentinel Wizard Benutzerhandbuch Analysieren Status 0seeeeeeeeee 1 5 1 8 Aufr sten Gollectors z ilte yes 2 18 Bearbeiten Parsing Befehl sseesss 3 7 Ports Edd 2 11 Gchablonendatel en 2 8 Benutzerberechtigung Collector Verwaltung sess 2 2 Collector A fr sten iL e Rd ate 2 18 Erstelle imo ae 3 3 Heraufladen auf einen Host 2 14 Heraufladen auf mehrere Hosts 2 15 Heraufladen mehrerer Collectors in ein Netzwerk sense 2 18 Herunterladen von einem einzelnen Host 2 17 Komponenten 1 3 Collector Builder nn 1 2 Starten nike 2 7 Collector Manager 1 2 Starten unter UNIX seseeses 2 3 Stoppen unter UNIX seesess 2 4 Collector Manager Passwort ENEE 2 6 Andern Windows A 2 5 Collector Manager Services Entfernen Windows
95. or A 13 Bereitstellungshinweise An Syslog Proxy weitergeleitete Meldungen A 14 Die meisten Syslog Server k nnen die empfangenen Syslog Meldungen an einen alternativen Syslog Server weiterleiteten sowie die eingehenden Meldungen verarbeiten In einem Bereitstellungsszenario kann es sinnvoll erscheinen einen bestehenden Protokoll Host zu ndern um Meldungsweiterleitung an den Syslog Proxy zu erzielen Leider weisen einige Syslog Server ung nstige Verhaltensweisen auf die dies zu einer schlechten Wahl bei der Bereitstellung machen Es wurde beobachtet dass Syslog Serverbibliotheken unter Solaris 7 9 und Linux 8 die vermutlich dasselbe Verhalten zeigen wie andere bereitgestellte Versionen nicht den Hostnamen bzw die IP Adresse des Hosts in die Meldungen aufnehmen die sie Host extern versenden Der empfangende Syslog Server verkn pft die Quellen IP Adresse bzw den Hostnamen ber Namensaufl sung mit den empfangenen Meldungen in den von ihm generierten Protokolldateien Wenn Solaris 9 als Relay zum Proxy fungiert werden in die an den Proxy weitergeleiteten Meldungen weder die IP Adresse noch der Hostname der urspr nglichen Meldungsquelle aufgenommen Dies ist merkw rdig da die Protokolldatei im Solaris 9 System eine IP Adresse bzw einen Hostnamen aufweist Ohne den erg nzenden Hostnamen in der Meldung ist der Syslog Proxy gezwungen abzuleiten dass die Meldung vom Relay Server und nicht vom urspr nglichen Host stammte Der Sys
96. orgenommenen nderungen zurate Speichern Sie die neue Version des Collector im Verzeichnis 9workbench_home Elements auf dem PC der als Master f r den Collector fungiert ffnen Sie die Parameterdatei des Collector der ersetzt wird und bertragen Sie die entsprechenden Parameter durch Ausschneiden und Einf gen in den neuen Collector Sentinel Wizard Benutzerhandbuch 8 9 Wenn gem der Dokumentation f r den neuen Collector Parametervariablen entfernt bzw neue Parametervariablen hinzugef gt werden m ssen f hren Sie diese Schritte durch Wenn Sie neue Parametervariablen hinzuf gen f llen Sie die Variable auf Speichern Sie die Parameterdatei im neuen Collector Erstellen Sie den neuen Collector Bearbeiten Sie die Portkonfigurationsinformationen zur Verwendung des neuen Collector Speichern Sie die Portkonfigurationsinformationen Laden Sie den neuen Collector sowie die Portkonfiguration herauf 10 Starten Sie den Port neu Verwalten von Wizard Hosts 2 19 2 20 Sentinel Wizard Benutzerhandbuch Erstellen und Warten von Collectors HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet HINWEIS Bei MS SQL 2000 darf die Ereignisgr e 8 KB nicht berschreiten Ein Collector ist verantwortlich f r die Analyse der Daten aus einer Sicherheitsereignisquelle und f r das Senden von Ereignissen aus Sentinel Coll
97. orks Copyright 2003 bis 2006 yWorks HINWEIS Zum Zeitpunkt der Ver ffentlichung dieser Dokumentation waren die oben stehenden Links aktiv Sollten Sie feststellen dass einer der oben angegebenen Links unterbrochen oder die verlinkten Webseiten inaktiv sind wenden Sie sich an Novell Inc 404 Wyman Street Suite 500 Waltham MA 02451 U S A Inhalt 1 Einf hrung in Wizard 1 1 ale Ve 1 1 Verwendete Konventionen nennen 1 1 Hinweise und Warnhinwelsee nnne nnne nn nnni nnne nnne nnns n nnn n nnne s nnn nnns 1 1 BOTS Me c Tx 1 1 WIZANG RE ne hand nee ne ne Ananas 1 1 GONG CONS ebe ans tot fectus eege me rss lee Ee ee 1 2 Schabl nend teien 2 42 230 2120r E A E epe eere ere eels eden Eoi ee Deae e ets 1 4 Parameterdatele nr ctc Leer NI e M MR MELLE E CENTRALE 1 8 Su chdateleri s eh ter ree dE EE dech 1 9 ee Tue GEET 1 9 MEIE EBET EE EE EE 1 10 Weitere Sentinel Beferenzen iie uetus iiie EELER 1 10 Kontaktaufnahme mit Novell 1 10 2 Verwalten von Wizard Hosts 2 1 So ruft ein Wizard Host Collector Daten ab 2 1 Wizard Host Berechtigungen 2 see een a loess de kn Dre Ee 2 2 UE e Balen e Te 2 2 Starten und Stoppen von Collector Manager 2 3 Collector Manager Administration esssssesseeeeseeeeeneeeneee nennen nennen nennen nnne nnne 2 4 Starten von Collector Builder a t a aa a a a aaa a aaa a aaa AN Eia iN 2 7 Umbenennen eines Ward Host 2 7 L schen einies Wizard HOSt e
98. por rer Vorgang kann Wizard eine Schnittstelle zu einer anderen Anwendung herstellen Dazu werden Skripts verwendet die Daten empfangen oder bertragen und Antworten analysieren Jedes dieser Skripts wird auf einem eigenen Port ausgef hrt und jeder Port ist mit einer bestimmten Anwendung verbunden HINWEIS Im Feld Rx Tx Wert ist Andere Anwendung angegeben Die Prozessnamen k nnen folgende Elemente enthalten Leerzeichen Schr gstriche und umgekehrte Schr gstriche f r die verschiedenen Betriebssysteme Befehlsargumente Absolute und relative Pfade die Umgebungsvariable WORKBENCH_HOME wird als relativer Wert HOME betrachtet Wenn ein Empfangs Ubertragungsstatus Rx Tx auftritt wird der im Feld Rx Tx Wert angegebene Prozess gestartet Wenn der Parser beendet wird wird auch der Prozess beendet Wenn ein permanenter Prozess beendet wird wird ein Ereignis der Stufe 5 gesendet Wenn ein permanenter Prozess startet wird ein Ereignis der Stufe 1 gesendet Die Standardausgabe stdout des permanenten tempor ren Prozesses ist mit dem Empfangsstatus Lesen des Parsers verbunden Die Standardeingabe stdin des permanenten tempor ren Prozesses ist mit dem bertragungstatus Schreiben des Parsers verbunden Sentinel Wizard Benutzerhandbuch Konfigurieren des Rx Tx Werts f r eine permanente bzw tempor re Verbindung Rx Tx Typ Bei der Konfiguration permanenter und tempor rer Verbindunge
99. r Startsequenz Umbenennen eines Host L schen eines Host Neustarten eines Host Exportieren eines Host Starten und Stoppen von Wizard Ports Bearbeiten eines Wizard Ports L schen eines Wizard Ports Herauf und Herunterladen eines Collectors Anzeigen von Host Eigenschaften Durchf hren der Fehlersuche bei einem Bearbeiten einer Schablonendatei Wizard Port L schen einer Schablonendatei 2 2 Sentinel Wizard Benutzerhandbuch Starten und Stoppen von Collector Manager HINWEIS Bei der ersten Ausf hrung von Wizard Collector Builder wird unter Umst nden eine Meldung mit etwa folgendem Wortlaut ausgegeben Verzeichnis Collectors ist nicht vorhanden Es wird automatisch erstellt Einige Informationen sind m glicherweise nicht mehr verf gbar Wenn Sie auf OK klicken wird das Verzeichnis erstellt und Wizard Collector Builder wird gestartet Wenn diese Meldung nach der erstmaligen Ausf hrung von Collector Builder angezeigt wird wurde das Collector Verzeichnis m glicherweise versehentlich gel scht und Sie m ssen berpr fen ob Informationen nicht mehr verf gbar sind Starten oder Stoppen des Collector Manager Services unter Windows Starten oder Stoppen von Collector Manager Services unter Windows l 2 Klicken Sie auf Start Einstellungen Systemsteuerung Doppelklicken Sie in der Systemsteuerung auf Verwaltung und klicken Sie dann auf Die
100. r einen Teil Ihres vollst ndigen Namens enthalten 3 Bei Ihrem Passwort sollte es sich nicht um ein bliches Wort handeln z B kein Wort das im W rterbuch steht oder ein allgemein gebr uchliches umgangssprachliches Wort 4 Ihr Passwort sollte keine W rter aus irgendeiner Sprache enthalten da es zahlreiche Programme zum Knacken von Passw rtern gibt die in wenigen Sekunden Millionen m glicher Wortkombinationen durchgehen k nnen 5 Sie sollten ein Passwort w hlen das Sie sich merken k nnen und das dennoch komplex ist Beispiel mSi5 JalT Mein Sohn ist 5 Jahre alt oder iLs5 JiK Ich lebe seit 5 Jahren in K ln ndern des Collector Manager Passworts unter Windows 1 Begeben Sie sich an der Eingabeaufforderung zu workbench_home 2 Geben Sie den folgenden Befehl ein ACHTUNG Sie werden nicht zur Best tigung des Passworts aufgefordert bzw Sie werden zur Eingabe des alten Passworts aufgefordert agent manager bat password lt neues Passwort gt 3 F hren Sie einen der folgenden Schritte durch damit das Passwort in Kraft tritt Geben Sie an der Eingabeaufforderung Folgendes ein net stop agent manager net start agent manager Verwalten von Wizard Hosts 2 5 Klicken Sie in Collector Builder mit der rechten Maustaste auf Ihren Host Computer und w hlen Sie die Option f r den Host Neustart Klicken Sie auf Start gt Einstellungen gt Systemsteuerung Doppelklicken Sie au
101. r nicht Klicken Sie auf Alle ausw hlen um alle Wizard Hosts in der Liste auszuw hlen Klicken Sie auf Keine Auswahl um die Auswahl aller Wizard Hosts in der Liste aufzuheben Klicken Sie auf Heraufladen um ausgew hlte Collectors auf die ausgew hlten Hosts heraufzuladen Wenn Sie diesen Schritt zum ersten Mal durchf hren werden Sie zur Eingabe eines Collector Manager Passworts aufgefordert auch bei einem lokalen Wizard Host Herunterladen eines Host 2 16 Herunterladen eines Host ACHTUNG Wenn Sie einen Host herunterladen auf dem sich ein Collector mit demselben Namen wie auf dem lokalen Host befindet wird der Collector auf dem lokalen Host ohne Benachrichtigung berschrieben Klicken Sie auf die Registerkarte Wizard Hosts um den Bereich mit dem Host Baum zu ffnen Klicken Sie im Baum mit den Wizard Hosts auf den Host den Sie herunterladen m chten F hren Sie einen der folgenden Schritte aus W hlen Sie die Optionsfolge Datei gt Heraufladen Herunterladen Klicken Sie mit der rechten Maustaste auf den Collector und w hlen Sie dann Collector heraufladen Klicken Sie auf die Schaltfl che Heraufladen Herunterladen Kl Daraufhin wird das Fenster Heraufladen Herunterladen ge ffnet Der von Ihnen ausgew hlte Collector ist standardm ig aktiviert Sentinel Wizard Benutzerhandbuch Klicken Sie auf Herunterladen Wenn Sie diesen Schritt zum ersten Mal du
102. rHashMap verwendet Crypto Compilation Copyright 1995 2003 Wei Dai beinhaltet folgende durch Copyright gesch tzte Werke mars cpp von Brian Gladman und Sean Woods Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www eskimo com weidai License txt Crystal Reports Developer und Crystal Reports Server Copyright 2004 Business Objects Software Limited DataDirect Technologies Corp Copyright 1991 2003 edpFTPj lizenziert unter Lesser GNU Public License Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www enterprisedt com products edtftpj purchase html Enhydra Shark lizienziert unter der Lesser General Public License verf gbar unter http shark objectweb org license html ICEsoft ICEbrowser ICEsoft Technologies Inc Copyright 2003 2004 ILOG Inc Copyright 1999 2004 Installshield Universal Copyright 1996 2005 Macrovision Corporation und oder Macrovision Europe Ltd Java 2 Platform Standard Edition Copyright Sun Microsystems Inc Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http java sun com j2se 1 4 2 j2re 1_4_2_10 license txt Java 2 Platform kann au erdem folgende Drittanbieterprodukte enthalten a CoolServlets 1999 2 DES and 3xDES 2000 Jef Poskanzer Crimson 1999 2000 The Apache Software Foundation a Xalan J2 1999 2000 The Apache Software Foundation a NSIS 1 0j
103. rchf hren werden Sie zur Eingabe eines Collector Manager Passworts aufgefordert auch bei einem lokalen Wizard Host Der Host wird heruntergeladen und dem Baum mit den Wizard Hosts hinzugef gt Das Fenster mit dem bertragungsfortschritt wird ge ffnet aus dem der Fortschritt des Herunterladevorgangs hervorgeht HINWEIS ber das Fenster mit dem bertragungsfortschritt k nnen Hosts im Anschluss an eine bertragung neu gestartet werden HINWEIS Es kann nur jeweils ein Host heruntergeladen werden Wenn mehrere Hosts aktiviert werden wird kein Herunterladevorgang durchgef hrt Herunterladen von Collectors von einem einzelnen Host Herunterladen von Collectors von einem einzelnen Host 1 F hren Sie einen der folgenden Schritte aus W hlen Sie die Optionsfolge Datei gt Heraufladen Herunterladen Klicken Sie auf die Schaltfl che Heraufladen Herunterladen KI Daraufhin wird das Fenster Heraufladen Herunterladen ge ffnet W hlen Sie in der Liste den Wizard Host aus von dem Collectors heruntergeladen werden sollen Alle Wizard Hosts im Netzwerk werden automatisch in die Liste aufgenommen Die Schaltfl chen geben Aufschluss dar ber ob der Hostcomputer online ist oder nicht Klicken Sie auf Alle ausw hlen um alle Wizard Hosts in der Liste auszuw hlen Klicken Sie auf Keine Auswahl um die Auswahl aller Wizard Hosts in der Liste aufzuheben Klicken Sie auf Herunterladen um C
104. rieren von Parameterdateien een 3 8 Erstellen und Konfigurieren von Guchdaielen nennen 3 8 Inhalt 1 SIA Ee cC 3 9 Erstellen eines Wizard Ports n ertet ss ale nern 3 12 Permanente und tempor re ProZeSSe ccscceccesecceeeseecesesseceneeeeeeeseseneesessesesenseneeseseeeeseseesenessenenesee 3 16 Konfigurieren des Rx Tx Werts f r eine permanente bzw tempor re Verbiridung RX TX K EN 3 17 Einrichten d s SNMP Tr ap r iet eme tec er Dee no pate ees See De hue 3 18 Collector IP Addressen urit eet ep e Re mere m re wi a tenebo edt 3 21 SNMP Version 24 2 ee a ected Se een A ape tfta ee ute ceu e de Ee ben 3 22 UDP Ttap POLt iie ee be E e pte ee ep ie na EHI Eege 3 22 SNMP v1 Einstellungen 2 cime en an BI Sn lin 3 22 SNMP v2 v3 Einstell ndgen 22 22h Elben Ee 3 22 SNMP Trap Variablen 220 2 Beinen 3 23 SNMP Trap Variablen f r SNMP v1 und w 3 23 SNMP Trap Variablen f r SNMP vi 3 24 SNMP Trap Variablen f r SNMP vi 3 24 A Syslog Connector v1 0 2 A 1 rell TEE A 1 Installation und Deinstallation ieeeeeeeieeeeeceieeeeeeeeee A E a A than aE A 2 Systemanforder ngen eier shin dedo mte tt cce Po A une a Pesce eee on ad A 3 UC UE e EE A 3 REEL e EE EE A 4 Syntax EET A 4 Ee eet EE A 4 e Ee eene te EE A 7 Konfigurieren der Protokollierung f r den Gvslog Provvsener A 10 Beispiele f r Befehlszeilenargumente cs ccccssecceeeseecesesse
105. rt L schen eines Wizard Host Um einen Host l schen zu k nnen muss er zun chst aus dem Netzwerk entfernt werden Hosts die ber das Netzwerk kommunizieren k nnen nicht entfernt werden Wenn ein Host im Netzwerk vorhanden ist jedoch nicht kommuniziert ist das Host Symbol im Baum mit den Wizard Hosts mit einem roten X versehen L schen eines Wizard Host 1 Aktivieren Sie die Registerkarte Wizard Hosts um den Baumbereich mit den Wizard Hosts zu ffnen 2 Klicken Sie im Baum mit den Wizard Hosts mit der rechten Maustaste auf den Host 3 Klicken Sie auf Host l schen Neustarten eines Wizard Host Neustarten eines Wizard Host 1 Aktivieren Sie die Registerkarte Wizard Hosts um den Baumbereich mit den Wizard Hosts zu ffnen und einen Host auszuw hlen 2 Klicken Sie mit der rechten Maustaste auf einen Host und w hlen Sie Port starten Nur aktive Wizard Hosts k nnen neu gestartet werden Verwalten von Wizard Hosts 2 7 Exportieren eines Wizard Host Exportieren eines Wizard Host l Aktivieren Sie die Registerkarte Wizard Hosts um den Baumbereich mit den Wizard Hosts zu ffnen W hlen Sie einen Host aus W hlen Sie die Optionsfolge Datei gt Host exportieren Daraufhin wird folgendes Unterverzeichnis erstellt SWORKBENCH_HOME upload_ lt Hostname gt Dieses Unterverzeichnis kann mithilfe von Secure Shell SSH bzw mithilfe eines Datentr gers auf einen Remote Computer bertr
106. rt Bearbeiten Sie die Syslog Konfiguration syslog conf so dass der Syslog Proxy an einen Port gebunden wird f r den keine Root Berechtigungen erforderlich sind d h gt 1024 In diesem Fall m ssen Sie voraussichtlich die an Port 514 gesendeten Meldungen an den neuen Port umleiten den Sie f r die Verwendung ausgew hlt haben Deinstallation Um diesen Windows Dienst zu deaktivieren m ssen Sie die folgenden Befehle an der Eingabeaufforderung ausf hren Deinstallation als Windows Service Windows 1 Wechseln Sie in das Verzeichnis d ESEC_HOME wizard syslog 2 syslog server bat remove Deinstallation als Service UNIX Um den Syslog Proxy als Service zu deinstallieren m ssen Sie folgende Befehle ausf hren 1 Melden Sie sich als root an 2 Wechseln Sie in das Verzeichnis ESEC_HOME wizard syslog 3 Jsyslog server sh remove Syntax Syslog Proxyserver A 4 Wizard startet den Syslog Proxyserver nicht automatisch Wenn der Syslog Proxy automatisch gestartet werden soll muss er als Service installiert werden Befolgen Sie die Anweisungen in Abschnitt Installation um den Syslog Proxy als Service zu installieren Die Syslog Proxy Konfiguration wird in folgender Datei gespeichert Bei UNIX SESEC_HOME wizard syslog config syslog conf Bei Windows SESEC_HOME wizard syslog config syslog conf Sentinel Wizard Benutzerhandbuch Der Syslog Proxy wird so eingerichtet dass er sta
107. rt 1 Aktivieren Sie im Schabloneneditor im Bearbeitungsbereich die Registerkarte Fehlersuchprogramm um auf das Fehlersuchprogramm zuzugreifen Daraufhin wird ein leerer Bereich angezeigt und Sie k nnen in einer Dropdown Liste den Wizard Port ausw hlen f r den Sie die Fehlersuche durchf hren m chten Wenn Sie auf die Registerkarte mit den Wizard Hosts klicken wird f r den Port f r den zurzeit die Fehlersuche durchgef hrt wird angegeben dass er sich im Fehlersuchmodus befindet File All C workarea vuln_inf DemoYulnerabilityUploa Sp Je S File All T1 GNUx NM P 35 Start for 2 Wahlen Sie in der Dropdown Liste einen Port aus um den Fehlersuchvorgang zu starten Fiihren Sie zur Fehlersuche hinsichtlich des Ports einen der folgenden Schritte durch Dr cken Sie F6 um die Befehle einzeln zu durchlaufen bzw klicken Sie auf die Schaltfl che f r die Ausf hrung eines einzelnen Befehls Klicken Sie erneut auf die Schaltfl che bzw dr cken Sie F6 um die Skriptausf hrung fortzusetzen Dr cken Sie F7 um die Befehle automatisch zu durchlaufen oder klicken Sie auf die Schaltfl che f r die Wiederaufnahme der Befehlsausf hrung gt Dr cken Sie F5 um den Vorgang vor bergehend anzuhalten Sie k nnen auch auf die Schaltfl che zum vor bergehenden Anhalten der Befehlsausf hrung klicken DI Der Vorgang wird so lange angehalten bis Sie F7 dr cken bzw auf die Schaltfl che f r die Wiederau
108. s beginnen die Verarbeitung bei Status 1 unabh ngig davon wo Status 1 in der Schablone vorkommt Angenommen Status 1 ist ein Verarbeitungsstatus f gen Sie den neuen Status nach Status 1 ein Collector Builder weist automatisch dem ersten Status den Statuswert 1 zu Dieser erste Status sollte nur einen Parsing Befehl vom Typ BREAKPOINTY enthalten Wenn nur ein Haltepunkt nach Status 1 gesetzt wird wird die Fehlersuche einfacher Bei der Fehlersuche stoppt der Parser automatisch beim n chsten Status Beginnen Sie beim Erstellen einer Schablone mit dem Analysestatus nur Haltepunkt F gen Sie den Arbeitsstatus Status Empfangen Status Analysieren usw bei Status 2 ein Wenn Sie einen Status am Anfang der Schablone einf gen m ssen f gen Sie ihn lediglich nach dem BREAKPOINT Haltepunkt ein L schen Sie den Analysestatus nur BREAKPOINT nur wenn ein weiterer Status am Anfang der Schablone eingef gt werden muss Optional k nnen Sie bei diesem Analysestatus nur BREAKPOINT Kommentare zur Funktionsweise der Schablone eingeben So f gen Sie einen Status zu einer Schablone hinzu 1 Klicken Sie auf die Registerkarte Collectors um das Feld mit dem Collector Baum zu ffnen 2 W hlen Sie im Collector Baum eine Schablone die im Schabloneneditor im rechten Fenster angezeigt werden soll Sentinel Wizard Benutzerhandbuch Klicken Sie auf Optionen gt Status hinzuf gen gt bertragen Empfangen Entschei
109. s ein Es wird so lange versucht die Verbindung wiederherzustellen bis dies der Fall ist Es kommt zu einer Verz gerung zwischen Zeichen aus der die Anzahl der Millisekunden ms zwischen dem Senden der einzelnen Datenbyte hervorgeht Status Empfangen Der Status Empfangen gibt Aufschluss ber die Methode mit der Wizard ermittelt wann Daten vom Collector empfangen wurden Im Status Empfangen machen Sie folgende Angaben Empfangstyp Minimale Byte decide Zeichenkette f r Begrenzungszeichen Wenn beim Wechsel in den Status bertragen die Verbindung getrennt wurde und im Bereich mit den Portinformationen ein Wert in das Feld f r den Empfangs bertragungswert Rx Tx eingegeben wird tritt das nachfolgend angegebenen Ereignis ein Es wird so lange versucht die Verbindung wiederherzustellen bis dies der Fall ist Einf hrung in Wizard 1 5 1 6 Nach dem Status Empfangen des Empfangspuffers RxBuffer werden zwei Variablen automatisch mit dem Ergebnis des Status Empfangen gef llt Ss RXBufferString enth lt den vom RxBuffer empfangenen Text i RXBufferLength enth lt die L nge von s RXBufferString Dies entspricht der Ausf hrung folgenden Skriptcodes im Anschluss an den Status Empfangen COPY s RXBufferString LENGTH RXBufferLength s RXBufferString Diese automatisch gef llten Variablen erm glichen im Status Entscheiden den einfachen Vergleich um zu ermit
110. smeldungen in folgende Datei SESEC HOME wizard syslog syslog trace log Der Protokollierumfang kann durch die Bearbeitung der Datei mit den Protokollierungseigenschaften ge ndert werden SESEC HOME wizard syslog syslog log prop A 10 Sentinel Wizard Benutzerhandbuch Dies ist die Datei mit den Protokollierungseigenschaften wie in der folgenden Zeile in der Datei syslog conf angegeben wrapper java additional 1 Djava util logging config file syslog log prop Nehmen Sie nderungen an folgendem Abschnitt vor um den Protokollierumfang anzupassen Configure the logging levels Logging level rules are read from the top down Start with the most general then get more specific rer Konfigurieren des Protokollierumfangs Die Regeln f r den Protokollierumfang werden von oben nach unten gelesen Beginnen Sie mit der allgemeinsten und gehen Sie dann immer mehr ins Detail THE ER Beispiele f r Befehlszeilenargumente Der Syslog Proxyserver und der Client Connector k nnen ohne die bei der Installation zur Verf gung gestellten Skripts ausgef hrt werden Dazu m ssen Sie die Befehlszeilenargumente verwenden die Sie in diesem Abschnitt finden Syslog Proxy java server Xms64m Xmx256m Djava util logging config file syslog logger prop jar syslog jar udp lt Port gt tcp lt Port gt connector lt Port
111. stallieren und ihn so konfigurieren dass er Daten an den TCP Port liefert Weitere Informationen zur Konfiguration von Collectors mit diesem Verbindungstyp finden Sie in der Dokumentation zum Collector z B Collectors Snort Cisco PIX und Solaris Syslog unter workbench_home elements lt Collector Name gt docs Sentinel Wizard Benutzerhandbuch Verbindungstyp Datei neu Der Verbindungstyp Datei neu wird verwendet um ausschlie lich Sicherheitsereignisdaten zu lesen die einer Datei hinzugef gt werden nachdem das Skript gestartet wurde Datei neu ffnet die betreffende Datei und beginnt den Lesevorgang am Dateiende Sie m ssen im Feld Rx Tx Wert den Pfad zur Protokolldatei angeben Weitere Informationen zur Konfiguration von Collectors mit diesem Verbindungstyp finden Sie in der Dokumentation zum Collector z B Collector Solaris Syslog unter workbench_home elements lt Collector Name gt docs Verbindungstyp Datei alle Der Verbindungstyp Datei alle wird verwendet um alle Sicherheitsereignisdaten in einer Datei zu lesen Wenn Sie Datei neu oder Datei alle w hlen k nnen Sie als Rx Tx Wert entweder inputfile oder outputfile eingeben Das Format lautet wie folgt inputfile outputfile oder inputfile oder outputfile Wenn Sie Datei neu oder Datei alle ausw hlen und die Datei kleiner wird wird die Datei von Anfang an gelesen Weiter
112. t werden Heraufladen eines Collector auf mehrere Hosts Heraufladen eines Collector auf mehrere Hosts 10 11 ACHTUNG Wenn Sie einen Host heraufladen auf dem sich ein Collector mit demselben Namen wie auf dem lokalen Host befindet wird der Collector auf dem Remote Host ohne Benachrichtigung berschrieben Wenn Ihr Collector bereits vorschriftsm ig konfiguriert ist und Sie Ihr Skript erstellt haben k nnen Sie Schritt 2 bis 11 berspringen Klicken Sie auf die Registerkarte Wizard Hosts und w hlen Sie einen Host aus Doppelklicken Sie unterhalb der Spalte mit dem Portnamen auf neu Geben Sie einen Namen Ihrer Wahl ein W hlen Sie unter der Collector Spalte einen Collector aus Konfigurieren Sie den Collector gem den Angaben in der Collector Dokumentation S3WORKBENCH_HOME Elements lt Collector Name gt docs lt Dateiname gt pdf Aktivieren Sie die Registerkarte Collectors erweitern Sie den jeweiligen Collector Eintrag und markieren Sie die Schablonendatei Klicken Sie rechts auf die Registerkarte Parameter Legen Sie die Parameterwerte gem den Angaben in der Collector Dokumentation fest Optional Wenn dieser Collector beim Systemstart nicht gestartet werden soll bzw die vom Ger t angegebene Uhrzeit verwenden soll aktivieren Sie die Registerkarte Wizard Hosts klicken Sie mit der rechten Maustaste auf den Namen des Wizard Ports w hlen Sie Andere Portoptionen
113. tatus bertragen Tx bertr gt eine Zeichenkette an einen definierten Port s Status Empfangen Rx definiert ob Wizard Informationen von einer Sicherheitsmeldung in einem Puffer empf ngt Informationen werden der Portdefinition entnommen Status Entscheiden verwendet eine Zeichenkette oder Variable um zu bestimmen in welchen Status als N chstes gewechselt werden soll s Status Analysieren verwendet die Parsing Befehle um Schablonen f r die Verarbeitung der im Empfangspuffer gesammelten Informationen zu erstellen Die Statusangaben Weiter und Gehe zu werden durch die Nummer des Status identifiziert auf den sie verweisen o Status Weiter gibt an zu welchem Status im n chsten Skript gewechselt werden soll s Status Gehe zu wird verwendet um zu einem anderen Status im aktuellen Skript zur ckzukehren Status Stoppen ist stets 0 Gibt an wann die Verarbeitung an einem Port gestoppt werden soll Status bertragen Vom Status bertragen wird entweder eine Zeichenkette oder Variable je nachdem welche Art von Daten ausgew hlt wurden an den f r diesen Collector konfigurierten Verbindungstyp gesendet Wenn beim Wechsel in den Status bertragen die Verbindung getrennt wurde und im Bereich mit den Portinformationen ein Wert in das Feld f r den Empfangs bertragungswert Rx Tx eingegeben wird tritt das nachfolgend angegebenen Ereigni
114. teln ob eine Zeit berschreitung des Status Empfangen aufgetreten ist i_RXBufferLength 0 Sie erm glichen zudem die direkte Verwendung des Empfangspuffers RXbuffer ber die s RXBufferString Variable Empfangstypen Im Schabloneneditor stehen vier Emfpangstypen zur Verf gung Hierbei handelt es sich um Zeit berschreitung Hiermit kann ein Skript die Verarbeitung auch dann fortsetzen wenn die Daten nicht innerhalb des angegebenen Zeitaums eingehen Wenn Sie Zeit berschreitung aktivieren kann Wizard Daten empfangen bis der Zeit berschreitungszeitraum wird durch die Variable RX_TIMEOUT_DELAY definiert erreicht ist Warten Kommt haupts chlich beim Eingang nicht angeforderter Ereignismeldungen zum Einsatz Wizard wartet mit dem Datenempfang so lange wie unter Zeit berschreitung angegeben HINWEIS Bei den Empfangstypen Zeitiiberschreitung und Warten wird das Skript erst fortgesetzt wenn die minimale Anzahl an Byte eingegangen ist bzw wenn bei der Zeit berschreitungsoption die Zeit berschreitung eintritt Zeit berschreitung Begrenzungszeichen Verwendet eine vordefinierte Zeichenkette um Wizard dar ber zu informieren dass Daten eingegangen sind Die Daten im Feld decide Zeichenkette f r Begrenzungszeichen werden beim Eingang der einzelnen Byte anhand der Daten im Empfangspuffer berpr ft Warten Begrenzungszeichen Wird beim Warten auf nicht angeforderte Me
115. ter ist die ID Die f r einen bestimmten Syslog Connector konfigurierte ID muss f r alle Syslog Connectors die mit demselben Syslog Proxy verbunden sind eindeutig sein Zur Laufzeit kann ein Inhaltsfilter angegeben werden um den Bereich der Meldungen zu begrenzen die zur Analyse an den Collector gesendet werden a Der Syslog Connector stellt eine Verbindung zum Connector Client Service des Proxy her a Der Syslog Connector registriert seine ID und seinen Inhaltsfilter beim Syslog Proxy Meldungen die der Syslog Proxy der ID zuordnet werden vom Syslog Connector gelesen und an dessen Standardausgabe weitergeleitet Zurzeit werden Struktur und Inhalt der Meldung unver ndert an den Collector weitergeleitet In Zukunft wird der Syslog Connector die Meldung formatieren k nnen um die Analyseanforderungen des Collector zu erf llen Das Syslog Protokoll wurde herk mmlicherweise und ist auch zurzeit noch als UDP basiertes Protokoll definiert Da keine breite Palette verschiedener Anwendungen Ger te vorhanden ist die in der Lage sind Meldungen ber TCP zu senden und kein anerkannter Standard f r Syslog ber TCP existiert wurde der Cisco PIX Ansatz f r die Beendigung von Syslog Meldungen Wagenr cklauf Zeilenvorschub bernommen Die Meldungsbeendigung ist bei Syslog ber TCP erforderlich da es keinen definierten Standard oder eine nat rliche Grenze zwischen Meldungen gibt Syslog ber UDP weist eine nat rliche Meldungsbe
116. uch werden die folgenden Themen behandelt Verwendung der Sentinel Console Ereigniskonfiguration f r Sentinel Funktionen Unternehmensrelevanz Sentinel Architektur Zuordnungsservice Sentinel Kommunikation Verlaufsberichte Herunterfahren Starten von Sentinel Wizard Host Verwaltung Anf lligkeitsbewertung Vorf lle Ereignis berwachung Szenarios Ereignisfilterung Benutzerverwaltung Ereigniskorrelation Workflow Sentinel Data Manager Band Ill Wizard Benutzerhandbuch In diesem Handbuch werden die folgenden Themen behandelt Wizard Collector Builder Operation Wizard Host Verwaltung Wizard Collector Manager Erstellen und Verwalten von Collectors Collectors Band IV Sentinel Referenzhandbuch f r Benutzer In diesem Handbuch werden die folgenden Themen behandelt Wizard Skriptsprache Wizard Parsing Befehle Wizard Administratorfunktionen META Tags f r Wizard und Sentinel Sentinel Correlation Engine Benutzerberechtigungen Korrelations Befehlszeilenoptionen Sentinel Datenbankschema Band V Sentinel Handbuch f r Drittanbieter Integration Remedy HP OpenView Operations HP Service Desk Einf hrung in Wizard HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Das Wizard Benutzerhandbuch dient der Einf hrung in die Arbeit mit Novell Wizard In diesem Handbuch werden d
117. ules lizenziert unter Lesser General Public License Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http free tagish net jaas index jsp Java Network Launching Protocol JNLP Copyright O Sun Microsystems Inc Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www java sun com products javawebstart download jnlp html klicken Sie auf Download gt License Java Service Wrapper Teile wie folgt durch Copyright gesch tzt Copyright O 1999 2004 Tanuki Software und Copyright 2001 Silver Egg Technology Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http wrapper tanukisoftware org doc english license html JIDE Copyright O 2002 bis 2005 JIDE Software Inc jT DS ist lizenziert unter Lesser GNU Public License Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http jtds sourceforge net MDateSelector Copyright 2005 Martin Newstead lizenziert unter Lesser General Public License Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http web ukonline co uk mseries Monarch Charts Copyright O 2005 Singleton Labs Net SNMP Teile des Codes unterliegen dem Copyright verschiedener juristischer Personen die sich alle Rechte vorbehalten Copyright 1989 1991 1992 by Carnegie Mellon University Copyright 1996 1998 bis 2000 the Regents of the University
118. upport von Novell http support novell com phone html sourceidint suplnav4_phonesup Self Support http support novell com support_options html sourceidint suplnav_supportprog F r Support rund um die Uhr 1 800 858 4000 1 10 Sentinel Wizard Benutzerhandbuch Verwalten von Wizard Hosts HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Wizard Hosts sind Computer auf denen Collector Manager installiert ist Host interagieren ber das Netzwerk mit Collector Builder Computern und Sentinel Collectors empfangen und analysieren Daten Basierend auf diesen Daten senden Hosts Warnmeldungen an Sentinel Wizard erkennt Hosts im Netzwerk automatisch und f gt sie der Liste auf der Registerkarte mit den Wizard Hosts hinzu Hosts k nnen nicht manuell hinzugef gt werden Sie k nnen vorhandene Hosts umbenennen und Hosts l schen die im Netzwerk physisch nicht mehr vorhanden sind und nicht mehr kommunizieren Collector Builder sammelt Zustandsmeldungen f r Hosts Wenn ein Host nicht mit einer Zustandsmeldung reagiert wird er im Baum mit den Wizard Hosts mit einem roten X versehen Ein Host mit einem roten X kann entfernt werden wenn Collector Builder erkennt dass der Host kommuniziert wird der Host wieder im Baum mit den Wizard Hosts angezeigt Ebenso gilt Wenn Sie einen Host entfernen der bereits kommuniziert gelangt er durch die Zustands

Download Pdf Manuals

Related Search

Related Contents

Carolo mag\` n°188 - mars 2015 (pdf - 1,40 Mo)  TWO INSTALLATION, LICENSING, AND  PW 4913 FA - postshop.ch  a short user manual for the liquid surface  MH-z1915 Quad LED Wash Zoom moving head user manual  Les caveaux à légumes de la Côte-de-Beaupré : une  Sony SVS13122CXB Quick Start Manual  Samsung 400EX Benutzerhandbuch  

Copyright © All rights reserved. Failed to retrieve file