Novell Sentinel SCC Benutzerhandbuch
Contents
1. N Novell Sentinel Control Center als esecadm angemeldet E lal xj Datei Optionen Fenster Aktive Ansichten Worf le MRAC Analyse M tdeher Golectors Admin Hite m Ellu Pi TE Ave ansener C verrass U TRAC a Arase 9 Raanser I coecor aan Voraanasmonito EH iTrec Verwaltung N multiple HIPAA jaj xi Aktivit tsverwaltung l Schablonen Manager Vorgangsmonitor E Schablonen EHD Vorgangsverwattung amp Vorgangsansicht Manager a PROCESSES BY STATUS ee ME 4 CA D I N MT verneint i pn muoz gt wer gt Taste Sole eakEnacamalnmam mm 8 8 IB 1 ps i T i F upas sunnascanecde mifas ranwacaiecton gt 32 FB8 ne re r gt st I l 1 ee i I 1 N ran sarenacauch In E WIAA DeUCAecHen be A r A E ES ER n Arbeitselemente EHEN HPAA IM t EHS Acceptincident 17 W kl H di ut Orklis analer a Ereignisuhrzeit Instanz iD Ereignistyp Alter Stetus Thu Jul 06 15 57 30 CEST 2006 F HPAA 1_iTrac_HIPAA Iprocess_created Jul 0615 57 30 CEST 2006 HPAA Trac HPAA ocess_context_changed ContainmentOutput performCo Thu Jul 06 15 57 30 CEST 2006 HPAA 1_iTrac_HPAA Iprocess_context_changed Iid kid 100 Jul 06 15 57 31 CEST 2006 G7 HPAA Trec_HPAA cess _context_changed userName null userAssigned f useriame esedadm userAssig Thu Jul 06 15 57 31 CEST 2006 HPAA 1_Trac_HPAA Iprocess_state_chang2. Laden von gro er Zuordnung Dieses interne Ereignis ist ein Informationsereignis das vom Zuordnungsservice gesendet wird Damit wird dar ber informiert dass eine gro e Zuordnung in den Collector Manager geladen wurde Eine Zuordnung gilt als gro wenn die Anzahl der Zeilen 100 000 berschreitet Tag Wert Schweregrad 0 Ereignisname LoadedLargeMap Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Finished loading map lt name gt with id lt ID gt and lt num gt entries and total size lt gt Kb in lt gt sec Zuordnung lt Name gt mit ID lt ID gt und lt n gt Eintr gen und einer Gesamtgr e von lt n gt Kb in lt n gt Sekunden wurde geladen Langes Laden von Zuordnung Dieses interne Ereignis ist ein Informationsereignis das vom Zuordnungsservice gesendet wird Damit wird dar ber informiert dass das Laden einer Zuordnung au ergew hnlich lange l nger als 1 Minute gedauert hat Tag Wert Schweregrad 0 Ereignisname LongTimeToLoadMap Ressource MappingService Teilressource ReferentialDataObjectMap Meldung It took lt gt sec to load map lt name gt with id lt ID gt and lt num gt entries and total size lt gt Kb Das Laden von Zuordnung lt Name gt mit ID lt ID gt und lt n gt Eintr gen und einer Gesamtgr e von lt n gt Kb dauerte lt n gt Sekunden A 10 Sentinel Benutzerhandbuch TimedoutWaitingFo
3. Ha mixed severity Medium 3 None 0 102 esecadm Ha sev2 Low 2 None 0 101 esecadm i Medium 3 Medium 2 100 Ready D Refresh f A Options Refreshed At Mon May 09 08 44 52 EDT 2005 Nachfolgend sehen Sie eine Ansicht die nach Schweregrad sortiert ist und deren Felder Spaltenverwaltung f r die ersten vier Spalten auf Schweregrad Erstellt am Priorit t und Gef hrlichkeits Rating eingestellt sind Severity Detecrested Priority Criticality Rating Severity Rating Modified By Incidents 2 sev4 i 05 09 2005 None 0 0 0 lesecadm oper 12 mixed severity i 05 09 2005 None 0 0 0 0 0 lesecadm oper 05 09 2005 None 0 0 0 0 0 lesecadm oper 05 09 2005 Medium 2 0 0 0 0 esecadm oper gt l Ready gt Refresh A Options Refreshed At Mon May 09 08 44 52 EDT 2005 Nachfolgend sehen Sie eine Ansicht die nach Titel gruppiert ist Registerkarte Vorf lle 4 3 Hinzuf gen einer Vorfallsansicht Beim Hinzuf gen einer Vorfallsansicht stehen folgende Optionen zur Verf gung Felder Gruppieren nach Sortieren Filter Baumansicht So f gen Sie eine Vorfallsansicht hinzu 1 Klicken Sie im Vorfallsansichts Manager auf Ansicht hinzuf gen 2 Geben Sie einen Optionsnamen ein w hlen Sie die gew nschten Optionen aus und klicken Sie dann auf Speichern 4 4 _Sentinel Benutzerhandbuc
4. 4 Warten Sie bis die Schaltfl che Aktualisieren gr n wird und klicken Sie dann auf Speichern Sie m ssen sich vom Sentinel Control Center ab und dann wieder anmelden Sentinel Korrelationsregeln Die Korrelation bietet mehr Intelligenz bei der Verwaltung von Sicherheitsereignissen indem sie es Ihnen erm glicht die Analyse des eingehenden Ereignisstreams zu automatisieren um Muster von Interesse zu entdecken Die Korrelation erm glicht Ihnen das Definieren von Regeln die kritische Bedrohungen und komplexe Angriffsmuster identifizieren sodass Sie Ereignissen Priorit t verleihen und eine effektive Vorfallsverwaltung und reaktion initialisieren k nnen Regelordner sind eine logische Gruppierung von Korrelationsregeln Das Gruppieren von Korrelationsregeln in Regelordnern erm glicht Ihnen zudem die Verwendung eines Satzes von Regeln die an Werktagen ausgef hrt werden oder eines Satzes der nachts ausgef hrt wird und eines weiteren Satzes der am Wochenende ausgef hrt wird Dies bedeutet im Wesentlichen dass Sie je nach Tageszeit verschiedene Aktivit ten berwachen k nnen Sie k nnen beispielsweise alle Korrelationsregeln die tags ber ausgef hrt werden sollen von Montag bis Freitag um 8 Uhr starten und gleichzeitig die Korrelationsregeln die nachts ausgef hrt werden deaktivieren Wenn es nicht n tig ist dass die Korrelationsregeln in Regelordnern gruppiert werden k nnen Sie auch nur einen Regelordner
5. HINWEIS Oracle gestattet nicht die Verwendung von Benutzernamen die gleich lauten wie die von Oracle reservierten W rter Diese Namen werden von Sentinel ebenfalls abgelehnt 9 30 Sentinel Benutzerhandbuch ndern eines Benutzerkontos Zur Verwendung dieser Funktion m ssen Sie ber die Benutzerberechtigung zum ndern von bestehenden Benutzerkonten verf gen HINWEIS Das esecrpt Benutzerpasswort muss direkt in der Datenbank ge ndert werden Enterprise Manager kann hierf r verwendet werden So ndern Sie ein Benutzerkonto 1 ffnen Sie das Fenster Benutzer Manager 2 Doppelklicken Sie auf ein Benutzerkonto oder klicken Sie mit der rechten Maustaste auf Benutzerdetails 3 ndern Sie das Konto Klicken Sie auf OK Anzeigen von Benutzerkontodetails Zur Verwendung dieser Funktion m ssen Sie ber die Benutzerberechtigung zum Verwenden Anzeigen von Benutzerkonten verf gen So zeigen Sie Benutzerkontodetails an 1 ffnen Sie das Fenster Benutzer Manager 2 Doppelklicken Sie auf ein Benutzerkonto oder klicken Sie mit der rechten Maustaste auf Benutzerdetails 3 berpr fen Sie die Details des Benutzerkontos und schlie en Sie das Fenster Klonen eines Benutzerkontos So klonen Sie ein Benutzerkonto 1 ffnen Sie das Fenster Benutzer Manager 2 W hlen Sie eine Benutzerkonto ID aus klicken Sie mit der rechten Maustaste und w hlen Sie Benutzer klonen 3 ndern Sie di
6. L schen eines Benutzerkontos Das Installationsprogramm erstellt folgende Standardbenutzer in Sentinel Server Oracle und MS SQL Authentifizierung esecdba Schemaeigent mer zum Zeitpunkt der Installation zu konfigurieren esecadm Sentinel Administratorbenutzer zum Zeitpunkt der Installation zu konfigurieren HINWEIS Unter UNIX erstellt das Installationsprogramm zudem den Betriebssystembenutzer mit demselben Benutzernamen und Passwort esecrpt Reporter Benutzer Passwort wie admin Benutzer ESEC_CORR Correlation Engine Benutzer Verwendung zur Erstellung von Vorf llen esecapp Sentinel Anwendungsbenutzername zum Herstellen der Datenbankverbindung Windows Authentifizierung Sentinel DB Administrator Schemaeigent mer zum Zeitpunkt der Installation zu konfigurieren Sentinel Administrator Sentinel Administratorbenutzer zum Zeitpunkt der Installation zu konfigurieren Sentinel Report Benutzer Reporter Benutzer Passwort wie admin Benutzer Sentinel Benutzerhandbuch Sentinel DB Anwendungsbenutzer Sentinel Anwendungsbenutzername zum Herstellen der Datenbankverbindung ffnen des Fensters Benutzer Manager So ffnen Sie das Fenster Benutzer Manager 1 Klicken Sie auf die Registerkarte Admin 2 Klicken Sie auf Admin gt Benutzerkonfiguration Erstellen eines Benutzerkontos HINWEIS Um die strengen Sicherheitskonfigurationen zu erf
7. nn 1 15 saveConnection Ausf hren 4 2 2u sehen 10 29 Schnellstart Bestandsdaten uun z22snnen nennen ernennen 12 3 Crystal Report uesssensnnnnnnensnnnnnnenn nen 12 5 Ereignisabfrage 2244r sn 12 4 12 6 Exploit Erkennung 222ss4s2nnen rennen nenn 12 2 Korrelationsregel ceecee 12 6 SDM Siehe Sentinel Data Manager Sentinel Architektur 0224222444400nnnnnnnnennnnennnn 1 3 Beschreibung 2 222 444444444B HH H 1 3 Vorg ngen eisen 1 13 Sentinel Control Center Fenster minimieren 2 8 Fenster schlie en u 2 9 Fenster berlappend anordnen 2 8 Fenster wiederherstellen 2 8 Navigationsfenster andocken 2 8 Navigationsfenster ausblenden 2 8 Navigationsfenster einblenden 2 8 Navigationsfenster Verankerung aufheben OAEI EAT ATT 2 8 Nebeneinander anordnen 2 8 Passwort angis ee 2 10 Registerkartenposition uusrsseenennneee nn 2 7 Starten UNIX 2200r240unnnnennnnnnnnennnnnn nn 2 2 Starten unter Windows 2c seeeneennn 2 2 Sentinel Data Manager 10 1 Aggregation i e 10 23 10 25 Aggregation Ereignisdateiinformationen aa EN A 10 27 Aggregation Ereignisdatei Zusammenfassung neesnnenersennnen nennen 10 28 Aggregation Zusammenfassungsinforma
8. 4ussrsnnennnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnn nn 9 12 Erstellen einer Serveransicht 40s4s4404nnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 9 13 Starten Stoppen und Neustarten von Vorg ngen uursnsessseennsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nen 9 13 IC RESTE E A A A A 9 14 ffentliche Fiter termener a ee are been 9 15 Private Fier atia aasan E TESA A AARAA AR AREE ea ATAARE 9 15 Globale Filtet eea 2 sea rare nn mare nern 9 15 Konfigurieren ffentlicher und privater Filter urssrsssennsennnnnnnnnnnnnnnnnnnnnannennnnnnnn 9 17 Konfigurieren der Men konfiguration 4s44s420044nn0nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnn nn 9 20 Hinzuf gen einer Option zum Men f r die Men konfiguration esnnnne 9 21 Klonen einer Men option f r die Men konfiguration ersnssrsnennnnnnnnnnnnnnnnnnnnnn 9 23 ndern einer Men option f r die Men konfiguration eennneenennnn 9 23 Anzeigen der Optionsparameter f r eine Men konfiguration 424000snser nenn 9 23 Aktivieren oder Deaktivieren einer Men option f r die Men konfiguration 9 24 Neuanordnen von Ereignismen optionen rsnsusnsnennsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nennen 9 24 L schen einer Men option f r die Men konfiguration ursnsusrseennnnnnnnnnnennnnnnnnnnn 9 24 Bearbeite
9. Aktualisieren von Zuordnung von Server Dieses interne Ereignis wird Client seitig vom Zuordnungsservice generiert dem Service der Bestandteil des Collector Manager ist Wenn der Collector Manager eine Anweisung zum Aktualisieren der Zuordnung erh lt weil diese selbst oder deren Definition ge ndert wurde wird ein internes Ereignis gesendet Das hei t dass die Zuordnung entweder nicht im Cache enthalten war oder dass die Version im Cache nicht aktuell ist sodass der Collector Manager die Zuordnung vom Server abruft Tag Wert Schweregrad 1 Ereignisname RefreshingMapFromServer Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Refreshing from server map lt name gt with id lt ID gt Aktualisieren der Zuordnung lt Name gt mit ID lt D gt vom Server Zeit berschreitung beim Aktualisieren von Zuordnung Dieses interne Ereignis wird Client seitig vom Zuordnungsservice generiert dem Service der Bestandteil des Collector Manager ist Wenn der Collector Manager eine Anweisung zum Aktualisieren der Zuordnung erh lt weil diese selbst oder deren Definition ge ndert wurde wird ein internes Ereignis gesendet Das hei t dass der Collector Manager versucht hat die Zuordnung vom Server abzurufen und die Anforderung wurde vom Server nicht akzeptiert sodass eine Zeit berschreitung aufgetreten ist Dieser Fehler wird als fl chtig angesehen und der Collector Manager versucht erneu
10. Email Adresse FEmail Betreff FEmail Nachricht Klicken Sie auf OK So senden Sie eine Vorfallsnachricht per Email 1 Klicken Sie nach dem Speichern des Vorfalls auf die Registerkarte Vorf lle und dann auf Vorf lle gt Vorfallsansichts Manager anzeigen Doppelklicken Sie auf Alle Vorf lle Doppelklicken Sie auf einen Vorfall Klicken Sie auf Vorfall mailen Geben Sie Folgendes ein Email Adresse Email Betreff Email Nachricht Klicken Sie auf OK Die Email Nachricht verf gt ber HTML Anlagen mit Informationen zu den Vorfallsdetails zu Ereignissen Best nden Anf lligkeiten Advisor Informationen und zum Vorfallsverlauf Registerkarte Active ViewsTM 3 11 Erstellen eines Vorfalls Zum Ausf hren dieser Funktion m ssen Sie ber die Benutzerberechtigung zum Erstellen von Vorf llen verf gen 3 12 Dies ist hilfreich beim Zusammenfassen eines Satzes von Ereignissen die von Interesse sein k nnen hnliche Ereignisse oder einen Satz unterschiedlicher Ereignisse gruppieren die ein Interessenmuster z B einen Angriff angeben HINWEIS Wenn in einem neu erstellten Vorfall zu Beginn keine Ereignisse angezeigt werden liegt dies wahrscheinlich an einer Zeitverz gerung zwischen dem Anzeigen im Fenster f r Echtzeitereignisse und dem Einf gen in die Datenbank In diesem Fall kann es einige Minuten dauern bis die urspr nglichen Ereignisse in die Datenbank eingef gt und im Vorfall a
11. Extern Informationen werden vom Collector abgerufen Verweis von Zuordnung Informationen werden aus einer Zuordnung abgerufen und das Tag wird gef llt F r das Attackld Tags sind die Ger te Art des Sicherheitsger ts z B Snort und AttackSignature Spalten als Schl ssel festgelegt und die NormalizedAttackID Spalte in der Datei attackNormalization csv wird verwendet In einer Zeile in der das DeviceName Ereignis Tag ein IDS Ger t wie Snort von Advisor ausgef llte Informationen sowie Anf lligkeitsinformationen aus der Sentinel Datenbank mit dem der Angabe zum Ger t Device bereinstimmt und in der das Device AttackName Ereignis Tag von Advisor ber den Exploit Erkennungsservice ausgef llte Angriffsinformationen in der Datenbank mit AttackSignature bereinstimmt schneidet diese Zeile beim AttackId Wert die NormalizedAttackID Spalte Sentinel Einf hrung 1 9 1 10 Reservedvar26 Data Source Reservedvar27 C External Reservedvar28 Reservedvar29 Referenced from Map n Map Name AttacksignatureNiormalization 7 DeviceName DeviceCategory Map Column normalizedattack d z EventContext Key Configuration SourceThreatlevel Map Key Field SourcellserContext DataContext Device SourceFunction Gai vraf nar ahinn alantavt Event Tag DeviceAttackName AttackSignature Key Key Attackld entry AttackSignature Normalized ttackld Backin Probe TCP 1234 3 T
12. f r Benutzer Bedingung Feldtyp Beschreibung Numerisch Der Inhalt des ausgew hlten META Tag ist gleich dem Zeichenkette eingegebenen Wert l Numerisch Der Inhalt des ausgew hlten META Tag ist nicht gleich Zeichenkette dem eingegebenen Wert lt Numerisch Der Inhalt der ausgew hlten Eigenschaft ist kleiner als der eingegebene Wert gt Numerisch Der Inhalt des ausgew hlten META Tag ist gr er als der eingegebene Wert lt Numerisch Der Inhalt des ausgew hlten META Tag ist kleiner als oder gleich dem eingegebenen Wert gt Numerisch Der Inhalt des ausgew hlten META Tag ist gr er als oder gleich dem eingegebenen Wert META Tag Numerisch Der Inhalt des in der Dropdown Liste auf der linken Seite Zeichenkette ausgew hlten META Tag ist gleich dem Inhalt des auf der rechten Seite des Ausdrucks ausgew hlten META Tag META Tag Numerisch Der Inhalt des in der Dropdown Liste auf der linken Seite Zeichenkette ausgew hlten META Tag ist nicht gleich dem Inhalt des auf der rechten Seite des Ausdrucks ausgew hlten META Tag lt META Tag Numerisch Der Inhalt des in der Dropdown Liste auf der linken Seite ausgew hlten META Tag ist kleiner als der Inhalt des auf der rechten Seite des Ausdrucks ausgew hlten META Tag gt META Tag Numerisch Der Inhalt des in der Dropdown Liste auf der linken Seite ausgew hlten META Tag ist gr er als der Inhalt des auf der rechten Seite des Ausdrucks ausgew hlten META Tag lt META
13. mailconfigtest bat to lt Ziel Email Adresse gt Wenn die Email erfolgreich gesendet wurde erhalten Sie die folgende Bildschirmausgabe in der Ihnen mitgeteilt wird dass die Email von der Zieladresse empfangen wurde Email has been sent successfully 11 10 Sentinel Benutzerhandbuch berpr fen Sie das Postfach der Ziel Email Adresse um sich zu vergewissern dass die Email empfangen wurde Die Betreffzeile und der Inhalt lauten wie folgt Subject Testing Sentinel mail property This is a test for Sentinel mail property set up If you see this message your Sentinel mail property has been configured correctly to send emails Aktualisieren des Lizenzschl ssels Wenn Ihr Sentinel Lizenzschl ssel abgelaufen ist und Novell einen neuen Lizenzschl ssel ausgestellt hat f hren Sie das softwarekey Programm aus um Ihren Lizenzschl ssel zu aktualisieren Aktualisieren Ihres Lizenzschl ssels UNIX 1 Melden Sie sich als Benutzer esecadm an 2 Wechseln Sie in das Verzeichnis ESEC_HOME utilities 3 Geben Sie den folgenden Befehl ein softwarekey 4 Geben Sie die Ziffer 1 ein um Ihren Prim rschl ssel festzulegen Dr cken Sie die EINGABETASTE Aktualisieren Ihres Lizenzschl ssels Windows 1 Melden Sie sich als Benutzer mit Administratorrechten an 2 Wechseln Sie in das Verzeichnis ESEC_HOME utilities 3 Geben Sie den folgenden Befehl ein softwarekey exe 4 Geben Sie die Ziffer
14. u nsesseennnennnnnnnnnnnnnnnnn 11 3 Sentinel Skriptdateien 4 ed nee na 11 3 Entfernen der Kommunikationsserver Sperrdateien 20044440snnnsnnnnnnnnnnnnnnnennnnnnn 11 4 Starten des Kommunikationsservers im Konsolenmodus 444444s40nn nenn nnnnnnnnennnnnn 11 5 Beenden des Kommunikationsservers im Konsolenmodus 4 u04240n nen nnnnnnnnnnnnnnnn 11 5 Neustarten von Sentinel Containern 0u4440r4nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 11 6 Versionsinformalionen an anna ae rauen rien Teure ide 11 7 Sentinel Server Versionsinformationen usssessnneenessnnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 11 7 Sentinel Versionsinformationen f r DLL und EXE Dateien uuu224u0ser sense 11 7 Sentinel Versionsinformationen f r JAR Dateien uuuurs4n0sersnnenenennnennnnnnnnnnnennn nenn 11 8 Konfigurieren von Email Einstellungen unter Sentinel 0srsnsnnnnnnnnnnnnnnnnnnnn 11 8 Aktualisieren des Lizenzschl ssels 444400n00nnnnnnnnnnnnnennnnnannnnnnnnnannnnnnnennnnn anne 11 11 Inhalt 5 V2 SChNellstant 5 anna anna AE E E tee 12 1 Sicherheitsanalysten zut 22 0 u TE A E A 12 1 Registerkarte Active Views ununsennnnnnnennnnannnnnnnnnnennnnnnnennnnnannennnnnnnennnnannnnnnnnnnn EKARA 12 1 Expl lt Erkennung asia fees EAE E AARAA EE OEE CRER ESEESE 12 2 Bestandsdaten H 2 2 EE AE ER TEENAA E
15. So l schen Sie eine ITRAC Funktion 1 ffnen Sie das Fenster Funktions Manager 2 W hlen Sie eine Funktion aus klicken Sie mit der rechten Maustaste und w hlen Sie Funktion l schen Anzeigen von Funktionsdetails So zeigen Sie Funktionsdetails an 1 ffnen Sie das Fenster Funktions Manager 2 W hlen Sie eine Funktion aus klicken Sie mit der rechten Maustaste und w hlen Sie Funktionsdetails 9 32 Sentinel Benutzerhandbuch Sentinel Data Manager HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Der Sentinel Data Manager SDM ist ein Tool mit dessen Hilfe Benutzer die Sentinel Datenbank verwalten k nnen Mit dem SDM k nnen Benutzer die folgenden Vorg nge ausf hren berwachen der Datenbank Speicherplatzauslastung Anzeigen und Verwalten von Datenbankpartitionen Verwalten von Datenbankarchiven Importieren von Daten in die Datenbank Konfigurieren der Datenzuordnung Konfigurieren der Namen von Ereignistags Konfigurieren von Einstellungen f r Zusammenfassungsberichte Installieren des SDM Der SDM kann direkt ber den Sentinel 5 InstallShield Wizard installiert werden W hlen Sie dazu im Bildschirm zum Ausw hlen von Sentinel 5 Funktionen die Komponente Sentinel Data Manager aus 3 v Anwendungen v Sentinel Collector Builder v Sentinel Control Center I E BEJE WERNER Nu
16. ALLGEMEINE SERVICES EREIGNIS REPOSITORY TOPE NENOOS FILTER ENGINE KORRELATIONSSERVICE ABFRAGE MANAGER SERVICE WORKFLOW SERVICE ZUORDNUNGS ENGINE m ZUSTANDSMONITOR DATA ACCESS SERVICES REMOTING SERVICES GESCH FTSLOGIK API SERVICES COLLECTOR MANAGER COLLECTOR MANAGER KILE COLLECTOR MANAGER ALLGEMEINE SERVICES COLLECTOR COLLECTOR COLLECTOR COLLECTOR COLLECTOR COLLECTOR STEUERUNG ENGINE ENGINE ENGINE ENGINE ENGINE ENGINE TAXONOMIEZUORDNUNG GLOBALE FILTERUNG UNTERNEHMENSRELEVANZ CONNECTOR CONNECTOR CONNECTOR CONNECTOR CONNECTOR CONNECTOR SAMMLUNG amp ERWEITERUNG 7 k 7 COLLECTORS COLLECTORS COLLECTORS COLLECTORS COLLECTORS COLLECTORS 279 88 B gt aB Firewall Bestandsverw Patch Verw Arbeitsstationen Laptops Gesch ftsanw RDBMS i er Host IDS Ef 3 g Z i Virenschutz ldentit tsverw Anf lligkeit Dom nen Bonutzer Oo svorw Server Mainframe t controller definierte Ereignisse SICHERHEITSUMFANG REFERENZIELLE IT QUELLEN BETRIEBSSYSTEME ANWENDUNGSEREIGNISSE EXTERNE EREIGNISQUELLEN Netzwerk IDS Bei Ereignissen handelt es sich um Aktionen oder Vorg nge die Sentinel gemeldet werden Ereignisse von Sicherheitsger ten werden als externe Ereignisse bezeichnet Von Sentinel generierte Ereignisse werden interne Ereignisse genannt Ereignisse k nnen sich auf die Sicherheit die Leistung oder auf Informationen beziehen Bei einem externen Ereignis kann es sich beispiels
17. Anf lligkeit Port Protokoll Nachfolgend sehen Sie ein Beispiel f r einen Nessus Absuchvorgang Yulnerabllity Summary Host Yulnerabilities 18 172 16 0 122 OJJFTER 21 Ftp TCP 21 ftp TCP 21 ftp TCP 22 schlsTeR z2 ssh TCP 22 ssh TCP 23 telnet TCP 2altelnetj TCr 25 sratp STCP 25fsrtp I TCP 25 smtp I TCP S8 amp 7 submisslan TCP 587 submisston TCP 587 submission TCP 1241 nessus TCP 1241 nessus STCP IW mysql TTP 172 16071 49 OJ TCP O ZTCP 21 fp TCP 21 fp TCP 22 ssh TCP 23 telnat TCP 23 talnet TCP 23 telnat TCP 25 smtp TCP 25fsratp sTCP 25 srtp f TCP 25 srntp TCP 25 srntp TCP 25 srntp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 srntp I TCP O dnslx TCP M dnsir I TCP Wfdnslx TCP 90 dnsiz I TCP fdnsix TCP 90 dnsix TCP Qfdnsix TCP 90 dnsix TCP 111 sunrpc TCP 111 sunrpe TEP 161 snrnp UDP 512 axec TCP 513 login TCP 514 shelll TCP 587 submission TCP 587 submission TCP 587 submission TCP 587 submission TCP 587 submission TCP 587 submission TCP 587 submission TCP 587 submission TCP 587 submission TCP 587 submission TCP 6000 x11 TCP 7100 font sarvica TCP 2277a sometimes rpc13 TCP 22779 sometimes rpr21j TCP 22779 sametimes rpr21 TCP 32779 sametimes rpe21 TCP 172 18 0 172 18 O FTCP 21 Ftp TEP ZU ftp TEP 21 ftp TCP Z2 ssh TCP Z2 ssh TCP 22 ssh TCP 23 tel
18. Anzeigen der Optionsparameter f r eine Men konfiguration Aktivieren oder Deaktivieren einer Men option f r die Men konfiguration Neuanordnen von Ereignismen optionen L schen einer Men option f r die Men konfiguration Hinzuf gen einer Browserfunktion zur Men konfigurationsoption iolxi Men bezeichnung Beschreibung ping Ping the Destination IP of the selected event nslookup Perform an nslookup on the Source IP of the selected event tracert Perform a tracert from the Source IP of the selected event Whois Perform an ARIN Whois lookup on the Source IP of the selected event I Men konfiguration verwalten Hinzuf gen Details Klonen L schen Mach ober Nach unten Browser Hinzuf gen einer Option zum Men f r die Men konfiguration HINWEIS Wenn Sie einen Tag umbenannt haben beispielsweise Customer Var24 in PolicyName m ssen Sie beim Einstellen der Parameter den neuen Namen verwenden So f gen Sie dem Men f r die Men konfiguration eine Option hinzu 1 Klicken Sie auf die Registerkarte Admin 2 Klicken Sie im Admin Navigator auf Admin gt Men konfiguration 3 Geben Sie im Dialogfeld Men konfiguration Folgendes ein Name Beschreibung Aktion entweder das Ausf hren eines Befehls oder das Starten eines Browsers Browser verwenden Wenn Sie die Aktion Befehl ausf hren ausgew hlt haben und Ihre Browser
19. Meldung Attempt to login using locked account lt acct gt Versuch der Anmeldung mit dem gesperrten Konto Kto gt Benutzersitzungen Abgemeldeter Benutzer Beim Abmelden eines Benutzers wird das folgende interne Ereignis generiert Tag Wert Schweregrad 1 Ereignisname UserLoggedOut Ressource UserSessionManager Teilressource User Meldung Closing session for lt user gt OS name lt osName gt from lt IP gt was on since lt date gt currently lt num gt active users Sitzung f r lt Benutzer gt Betriebssystemname lt OSName gt von lt P gt seit lt Datum gt wird geschlossen zurzeit sind lt n gt aktive Benutzer vorhanden A 2 Sentinel Benutzerhandbuch Angemeldeter Benutzer Beim Anmelden eines Benutzers wird das folgende interne Ereignis generiert Tag Wert Schweregrad 1 Ereignisname UserLoggedIn Ressource UserSessionManager Teilressource User Meldung User lt user gt with OS name lt osName gt at lt IP gt logged in currently lt num gt active users Benutzer lt Benutzer gt mit Betriebssystemname lt OSName gt an lt I P gt hat sich angemeldet zurzeit sind lt n gt aktive Benutzer vorhanden Erkannter Benutzer Wenn der Server neu gestartet wird gehen die Sitzungsinformationen verloren In einem solchen Fall wird die Sitzung wiederhergestellt wenn Nachrichten von den aktiven Benutzern empfangen werden Beim Erkennen eines verbundenen B
20. Backdoor SubSeven robe dar 1999 3 Trojan Backdoor SubSeven 4 Syn Microsystems Solaris rwall Elevated F A Bun Microsystems Solaris rwall Elevated F 4 un Microsystems Solaris rwall Elevated F 2 Microsoft Exchange Server Arbitrary Code RealSecure ne 12 Microsoft Exchange Server Arbitrary Code Konfigurieren von Ereigniskennungen Spalten f r Zuordnungen 1 Klicken Sie auf die Registerkarte Ereignisse 2 Markieren Sie einen Ereigniskennungseintrag in der Liste Ereignisspalten HINWEIS Der urspr ngliche Name der Ereigniskennung wird ber dem Feld Label angezeigt Dar ber hinaus wird die Beschreibung der Ereignisspalte angegeben Sentinel Data Manager 10 19 10 20 3 4 Event Columns Severity vulnerability Klicken Sie auf Verweis von Zuordnung um die Ereigniskennung so zu konfigurieren dass sie mit Daten aus einer Zuordnung gef llt wird Klicken Sie auf Extern um den Wert beizubehalten der vom Collector in die Ereigniskennung geladen wurde falls zutreffend Klicken Sie auf den Pfeil nach unten neben dem Feld Zuordnungsname Data Source External Referenced from Map Map Name F Asset af Asset af AssetToRegulation Key Configuratid _P AttackSignatureNormalization Ma af IpToCountry Physical ssetufl IsExploit Watchlist W hlen Sie eine der Standardzuordnungen oder eine selbst erstellte Zuordnung aus Map Column Asset Diese
21. ENGINE ENGINE ENGINE ENGINE ENGINE ENGINE TAXONOMIEZUORDNUNG GLOBALE FILTERUNG UNTERNEHMENSRELEVANZ CONNECTOR CONNECTOR CONNECTOR CONNECTOR CONNECTOR CONNECTOR SAMMLUNG amp ERWEITERUNG 2 y 2 d Bi 8 COLLECTORS COLLECTORS COLLECTORS COLLECTORS COLLECTORS COLLECTORS EXTERNE DATENQUELLEN ber die Darstellungsschicht wird die Anwendungsoberfl che f r den Endbenutzer bereitgestellt Eine umfassende Konsole mit der Bezeichnung Sentinel Control Center bietet einen integrierten Benutzerarbeitsbereich mit sieben verschiedenen Anwendungen auf die ber ein einziges gemeinsames Framework zugegriffen werden kann Dieses plattform bergreifende Framework basiert auf Java 1 4 Standards und bietet einheitlichen Einblick in unabh ngige Gesch ftslogikkomponenten interaktive Echtzeit Graphen prozessf hige Vorfallsreaktion automatisierbarer erzwingbarer Vorfalls Workflow Berichterstellung Vorfallssanierung bei bekannten Ausnutzungsversuchen usw Jede dieser Schichten ist in der obigen Abbildung dargestellt und wird in den nachfolgenden Abschnitten detailliert erl utert Sammel und Erweiterungsschicht Die Aggregation von Ereignissen erfolgt ber eine Gruppe flexibler und konfigurierbarer Collectors die Daten von einer Vielzahl von Sensoren und anderen Ger ten und Quellen sammeln Benutzer k nnen im Vorfeld erstellte Collectors verwenden vorhandene Collectors ndern oder eigene Collectors erstellen um zu gew hrleisten dass
22. I eingestellt f r Leistungsereignisse auf P Event ID Eine eindeutige UUID f r das Ereignis Event Time Die Uhrzeit zu der das Ereignis erstellt wurde Source Die UUID des Vorgangs der das Ereignis erstellt hat Sensor Name Der Name des Vorgangs der das Ereignis erstellt hat z B DAS_Binary RV32 Ger tekategorie Auf ESEC eingestellt Collector Performance f r Leistungsereignisse und Internal f r interne Ereignisse Zus tzlich zu den allgemeinen Attributen werden bei jedem Systemereignis Ressource Teilressource Schweregrad Ereignisname sowie Meldungs Tags festgelegt Bei internen Ereignissen ist der Ereignisname spezifisch genug um Aufschluss ber die genaue Bedeutung des Ereignisses zu geben z B UserAuthenticationFailed Durch die Meldungs Tags werden weitere spezifische Details hinzugef gt im obigen Beispiel enth lt das Meldungs Tag den Namen des Benutzers den Namen des Betriebssystems falls verf gbar sowie den Namen des Computers Bei Leistungsereignissen ist der Ereignisname allgemein gehalten und gibt Aufschluss ber die Art der Statistikdaten und die Daten selbst befindet sich im Meldungs Tag Leistungsereignisse werden direkt an die Datenbank gesendet Wenn Sie sie anzeigen m chten f hren Sie eine Schnellabfrage durch Siehe Anhang A Systemereignisse Vorg nge Die nachfolgend angegebenen Vorg nge und der Windows Service kommunizieren ber 1SCALE die Messag
23. Informationen zum Konfigurieren dieser Datei finden Sie in Kapitel 11 Dienstprogramme Senden eines Vorfalls per Email 1 2 Klicken Sie auf die Registerkarte Vorf lle Erweitern Sie den Ordner Vorf lle im Navigator falls verf gbar oder klicken Sie auf Vorf lle gt Vorfallsliste anzeigen oder klicken Sie auf die Schaltfl che Vorfallsliste anzeigen Sl Doppelklicken Sie auf den Namen einer Vorfallsansicht Doppelklicken Sie auf einen Vorfall Klicken Sie auf Vorfall mailen al Geben Sie Folgendes ein Email Adresse FEmail Betreff FEmail Nachricht Klicken Sie auf OK Die Email Nachricht verf gt ber HTML Anlagen mit Informationen zu den Vorfallsdetails zu Ereignissen Best nden Anf lligkeiten Advisor Informationen und zum Vorfallsverlauf ndern eines Vorfalls 4 8 So ndern Sie einen Vorfall 1 2 a a Klicken Sie auf die Registerkarte Vorf lle Klicken Sie auf Vorf lle gt Vorfallsansichts Manager anzeigen oder klicken Sie auf die Schaltfl che Vorfallsansichts Manager anzeigen Doppelklicken Sie auf eine Vorfallsansicht Doppelklicken Sie auf einen Vorfall Das Fenster Vorfallsdetails wird angezeigt Sie k nnen die folgenden Felder in einem Vorfall bearbeiten optional Titel Kategorie Status Zust ndig Schweregrad Beschreibung Priorit t L sung Auf der Registerkarte Anlagen k nnen Sie Anlagen hinzuf gen oder entfernen Klick
24. Starten und Neustarten dieser Container Services besteht darin die Server Ansichten auf der Registerkarte Admin im Sentinel Control Center zu verwenden Name DAS_Aggregation DAS_RT DAS TRAC DAS_Binary DAS_Query Beschreibung das_aggregation xml wird zum Ausf hren und Konfigurieren des Aggregationsdienstes verwendet das_rt xml wird zum Ausf hren und Konfigurieren des Dienstes f r Ansichten in Echtzeit verwendet das_itrac xml wird zum Konfigurieren des iTRAC Dienstes verwendet das_binary xml wird f r Einf gevorg nge von Ereignissen und korrelierten Ereignissen verwendet das_query xml wird f r alle anderen Datenbankoperationen verwendet Neustarten eines Sentinel Containers Windows 1 Wechseln Sie in das folgende Verzeichnis ESEC_HOME sentinel scripts 2 Geben Sie Folgendes ein Beispiel stop_container bat lt Hostcomputer gt lt Containername gt stop_container bat localhost DAS_RT Neustarten eines Sentinel Containers UNIX 1 Melden Sie sich als Benutzer esecadm an 2 Wechseln Sie in das folgende Verzeichnis SESEC_HOME sentinel scripts Sentinel Benutzerhandbuch 3 Geben Sie Folgendes ein stop_container lt Hostcomputer gt lt Containername gt Beispiel stop_container localhost DAS_RT Versionsinformationen Sentinel Server Versionsinformationen Sentinel Server verf gt ber eine Be
25. Verarbeitungszwecken Ereignisse werden in der Echtzeitanzeige von Correlation Engine sowie dem Back End Server verarbeitet Ein Ereignis umfasst ber 200 Tags Tags weisen unterschiedliche Typen auf und dienen unterschiedlichen Zwecken Es gibt einige vordefinierte Tags beispielsweise zur Angabe des Schweregrads severity der Gef hrlichkeit criticality der Ziel IP destination IP und des Ziel Ports destination port Es gibt zwei Gruppen konfigurierbarer Tags Reservierte Tags sind f r die interne eSecurity Verwendung f r k nftige Erweiterungen bestimmt Kunden Tags sind f r Erweiterungen beim Kunden bestimmt Tags k nnen durch Umbenennung einen neuen Zweck erf llen Die Quelle eines Tags kann entweder extern die Festlegung erfolgt also explizit durch das Ger t oder den entsprechenden Collector oder referenziell sein Der Wert eines referenziellen Tags wird unter Verwendung des Zuordnungsservice als Funktion eines oder mehrerer weiterer Tags berechnet Ein Tag kann beispielsweise als Geb udecode f r das Geb ude definiert werden in dem sich der Bestand befindet die Angabe erfolgt als Ziel IP eines Ereignisses Ein Tag kann beispielsweise vom Zuordnungsservice als kundendefinierte Zuordnung berechnet werden unter Verwendung der Ziel IP aus dem Ereignis Zuordnungsservice 1 6 Map Service erm glicht es einem fortschrittlichen Mechanismus Gesch ftsrelevanzdaten im gesamten System zu propagieren Von dieser Funktion
26. Vergr ern Verkleinern Freignisse anzeigen Als HTML Datei speichern Fenster Snapshot Folgende Symbolleistenschaltfl chen sind verf gbar wenn das Fenster Snapshot aktiv ist Br Spalten verwalten Registerkarte Vorf lle Folgende Symbolleistenschaltfl chen sind verf gbar wenn die Registerkarte Vorf lle aktiv ist Vorfallsansichts Manager E Neuen Vorfall erstellen 5 j anzeigen A Viewer f r Anlagen konfigurieren Vorfall Folgende Symbolleistenschaltfl chen sind verf gbar wenn ein Vorfall ge ffnet ist IM Spalten mit zugeordneten Ereignissen verwalten ITRAC Folgende Symbolleistenschaltfl chen sind verf gbar wenn die Registerkarte iTRAC aktiv ist a Vorgangsansicht Manager anzeigen Navigation im Sentinel Control Center 2 5 Registerkarte Analyse und Registerkarte Advisor Folgende Symbolleistenschaltfl chen sind verf gbar wenn die Registerkarte Analyse bzw Advisor aktiv ist A Bericht erstellen Registerkarte Collectors Folgende Symbolleistenschaltfl chen sind verf gbar wenn die Registerkarte Collectors aktiv ist a Ansichts Manager f r Collector Manager anzeigen e Collector Ansichts Manager anzeigen Registerkarte Admin Folgende Symbolleistenschaltfl chen sind verf gbar wenn die Registerkarte Admin aktiv is t p Berichtkonfiguration anzeigen r Correlation En
27. Zum Anzeigen von Ereignissen die eine m gliche Ausnutzung aufzeigen erstellen Sie eine aktive Ansicht mit einem Filter bei dem die Anf lligkeit 1 entspricht Wenn Sie ber Nmap verf gen und den Nmap Collector ausf hren k nnen Sie Bestandsinformationen zum ausgenutzten Bestand oder zu einem anderen Bestand anzeigen Weitere Informationen zur Funktionsweise der Exploit Erkennung und zu den unterst tzten Intrusion Detection Systemen und Anf lligkeits Absuchprogrammen finden Sie in Kapitel 1 Einf hrung oder in Kapitel 10 Sentinel Data Manager Bestandsdaten Zum Anzeigen von Bestandsinformationen f r ein Ereignis klicken Sie mit der rechten Maustaste auf ein oder mehrere Ereignisse und klicken Sie dann auf Analyse gt Inventardaten Ein hnliches Fenster wie unten zu sehen ist wird eingeblendet Asset Report Hardware MAC Address amp 0 12 56 78 90 00 Name Build Machine Yalue 500 Type server Criticality High Vendor Dell Sensitivity Low Product Precision Environment Production Version 360 Location Internal Network M GER 199 16 2 23 desk acmeinc net Software Name Type Vendor rad Version ClearCase APPLICATION IBM ClearCase 5 0 C APPLICATION Microsoft Visual C 6 0 Comasts Order Nome Role Emil Phonehumber Erickson Stein USER serickson acmedomain net 703 555 8865 2 IT Administrator LAN_FOLKS acemedomain net 703 555 9876 Location Room server room Rack 17 Address HQ Agent 86 Security Circle Suite 86 Wa
28. ber den Zustands Service k nnen sich Benutzer einen umfassenden berblick ber die verteilte Sentinel 5 Plattform verschaffen Er aggregiert Zustandsinformationen von unterschiedlichen Vorg ngen die berlicherweise auf mehrere Server verteilt sind Die Zustandsinformationen werden in Sentinel Control Center in regelm igen Abst nden f r den Endbenutzer angezeigt Verwaltung Mit der Funktion f r die Verwaltung werden die Funktionen zur Benutzerverwaltung sowie zur Einrichtung von Einstellungen bereitgestellt die Anwendungsadministratoren von Sentinel 5 im Regelfall ben tigen 1 24 Sentinel Benutzerhandbuch Allgemeine Services S mtliche der oben beschriebenen Komponenten dieser Gesch ftslogikschicht der Architektur werden von einer Gruppe allgemeiner Services gesteuert Diese Dienstprogrammservices unterst tzen bei der pr zisen Filterung ber die Filter Engine von Ereignissen f r Benutzer bei der laufenden berwachung von Systemzustandsstatistiken ber den Zustandsmonitor sowie bei der dynamische Aktualisierung von Daten im gesamten System ber den Zuordnungsservice Gemeinsam bilden diese Services die Grundlage der lose zusammenh ngenden Services die ber das auf dem Nachrichtenbus basierende Transportverfahren die un bertroffene Verarbeitung und Skalierung f r Echtzeitanalysen und berechnungen erm glichen Darstellungsschicht ber die Darstellungsschicht wird die Anwendungsoberfl che f r den Endbenutz
29. die von den Benutzern nach Bedarf angepasst werden k nnen Die Standardschablonen sind HIPAA Sarbanes Oxley SANS Vorfallbehandlung Automatische Reaktion Erstellen neuer Schablonen 1 Klicken Sie auf die Registerkarte iTRAC 2 Klicken Sie im Navigator auf iTRAC Verwaltung gt Schablonen Manager 3 Markieren Sie einen vorhandenen Vorgang HIPAA Sarbanes Oxley SANS oder einen benutzerdefinierten Vorgang klicken Sie mit der rechten Maustaste und klicken Sie dann auf Kopie erstellen 4 Geben Sie einen Namen ein 5 Wenn Sie eine Zeit berschreitung ausw hlen m ssen Sie eine Email Adresse und eine Zeit eingeben Die Zeit wird in Ganzzahlen angegeben Sie k nnen Minuten Sekunden Stunden oder Tage ausw hlen 6 Geben Sie eine Beschreibung ein Unter ndern vorhandener Schablonen finden Sie Informationen zum ndern von Vorgangs und Aktivit tsattributen Klicken Sie auf OK Hinzuf gen 7 Klicken Sie in der Schablonenanpassung auf Speichern 5 2 Sentinel Benutzerhandbuch ndern vorhandener Schablonen Wenn Sie einen Vorgang ndern k nnen Sie auch die Vorgangsattribute oder die Attribute der Aktivit ten innerhalb des Vorgangs ndern Die folgenden Vorgangsattribute k nnen ge ndert werden der Name der Zeitraum f r die Zeit berschreitung bzw ihre Aktivierung Deaktivierung die Beschreibung ndern von Vorgangsattributen 1 Klicken Sie auf die Registerkarte iTRAC 2 Klicke
30. llen die von Common Criteria Certification gefordert werden ben tigt Sentinel ein starkes Passwort mit folgenden Eigenschaften 1 W hlen Sie Passw rter aus die mindestens 8 Zeichen umfassen und mindestens einen Gro buchstaben einen Kleinbuchstaben ein Sonderzeichen amp 0_ und eine Zahl 0 9 enthalten 2 Das Passwort darf nicht Ihren Email Namen oder einen Teil Ihres vollst ndigen Namens enthalten 3 Bei Ihrem Passwort sollte es sich nicht um ein bliches Wort handeln z B kein Wort das im W rterbuch steht oder ein allgemein gebr uchliches umgangssprachliches Wort 4 Ihr Passwort sollte keine W rter aus irgendeiner Sprache enthalten da es zahlreiche Programme zum Knacken von Passw rtern gibt die in wenigen Sekunden Millionen m glicher Wortkombinationen durchgehen k nnen 5 Sie sollten ein Passwort w hlen das Sie sich merken k nnen und das dennoch komplex ist Beispiel mSi5 JalT Mein Sohn ist 5 Jahre alt oder iLs5 JiK Ich lebe seit 5 Jahren in K ln Zur Verwendung dieser Funktion m ssen Sie ber die Benutzerberechtigung zum Erstellen von Benutzerkonten verf gen Benutzerberechtigungen sind ziemlich detailliert Informationen hierzu finden Sie im Sentinel Referenzhandbuch f r Benutzer unter Benutzerberechtigungen HINWEIS Das esecrpt Benutzerpasswort muss direkt in der Datenbank ge ndert werden Enterprise Manager kann hierf r verwendet werden So erstellen Sie ein Be
31. lligkeiten gemeldet hat Wenn zwei unterschiedliche Scanner verwendet werden ISS und Nessus gibt es zwei unabh ngige Scanner Knoten mit denen Anf lligkeiten verkn pft sind HINWEIS Die Ereigniszuordnung erfolgt nur zwischen den ausgew hlten Ereignissen und den zur ckgegebenen Anf lligkeitsdaten Das Baumfeld organisiert die Daten in derselben Hierarchie wie das Diagramm Das Baumfeld erm glicht den Benutzern zudem das Ein bzw Ausblenden von Knoten auf jeder Hierarchieebene Die Systemsteuerung offenbart die gesamte Funktionalit t der Anzeige Diese umfasst vier verschiedene Algorithmen die angezeigt werden k nnen die M glichkeit alle oder ausgew hlte Knoten anzuzeigen denen Ereignisse zugeordnet sind das Vergr ern und Verkleinern ausgew hlter Bereiche des Diagramms Das Feld Details Ereignisse verf gt ber zwei Registerkarten Wenn Sie auf der Registerkarte Details auf einen Knoten klicken werden die Knotendetails angezeigt Wenn Sie auf der Registerkarte Ereignisse auf ein Ereignis klicken das mit einem Knoten verkn pft ist wird der Knoten wie in einem Echtzeit oder Ereignisabfragefenster in Tabellenform angezeigt So f hren Sie eine Anf lligkeitsvisualisierung aus 1 Klicken Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot mit der rechten Maustaste auf ein Ereignis oder auf eine Reihe ausgew hlter Ereignisse und klicken Sie dann auf A
32. nfmal gemeldet wurde auch wenn die Ereignisse ber verschiedene Ger te z B IDS Intrusion Detection System und Firewall gemeldet werden Erweiterte Korrelation Es kann aus vier unterschiedlichen Filtertypen ausgew hlt werden Hierbei handelt es sich um Alle zulassen L sst alle Ereignisse durch Muster Alle regul ren Ausdr cke mit einer Grep Syntax Filter Manager Eine Dropdown Liste die den Filter Manager anzeigt um einen neuen Filter auszuw hlen oder zu erstellen Editor Erstellen von Kriterien zum Einschlie en oder Ausschlie en von Ereignissen auf Grundlage boolescher Algebra Diese Regel erm glicht Ihnen Folgendes Z hlen wie h ufig bestimmte Bedingungen innerhalb eines bestimmten Zeitrahmens erf llt werden Alle Funktionen einer einfachen Korrelationsregel einbeziehen und Ereignisse mit fr heren Ereignissen abgleichen Beispielsweise kann mit einer erweiterten Korrelationsregel nach Ereignissen gesucht werden die von derselben Quellen IP Adresse zu derselben Ziel IP Adresse erfolgten denselben Ereignisnamen aufweisen und innerhalb und au erhalb der Firewall aufgetreten sind Dies bedeutet dass m glicherweise ein Angriff durch die Firewall gelangen konnte Registerkarte Admin 9 5 FreeForm RuleLg Korrelation Mit der RuleLg Sprache f r die Definition von Korrelationsregeln k nnen Sie die Definition von Korrelationsregeln selbstst ndig steuern Sie sollten mit der
33. t bei Vorfall Erm glicht Ihnen das Mailen und oder Beif gen von Informationen ber Anf lligkeit f r SIP oder DIP Bestand Advisor Daten Internal Attachment Wizard Select required attachments Mail and Attach Mail Attach I 7 Yulnerakility Gr I T Advisor Data E Ja sa r Description Zusammengesetzte Aktivit t bei Vorfall Erm glicht Ihnen das Erstellen einer Aktivit t durch das Kombinieren einer oder mehrerer bestehender Aktivit ten Composie Activity Wizard Composite Summary Wizard Select required user defined Activities This page displays the summary of the composite activity Composite Activities IT Containment ctivity Hame ica Description IT CollectionActivity i emea _ Activities Selected T EradicstionActivity Te Te 2 Collection ctivity 3 EradicationActivity lt Back Next Cancel ndern einer Aktivit t ndern einer Aktivit t 1 Klicken Sie auf die Registerkarte iTRAC 2 Klicken Sie im Navigator auf iTRAC Verwaltung gt Aktivit tsverwaltung gt iTRAC Aktivit ten 3 Doppelklicken Sie auf eine ITRAC Aktivit t Bearbeiten Sie die Aktivit t und klicken Sie auf OK Registerkarte TRACTM 5 13 Importieren Exportieren einer Aktivit t 5 14 Aktivit ten werden als XML Dateien exportiert Diese Dateien k nnen aus einem System in ein anderes importiert werden Exportieren eine
34. tze wird gew hrleistet dass Vorgangsdefinitionen f r Kunden auch zuk nftig verwendet werden k nnen Berichterstellungs Service Der Berichterstellungs Service erm glicht die Berichterstellung dies schlie t Verlaufsberichte und Berichte zu Anf lligkeiten ein Im Lieferumfang von Sentinel 5 sind sofort einsatzbereite Berichte enthalten die Benutzern die Konfiguration eigener Berichte mit Crystal Reports erm glichen Hier einige Beispiele der in Sentinel 5 enthaltenen Berichte Trendanalyse Sicherheitsstatus von Sparten oder kritischen Best nden Angriffstypen Ziel Best nde Reaktionszeiten und L sung Verst e gegen Richtlinienkonformit t Advisor Sentinel Advisor ein optionales Modul das Querverweise zwischen Echtzeit Alarmdaten von Sentinel und Informationen ber bekannte Anf lligkeiten und Sanierung bietet und so die L cke zwischen Vorfallserkennung und der entsprechenden Reaktion schlie t Mit Advisor k nnen Organisationen ermitteln ob bestimmte Anf lligkeiten von Ereignissen ausgenutzt werden und wie sich diese Angriff auf die Best nde der Organisation auswirken Advisor enth lt zudem detaillierte Informationen zu den Anf lligkeiten deren Ausnutzung Ziel der Angriffe ist zu den potenziellen Auswirkungen von erfolgreichen Angriffen und die erforderlichen Schritte zur Sanierung Die empfohlenen Schritte zur Sanierung werden ber iTRAC Vorfallsreaktionsvorg nge umgesetzt und verfolgt Zustand
35. um verschiedene Titel zu gruppieren Klicken Sie auf Sortieren um eine Sortierung nach Titeln vorzunehmen Klicken Sie auf die Schaltfl che Filter um einen Filter anzuwenden Klicken Sie auf OK und dann auf Speichern Starten Stoppen und Neustarten von Vorg ngen Der Kommunikationsserver kann nicht ber diese Funktion gestoppt werden Starten Stoppen und Neustarten von Vorg ngen 1 2 Klicken Sie auf Serveransichten Klicken Sie auf die Registerkarte Admin 3 Doppelklicken Sie auf eine Ansicht Eine Ansicht wird angezeigt Registerkarte Admin 9 13 4 Erweitern Sie die Serveransicht Es werden alle Prozesse aufgelistet i Processes Health EG tst2 2 Activity _Container 2 Communication Server 2 Correlation Engine 9 DAS_Binary 2 DAS_Query 2 DAS RT Query Manager 2 RuleLg Checker Workflow Server 5 W hlen Sie einen Prozess aus klicken Sie mit der rechten Maustaste klicken Sie auf Aktionen und w hlen Sie eine Funktion aus Starten Neu starten oder Stoppen Communication Server 42 Correlation Engine Restart a Query Manager Ev RuleLg Checker vA Fasial sal Manu Stop Filter Mithilfe von Filtern k nnen Daten auf der Grundlage spezifischer Kriterien verarbeitet werden Dies gilt f r Ereignisse in Echtzeit sowie f r Benutzer des Systems Filter erm glichen Ihnen die Verwaltung von Daten aus dem Sentinel Control Center Die Filter Engine steu
36. 1 ein um Ihren Prim rschl ssel festzulegen Dr cken Sie die EINGABETASTE Dienstprogramme 11 11 11 12 Sentinel Benutzerhandbuch Schnellstart HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Dieses Kapitel behandelt die Schnellstartverfahren f r Sicherheitsanalysten Berichtsanalyst Administratoren Folgende Themen werden erl utert Active ViewsTM Exploit Erkennung Bestandsdaten Ereignisabfrage Analyseberichte ber Crystal Reports Allgemeine Korrelation Sicherheitsanalysten HINWEIS Es wird vorausgesetzt dass Ihr Sicherheitsadministrator oder Sie selbst die erforderlichen Filter erstellt und die erforderlichen Collectors f r Ihr System konfiguriert haben Registerkarte Active Views Auf der Registerkarte Active Views k nnen Sie Ereignisse berwachen wenn sie eintreten und Abfragen an diese Ereignisse senden Die Ereignisse k nnen in einem Tabellenformat oder in einer grafischen 3D Darstellung berwacht werden So bringen Sie ein Echtzeitereignis ins Laufen 1 Klicken Sie auf Active Views gt Aktive Ansicht erstellen klicken Sie auf den Filter Abw rtspfeil w hlen Sie einen Filter aus und klicken Sie auf Ausw hlen Schnellstart 12 1 Active Views Wizard x N Filtermanager Jolx Step 1 Event Collection Parameter Setup Ausdrucksz
37. 10 0 205_ 0 en AM 10 0 20 5 A 1 0 lomame canan am Ans sen ne mn ann aco anna 323 of 323 Uupdste 6414106 6 11 00 AM Received 9 of 9 Displaying 9 Registerkarte Active Views 3 1 Registerkarte Active Views Beschreibung Ereignisansichten sind als Tabellen formatiert Die Active View Konfiguration wird durch die Datei das_rt xml festgelegt Eine Ereignistabelle fast in Echtzeit mit einer grafischen Darstellung und ein Snapshot sind die beiden verf gbaren Typen von aktiven Ansichten 3 2 Ereignistabelle fast in Echtzeit Enth lt bis zu 750 Ereignisse f r einen Zeitraum von 30 Sekunden a Der Client beh lt Ereignisse standardm ig 24 Stunden lang im Cache Diese Funktion kann ber Eigenschaften der aktiven Ansicht konfiguriert werden Inder Ereignistabelle werden standardm ig maximal 30 000 Ereignisse angezeigt Diese Funktion kann ber Eigenschaften der aktiven Ansicht konfiguriert werden a Die Ereignistabelle wird standardm ig alle 30 Sekunden aktualisiert Sendezeitverz gerung Dies wird durch eine graue Linie in der Ereignistabelle dargestellt amp _ 2005 06 21 06 34 38 EDT Threshold_e gt 2005 06 21 06 34 38 EDT 206 158 21 6 192 168 10 1 Password_ex amp 2005 06 21 06 34 28 EDT 190 168 12 21 190 168 12 21 Program_exe Falls in einem Zeitraum von 30 Sekunden mehr als 750 Ereignisse auftreten
38. 28 22 ae 2 6 Registerkarte Admin oer iesi Heer ERAEN EEEE EDETEN 2 6 Registerkarte N A ee r aa a a O E e rS 2 7 Andern des Erscheinungsbilds des Sentinel Control Center 00400 nennen 2 7 Festlegen der Registerkartenposition 4susrsnnnenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 2 7 Einblenden oder Ausblenden des Navigationsfensters ussersnsenssnnnnnnnnnnnnnnnnnnnnnnnn 2 8 Andocken oder Aufheben der Verankerung des Navigationsfensters ne 2 8 berlappendes Anordnen von Fenstern ussrsnnnnennnnnnnennnnnnnnennnnnnnnnnnnnnnnnnnnnnennn nn 2 8 Anordnen von Fenstern nebeneinander s444444444440anennnnnnnnnnnnnnannnnnnnennnnn nenn 2 8 Minimieren und Wiederherstellen aller Fenster uu 4ssennnnnnnennnnnnnnennnnnnnennn nn 2 8 So stellen Sie alle Fenster in der urspr nglichen Gr e wieder her unse 2 8 So stellen Sie ein einzelnes Fenster wieder her s4002400nnnnennnnnnnnnnnnnnnnnnnnnnnn nn 2 8 Gleichzeitiges Schlie en aller ge ffneten Fenster 400nn0nnnnnnnnnnnnnnnnnnnnnnnn nn 2 9 Speichern von Benutzereinstellungen u a innen nenn tere 2 9 Andern des Sentinel Control Center Passworts urs40ussssennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 2 10 3 Registerkarte Active ViewsTM 3 1 Registerkarte Active Views Beschreibung s444424444400n
39. 5 New Map Definition x Column Definition Delimiters e C s E a Comma Pipe Tab Start atrow 24 C Semicolon C Other The first 500 rows are shown Column 3 Column 3 Column 4 a a o e O e u 7 31 A Roms Beh S Column Filtering lt Back Finish Cancel 9 Wenn Sie alle Parameter und Filter f r die Definition konfiguriert haben klicken Sie auf Fertig stellen 10 Wenn Sie oben in Schritt 7 Lokale Datei ausgew hlt haben werden Sie aufgefordert die Datei in den virtuellen Ordner f r Ferndateien heraufzuladen der sich an folgendem Speicherort befindet WESEC_HOME sentinel bin map_data Geben Sie einen Dateinamen ein und klicken Sie auf OK Hinzuf gen einer Zuordnungsdefinition f r einen Zahlenbereich Damit Bereichszuordnungen verwendet werden k nnen muss eine Zuordnungsdefinition ber genau eine Schl sselspalte verf gen und die Schl sselspalte muss den Typ NumberRange aufweisen Wenn andere Schl sselspalten vorhanden sind oder die Schl sselspalte einen anderen Typ aufweist wird die Zuordnung vom Zuordnungsservice nicht als Bereichszuordnung angesehen Column 2 Column 1 Sentinel Data Manager 10 11 W hlen Sie zum Erstellen einer Bereichszuordnung eine einzige Spalte aus die den Schl ssel der Zuordnung darstellen soll und w hlen Sie NumberRange als Typ der Spalte aus Das Format der Daten in einer Spalt
40. Aktualisierung von Advisor 2ur2224s0n nennen 7 2 Direktes Herunterladen vom Internet Manuelle Aktualisierung von Advisor 7 3 ndern des Passworts und der Email Konfiguration Ihres Advisor Servers 7 3 Andern des Passworts Ihres Advisor Servers Einzelplatzbetrieb eeee 7 3 Andern des Passworts Ihres Advisor Servers Direktes Herunterladen 7 3 ndern der Email Konfiguration Ihres Advisor Servers nennnnnnnnnnn 7 4 ndern der Datenfeed Zeit u a seen 7 5 8 Registerkarte Collectors 8 1 EAO N0 a see AE E 8 1 Uberwachen eines Collectors eeseersnsnsrrnrtrsnsnentntntnsntntntnntttntnnnnnnnnnnnnnenenentnenennnnannnnnnen enea 8 2 Uberwachen eines Wizard Host uuersnsesennnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannn nn 8 3 Erstellen einer Collector Ansicht 22 22004440nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 8 3 ndern einar Gollgetor nsicht sene einander seiehan unteren een en een he 8 4 Stoppen und Starten von Collectors sowie Anzeigen von Details nn 8 4 Inhalt 3 9 Registerkarte Admin 9 1 Registerkarte Admin Beschreibung s44s42400nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nam 9 1 Berichtkonfigurationsoptionen f r Analysen und Advisor Berichte 440 9 2 Sentinel Korrelationsregeln sirieni arad ennan anh
41. Berechtigung nicht erteilt wurde verf gen Sie auch nicht ber die anderen Berechtigungen zur Durchf hrung von Aktionen mithilfe dieser Registerkarte Beschreibung Die Registerkarte Analyse erm glicht Ihnen das Erstellen von Verlaufsberichten Verlaufs und Anf lligkeitsberichte werden auf einem Webserver ver ffentlicht Diese werden direkt mit der Datenbank ausgef hrt und auf den Registerkarten Analyse und Advisor in der Navigationsleiste angezeigt HINWEIS Crystal Reports wurde f r die Erstellung und Anzeige von Berichten in Sentinel integriert Der Administrator muss den Standort des Crystal Enterprise Servers konfigurieren der Berichte im Fenster Allgemeine Optionen auf der Registerkarte Admin ver ffentlicht Im Navigatorfenster befindet sich eine Liste der verf gbaren Berichte Zum Ausf hren der Berichtsschablonen muss die Crystal Reports Enterprise Edition installiert und das Sentinel Control Center f r den Zugrif auf diesen Server konfiguriert sein Weitere Informationen finden Sie im Installationshandbuch f r Sentinel 5 Au erdem stehen Beispielberichte im pdf Format zur Verf gung Top 10 Berichte Zur Ausf hrung von Top 10 Berichten muss die Aggregation aktiviert und EventFileRedirectService in DAS_Binary xml muss eingeschaltet sein Informationen zur Aktivierung der Aggregation finden Sie im Sentinel Benutzerhandbuch Kapitel 10 Sentinel Data Manager im Abschnitt zur
42. Checker nennen 1 15 Watchdogs niine aa are 1 14 Vorgangsdefinition ANndem as ein 5 3 5 4 Vorgangs berwachung s s s 5 10 Festlegen einer Option ee 5 11 Watchdog 4444s444r nn ininda iiaa 1 14 Wizard Host Erstellen eines Collector Manager Viewer 8 3 berwachen ucnsnsnennensnnennenennennennnn 8 3 Wizard Host ndern einer Collector Ansicht 8 4 Erstellen einer Collector Ansicht 8 3 Workflow Siehe iITRAC Zuordnung aiarad revii ii 10 8 10 14 Aktualisieren Befehlszeile 10 42 Hinzuf gen nuneessneersennnen seen 10 8 10 14 L schen uuueeessnesseneeeeeennnennnnnnnneeenenn 10 15 Zuordnungen Aktualisieren uuuss0222neeeeeeeesnnnnennnnnn 10 16 Zuordnungsdefinition 10 8 10 14 Zuordnungsservice 1 7 10 7 Index vii viii Sentinel Benutzerhandbuch
43. Details 8 4 Stoppen und Starten von Collectors sowie Anzeigen von Details 1 2 3 Klicken Sie auf die Registerkarte Collectors ffnen Sie einen Collector Ansichts Manager Zum Stoppen und Starten eines Collectors sowie zum Anzeigen von Details klicken Sie mit der rechten Maustaste auf einen Collector und dann auf Aktionen gt Starten oder Stoppen Sentinel Benutzerhandbuch Registerkarte Admin HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Zur Verwendung dieser Funktion m ssen Sie ber die entsprechende Berechtigung verf gen Wenn Ihnen diese Berechtigung nicht erteilt wurde verf gen Sie auch nicht ber die anderen nm zur nr von Aktionen mithilfe dieser Registerkarte Registerkarte Admin Beschreibung ber die Registerkarte Admin erhalten Sie Zugriff auf die Berichtkonfiguration f r Analysen und Advisor Berichte Filter verwalten das Arbeiten mit Korrelationsregeln von Sentinel das Men zum Konfigurieren der Men konfiguration DAS Statistiken Freignisdatei Informationen Serveransichten die Benutzerkontenkonfiguration Registerkarte Admin 9 1 Berichtkonfigurationsoptionen f r Analysen und Advisor Berichte 9 2 So konfigurieren Sie die URL f r Analysen und Advisor Berichte 1 2 3 Klicken Sie auf die R
44. Einen Snapshot oder ein visuelles Ereignisdetails ein oder ausblenden Navigatorfenster schlie en Einen Snapshot eines visuellen Einen Vorfall erstellen Navigatorfensters erstellen Benutzerdefinierte Men optionen mit Ereignisse anzeigen die ein korreliertes Ereignissen verwenden Ereignis ausgel st haben Einen Snapshot oder ein visuelles Eine Anf lligkeitsvisualisierung anzeigen Navigatorfenster l schen Bestandsdaten anzeigen Eine Freisnisabfrage durchf hren HP OpenView Operationen und Service Diagrammzuordnungen vornehmen Desk ausf hren Advisor Daten anzeigen Remedy Operationen ausf hren Spalten verwalten Als Benutzer k nnen Sie Werte Spaltennamen ndern um logische Namen anzuzeigen und diese im gesamten System zu verwenden Sie k nnen auf den Ereignisstrom Attribute anwenden die f r Ihr Unternehmen von Relevanz sind Weitere Informationen finden Sie in Kapitel 10 Sentinel Data Manager im Wizard Benutzerhandbuch und im Sentinel Referenzhandbuch f r Benutzer Neukonfigurieren der maximalen Anzahl von Ereignissen und des Cache Werts in aktiven Ansichten Eigenschaften der aktiven Ansicht erm glicht Ihnen das Konfigurieren der maximalen Anzahl von Ereignissen die in einer aktiven Ansicht angezeigt werden k nnen sowie der Zeit im Cache auf jedem Client Die standardm ige maximale Anzahl von Ereignissen in einer aktiven Ansicht ist 30 000 Der Standardwert f r die Zeit im Ca
45. Email Phomekumber Erickson Stein USER serickson acmedomain net 703 555 8865 2 IT Administrator LAN_FOLKS acemedomain net 703 555 9876 Location Room server room Rack 17 Address HQ Agent 86 Security Circle Suite 86 Washington DC 12345 USA Analyse Anf lligkeitsvisualisierung 3 18 Novell verf gt ber Collectors die Anf lligkeitspr fungen aus Nessus ISS Foundstone eEye und Qualys Absuchvorg ngen verarbeiten Die Anf lligkeitsvisualisierung bietet eine grafische Darstellung von Echtzeitereignisdaten in anf lligen Systemen und ist f r ein Ereignis zur Darstellung der aktuellen Anf lligkeit oder der Ereigniszeitanf lligkeit verf gbar Diese Funktion ruft die Anf lligkeitsdaten f r die Ziel IPs ausgew hlter Ereignisse ab und zeigt diese an Weitere Informationen finden Sie in der PDF Dokumentation f r den jeweiligen Collector unter ESEC_HOME wizard elements lt Collector Name gt doc Damit Anf lligkeitsdaten angezeigt werden muss einer der Scanner Collectors hochgeladen sein und ausgef hrt werden HINWEIS Der Anf lligkeits Collector ist ein Informations Collector und kein Ereignis Collector Sentinel Benutzerhandbuch Sie k nnen Ihre Anf lligkeitsvisualisierung auf verschiedene Weisen anzeigen in HTML grafisch a rund organisch hierarchisch alle o Ereigniszuordnungsknoten a rechtwinklig Die HTML Ansicht ist eine berichtartige Ansicht die Folgendes auflistet JP Host
46. Ereignis wird gesendet wenn ein Prozess gestartet wird Tag Wert Schweregrad 1 Ereignisname ProcessStart Ressource WatchDog Teilressource Process Meldung Process lt ProgramName gt spawned lt pid gt Prozess lt Programmname gt wurde erzeugt lt PID gt Gesteuerter Prozess wurde beendet Dieses Ereignis wird gesendet wenn ein Prozess beendet wird Der Schweregrad ist auf 5 festgelegt wenn f r den Prozess eine Neugenerierung festgelegt ist d h wenn er nicht beendet werden darf Der Schweregrad ist auf 1 festgelegt wenn f r den Prozess eine einmalige Ausf hrung festgelegt ist Tag Wert Schweregrad 1 5 Ereignisname ProcessStop Ressource WatchDog Teilressource Process Meldung Process lt ProgramName gt exited with code lt exit_code gt Prozess lt Programmname gt wurde beendet mit Code lt Exit_Code gt Systemereignisse f r Sentinel5 A 15 Watchdog Prozess wurde gestartet Beim Starten des Watchdog Prozesses wird das folgende interne Ereignis generiert Tag Wert Schweregrad 1 Ereignisname ProcessStart Ressource WatchDog Teilressource WatchDog Meldung WatchDog Service Starting WatchDog Service wird gestartet Watchdog Prozess wurde beendet Beim Beenden des Watchdog Prozesses wird das folgende interne Ereignis generiert Tag Wert Schweregrad 5 Ereignisname ProcessStop Ressource Wa
47. Fehler wird generiert wenn der Collector Manager versucht eine nicht vorhandene Zuordnung abzurufen Dies sollte nicht vorkommen kann jedoch der Fall sein wenn Zuordnungen erstellt und gel scht werden Tag Wert Schweregrad 4 Ereignisname ErrorNoSuchMap Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Error initializing map with id lt D gt no such map Fehler beim Initialisieren von Zuordnung mit ID lt ID gt keine solche Zuordnung vorhanden Aktualisieren von Zuordnung aus Cache A 8 Dieses interne Ereignis wird Client seitig vom Zuordnungsservice generiert dem Service der Bestandteil des Collector Manager ist Wenn der Collector Manager eine Anweisung zum Aktualisieren der Zuordnung erh lt weil diese selbst oder deren Definition ge ndert wurde wird ein internes Ereignis gesendet Das hei t dass der zugeh rige Cache auf dem aktuellen Stand ist und dass die Zuordnung aus dem Cache aktualisiert wird Tag Wert Schweregrad 1 Ereignisname LoadingMapFromCache Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Loading from cache v lt version gt of map lt mapName gt ID lt id gt Laden aus Cache lt Version gt von Zuordnung lt Zuordnung gt ID lt ID gt Sentinel Benutzerhandbuch Aktualisieren von Zuordnung von Server Dieses interne Ereignis wird Client seitig vom Zuordnungsservice generiert dem Servi
48. Formate werden in das Sentinel Format umgewandelt die native systemeigene Ereignisquelle wird um gesch ftsrelevante Daten erweitert und die Ereignispakete werden an den Nachrichtenbus bermittelt Die Schl sselkomponente die f r die Umsetzung dieser Funktion zust ndig ist ist der Collector der durch einen Service f r Taxonomiezuordnung und globale Filter unterst tzt wird Die Gesch ftslogikschicht umfasst eine Gruppe verteilbarer Komponenten Bei der Basiskomponente handelt es sich um einen Remoting Service der die Datenobjekte und services mit Nachrichtenfunktionen versieht und so den transparenten Datenzugriff im gesamten Netzwerk gew hrleistet und den Data Access Service einen Service zur Objektverwaltung der Benutzern die Definition von Objekten mithilfe von Metadaten erm glicht Zudem stehen Korrelations Abfrage Manager Workflow Ereignisanzeige Vorfallsreaktions Zustands Advisor Berichterstellungs und Verwaltungs Services zur Verf gung Sentinel Benutzerhandbuch DARSTELLUNG ALLGEMEINE SERVICES EREIGNISANZEIGE VORFALLSREAKTION BERICHTERSTELLUNG ADVISOR ZUSTAND VERWALTUNG FILTER ENGINE EREIGNIS POLLEN LITER PETE TE RT LERNT ZUORDNUNGS ENGINE er us nis ZUSTANDSMONITOR DATA ACCESS SERVICES REMOTING SERVICES GESCH FTSLOGIK API SERVICES COLLECTOR MANAGER COLLECTOR MANAGER KALE COLLECTOR MANAGER ALLGEMEINE SERVICES COLLECTOR COLLECTOR COLLECTOR COLLECTOR COLLECTOR COLLECTOR STEUERUNG
49. IP gt ist nicht erfolgt Kein solches Benutzerereignis vorhanden Wenn sich ein Benutzer bei der Anwendung anmeldet und die Authentifizierung erfolgreich ausgef hrt wird der Benutzer jedoch kein Sentinel Benutzer ist wird das folgende Ereignis generiert Tag Wert Schweregrad 4 Ereignisname NoSuchUser Ressource UserAuthentication Teilressource Authenticate Meldung No existing user with name lt name gt found Es wurde kein vorhandener Benutzer mit dem Namen lt Name gt gefunden Systemereignisse f r Sentinel5 A l Doppelte Benutzerobjekte Wenn ein unerwartetes zweites aktives Benutzerobjekt vorhanden ist dies ist nicht zul ssig wird das folgende Ereignis generiert Dies ist ein interner Fehler Tag Wert Schweregrad 4 Ereignisname TooManyActiveUsers Ressource UserAuthentication Teilressource Authenticate Meldung Error in user table Multiple users with the name lt name gt found Fehler in Benutzertabelle Es wurden mehrere Benutzer mit dem Namen lt Name gt gefunden Gesperrtes Konto Beim Versuch einer Anmeldung mit einem gesperrten Benutzerkonto wird das folgende Ereignis generiert Tag Wert Schweregrad 4 Ereignisname LockedUser Ressource UserAuthentication Teilressource Authentication Meldung Attempt to login using locked account lt acct gt Versuch der Anmeldung mit dem gesperrten Konto Kto gt Benutzersit
50. Jaa Datei Anzeigen Datenbank Into Partitionen Tabellenbereiche Zuordnung Ereignisse Bericht f r Daten Zuordnungen ES System if Asset af AssetToregulstion IP AttackSignatureNormalization 4f IpToCountry If IsExploitiatchlist r HE verbunden mit esec Sentinel Data Manager 10 7 In der Haupt GUI von Zuordnung wird eine Auflistung aller Zuordnungen angezeigt die f r das System definiert wurden HINWEIS Zuordnungen unter dem Systemordner k nnen nicht bearbeitet oder gel scht werden Hinzuf gen von Zuordnungsdefinitionen 10 8 So f gen Sie eine Zuordnungsdefinition hinzu 1 2 3 Klicken Sie auf die Registerkarte Zuordnung Klicken Sie auf Hinzuf gen Wenn Sie einen neuen Zuordnungsordner erstellen m chten klicken Sie auf die Schaltfl che Neu Geben Sie einen Namen f r den Ordner ein HINWEIS Wenn es sich hierbei um die erste Zuordnungsdefinition handelt wird empfohlen dass Sie einen neuen Ordner f r Zuordnungsdefinitionen erstellen Wenn Sie eine Zuordnungsdefinition unter dem Systemordner erstellen k nnen Sie diese nicht bearbeiten oder l schen Vergewissern Sie sich dass der Ordner ausgew hlt ist in den die Zuordnungsdefinition eingegeben werden soll Das hei t dieser Ordner wird als ge ffnet angezeigt Geben Sie einen Namen f r die Zuordnung ein Klicken Sie auf Weiter HINWEIS Das Feld Zuordnungstyp ist deaktiviert W hlen S
51. ME 5X A m q x Severity EventName SourcelP Destinstionip Geben Sie in das Feld Korrelations ID eine der folgenden Optionen ein Ereignis ID Nummer CorrelatedEventUUID HINWEIS CorrelatedEventUUID ist nur in einer Echtzeitereignistabelle verf gbar Klicken Sie zum Anzeigen des n chsten Ereignisstapels auf Weitere Optionen k Registerkarte Analyse 6 3 6 4 Sentinel Benutzerhandbuch Registerkarte Advisor HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Sie m ssen ber die entsprechende Berechtigung verf gen um die Registerkarte Advisor verwenden zu k nnen Wenn Ihnen diese Berechtigung nicht erteilt wurde verf gen Sie auch nicht ber die anderen Berechtigungen zur Durchf hrung von Aktionen mithilfe dieser Registerkarte Advisor ist ein optionales Modul Wenn Sie ber keine Lizenz f r Advisor verf gen und auf die Registerkarte Advisor klicken werden Sie in einem Benachrichtigungsfenster darauf hingewiesen Sentinel Advisor basiert auf SecurityNexus Advisor bietet Echtzeitintelligenz f r Anf lligkeiten von Unternehmen Expertenrat sowie empfohlene Schritte f r die Sanierung Advisor bietet einen Querverweis zwischen Echtzeit IDS Angriffssignaturen und der Advisor Knowledge Base f r Anf lligkeiten Weitere Informationen finden Sie unter http www esecurity net Softwa
52. Manager 2 W hlen Sie einen Filter aus und klicken Sie auf L schen 3 Ein Best tigungsfenster wird ge ffnet Konfigurieren der Men konfiguration Zur Verwendung dieser Funktion m ssen Sie ber die Benutzerberechtigung Men konfiguration verf gen Verwenden Sie das Fenster Men konfiguration um die Men elemente zu erstellen die im Men Ereignis angezeigt werden sollen das in jeder Tabelle mit einem Ereignis angezeigt wird z B in den Fenstern Ereignisechtzeit Snapshot Vorfallereignisse usw wenn Sie eines oder mehrere Ereignisse ausw hlen oder mit der rechten Maustaste klicken Sentinel verf gt ber die folgenden standardm igen Men konfigurationselemente die Sie klonen aktivieren oder deaktivieren k nnen ping Sendet ein Ping Signal an die Ziel IP des ausgew hlten Ereignisses nslookup F hrt eine Namenserversuche f r die Quellen IP des ausgew hlten Ereignisses durch traceroute tracert in MS SQL Ermittelt die Route von der Quellen IP des ausgew hlten Ereignisses zum Sentinel Server 9 20 Sentinel Benutzerhandbuch Whois F hrt eine ARIN Whois Suche f r die Quellen IP des ausgew hlten Ereignisses durch Das Fenster Men konfiguration erm glicht Ihnen Folgendes Hinzuf gen einer Option zum Men f r die Men konfiguration Klonen einer Men option f r die Men konfiguration ndern einer Men option f r die Men konfiguration
53. Priorit t von Reaktionen auf Sicherheitsbedrohungen effizient und effektiv in Echtzeit festgelegt Wenn ein Angriff auf einen anf lligen Bestand vorgenommen wird alarmiert Exploit Erkennung die Benutzer mit dem entsprechenden Schweregrad der ausgenutzten Anf lligkeit Auf diese Weise k nnen Benutzer f r Ereignisse mit hoher Priorit t umgehend Ma nahmen ergreifen Unsicherheiten bei der berwachung von Warnmeldungen geh ren folglich der Vergangenheit an Die Vorfallsreaktion wird effizient beschleunigt da der Schwerpunkt auf bekannten Angriffen auf anf llige Best nde liegt Sentinel Einf hrung 1 19 ber die Exploit Erkennung k nnen Benutzer zudem Signaturen und Anf lligkeiten zuordnen und deren Zuordnung aufheben um falsche Positiv und Negativ Meldungen auszublenden und benutzerdefinierte Signaturen bzw Anf lligkeitsabsuchvorg nge optimal zu nutzen Gesch ftslogikschicht Der Kernel der Sentinel 5 Plattform besteht aus eine Gruppe lose zusammenh ngender Services die in einer Einzelplatzbetriebkonfiguration bzw in einer verteilten Topologie ausgef hrt werden k nnen Diese serviceorientierte Architektur Service Oriented Architecture SOA tr gt den Namen iSCALE Die SOA von Sentinel umfasst eine Gruppe von Engines Services und Anwendungsprogrammierschnittstellen Application Programming Interfaces APIs die gemeinsam f r die lineare Skalierung der L sung bei ansteigender Datenauslastung und oder Verarbeitungsarbeit
54. Quelldatei mit Zuordnungsdaten eine andere Struktur als die vorhandene Datei aufweist aktualisieren Sie die Zuordnungsdefinition mithilfe der Funktion Bearbeiten der SDM GUI So aktualisieren Sie Zuordnungsdaten 1 Erstellen Sie eine Datei mit den Quelldaten f r die neue Zuordnung auf dem Computer auf dem SDM ausgef hrt wird wenn dies noch nicht erfolgt ist Diese Datei kann automatisch generiert z B aus einem Datendump Skript oder manuell v llig neu erstellt werden Es kann sich aber auch um eine bearbeitete Version der vorhandenen Quelldatei mit Zuordnungsdaten handeln Gegebenenfalls k nnen Sie die vorhandene Quelldatei mit Zuordnungsdaten vom folgenden Speicherort abrufen F r Windows ESEC_HOME sentinel bin map_data F r UNIX ESEC_HOME sentinel bin map_data Klicken Sie auf die Registerkarte Zuordnung 3 Erweitern Sie den gew nschten Ordner Markieren Sie die zu aktualisierende Zuordnung Klicken Sie auf Update Aktualisieren Map Data Update Maps New Folder vuln_attack E x Source Data File File Name Browse r Data Preview New Current Column 1 Column 2 IV Backup Existing Data On Server OK Cancel 10 16 Sentinel Benutzerhandbuch 4 W hlen Sie die neue Quelldatei mit Zuordnungsdaten aus indem Sie auf die Schaltfl che Durchsuchen klicken und die Datei mit den Daten f r die neue Zuordnung ausw hlen Nach dem A
55. Registerkarte Bericht f r Daten Aktivieren von EventFileRedirectService f r Sentinel Top 10 Berichte Aktivieren von EventFileRedirectService 1 ffnen Sie auf Ihrem DAS Computer mithilfe des Texteditors folgende Datei F r UNIX SESEC_HOMB sentinel config das_binary xml F r Windows ESEC_HOME sentinel config das_binary xml Registerkarte Analyse 6 1 2 3 ndern Sie den Status von EventFileRedirectService auf on ein lt property name status gt on lt property gt Starten Sie unter Windows den Sentinel Service neu Starten Sie unter UNIX den DAS Computer neu Ausf hren eines Berichts aus Crystal Reports So erstellen Sie einen Bericht aus einer Crystal Reports Schablone 1 2 Klicken Sie auf die Registerkarte Analyse Klicken Sie im Analysennavigator auf einen der verf gbaren Berichte HINWEIS Zur Ausf hrung von Top 10 Berichten muss die Aggregationaktiviert und EventFileRedirectService in DAS_Binary xml muss eingeschaltet sein Informationen zur Aktivierung der Aggregation finden Sie im Sentinel Benutzerhandbuch Kapitel 10 Sentinel Data Manager im Abschnitt zur Registerkarte Bericht f r Daten Klicken Sie auf Analyse gt Bericht erstellen oder klicken Sie auf Bericht erstellen Q Geben Sie die Informationen in die Schablone ein und klicken Sie auf Bericht anzeigen Der Bericht wird angezeigt Ausf hren eines Ereignisabfrageber
56. RuleLg Sprache f r die Definition der Korrelationsregel vertraut sein bevor Sie diesen Korrelationsregeltyp verwenden Correlation Engine Regelbereitstellung Zur Verwendung dieser Funktion m ssen Sie ber die Berechtigung zum Starten Stoppen der Correlation Engine verf gen Die Correlation Engine befindet sich stets in einem von zwei m glichen Status Aktiviert oder Deaktiviert Das Symbol spiegelt den aktuellen Status wider Aktiviert Deaktiviert Wenn die Correlation Engine aktiviert ist verarbeitet sie aktive Korrelationsregelordner Wenn die Correlation Engine deaktiviert ist bleiben all ihre Daten aus dem Arbeitsspeicher erhalten und es werden keine neuen korrelierten Ereignisse generiert Dieser Status entspricht der Deaktivierung aller Regelordner Die Deaktivierung der Correlation Engine hat keinerlei Auswirkungen auf die anderen Teile des Systems Eingehende Ereignisse werden weiterhin empfangen und in der Sentinel Datenbank gespeichert Importieren und Exportieren von Korrelationsregeln Die Exportfunktion erm glicht Sentinel das Erstellen und Exportieren von Korrelationsregeln f r den Import in Ihr System Diese XML Dokumente sind speziell f r die Correlation Engine formatiert Diese vorgefertigten Regeln werden von Sentinel erstellt und sind im Kundenportal unter http www esecurityinc com verf gbar Die Funktion zum Exportieren von Regeln als XML Dokumente ist hilfreich wenn Sie Novell zur F
57. Service M B virus Outbreak Detectec MV E wiorm Outbreak Detecte MV O Troian Horse Detected X OK Cancel Zum Starten der Regel m ssen Sie die Regel unter eine Correlation Engine verschieben E Correlation Engines Sur 4467 41B4 4613 1027 4151 000D56C732D7 CriticalYulnerable_Syr_Attacks Patches_Not_Up To Date HINWEIS Regeln werden aktiviert bereitgestellt Markieren Sie Ihre Regel unter der Correlation Engine und klicken Sie mit der rechten Maustaste auf Regel aktivieren 9 Correlation Engines Eur 144674154 4613 1027 4 151 000056C732D7 CriticalYulnerable_Swr_Attacks Patches_Not_Up To Date Serveransichten Mithilfe der Serveransichten k nnen Sie den Status s mtlicher Sentinel Server Vorg nge im System berwachen a Communication Server a Correlation Engine g DAS_Binary a DAS_iTrac a DAS_Query a DAS_RT Query Manager a RuleLg Checker Sonic Lock Remover Registerkarte Admin 9 11 HINWEIS Unter Windows wird der Communication Server Prozess f r den Kommunikationsserver als Windows Service ausgef hrt und kann folglich ber die Serveransicht nicht berwacht werden Wenn Sie den Communication Server Vorgang unter Windows berwachen m chten verwenden Sie den Windows Dienst Manager Der Sonic Lock Remover Prozess ist nur unter Windows aktiviert Wenn ein Prozess auf einem bestimmten Server nicht aktiviert ist enth lt die zugeh rige Akt
58. Wenn f r den angegebenen Zeitraum keine importierten Daten vorhanden sind wird eine entsprechende Meldung zur ckgegeben F r diesen Befehl werden folgende Flags verwendet action dropImported startDate lt MM TT JJJJ hh24 min ss gt endDate lt mm tt jj hh24 mi ss gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt HINWEIS hh24 sind die im 24 Stunden Format dargestellten Stunden 1 15 00 p m steht beispielsweise f r 13 15 00 und 3 00 00 a m stellt 03 00 00 dar Ausf hren von dropImported 1 F hren Sie diesen Befehl wie folgt aus sdm action dropImported startDate lt MM TT JJJJ hh24 min ss gt endDate lt MM TT JJJJ hh24 min ss gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Sentinel Benutzerhandbuch Im folgenden Beispiel werden die importierten Daten aus dem angegebenen Zeitraum aus den oben aufgef hrten Tabellen gel scht Beispiel f r Oracle sdm action dropImported startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFil sdm connect Beispiel f r SQL Server sdm action dropImported startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFil sdm connect Verwaltung von Tabellenbereichen F r die Verwaltung von Tabellenbereichen verf gen Sie ber eine Befehlszeilenoption und eine GUI Option ber die Befehlszeile k nnen Sie Folgendes ausf hren Anz
59. auf Anzeigen oder Speichern HINWEIS Zum Anzeigen einer Anlage muss ein Anlage Viewer konfiguriert werden Wenn eine Anlage nicht zum ffnen einer Datei konfiguriert ist wird eine Eingabeaufforderung zur Auswahl des Programms eingeblendet das zum ffnen der Datei verwendet werden soll Anlagedateien werden in der Sentinel Datenbank gespeichert Sentinel Benutzerhandbuch Konfigurieren des Anlage Viewer Konfigurieren des Anlage Viewer 1 Klicken Sie auf die Registerkarte Vorfall 2 Klicken Sie auf Vorf lle gt Konfiguration des Anlage Viewer oder klicken Sie auf die Schaltfl che Viewer f r Anlagen konfigurieren S Attachment viewers txt html doc Appl DEFAULT C Program Files Wi ADYISOR C Program Files In DEFAULT C Program Files Mi Type 3 Klicken Sie auf Add Hinzuf gen Attachment Identification Extension Type DEFAULT Subtype DEFAULT Attachment Viewer Application Browse Parameters FiLE Ok Cancel Geben Sie den Erweiterungstyp ein z B doc xls txt html usw und klicken Sie auf Durchsuchen oder geben Sie das Anwendungsprogramm zum Starten dieses Dateityps ein z B notepad exe f r Notepad 4 Klicken Sie auf OK Registerkarte Vorf lle 4 7 Senden eines Vorfalls per Email Die Funktion zum Senden von Emails wird w hrend der Installation in der Datei execution properties eingerichtet
60. aufgef hrt welche Menge an Speicherplatz von den einzelnen Tabellenbereichen verwendet wird und welche Menge an Speicherplatz f r die einzelnen Tabellenbereiche noch verf gbar frei ist In Balkendiagrammen mit Farbcodierung wird der Gesamtspeicherplatz grafisch veranschaulicht der den einzelnen Tabellenbereichen zugewiesen ist sowie der Prozentsatz an Speicherplatz der von den einzelnen Tabellenbereichen verwendet wird HINWEIS Unter MS SQL ist das Konzept der Tabellenbereiche nicht vorhanden daher werden Dateigruppen verwendet Registerkarte Zuordnung HINWEIS Damit Sie die Registerkarte Zuordnung verwenden k nnen muss die Datei configuration xml auf einen Kommunikationsserver verweisen mit dem DAS_Binary und DAS_Query ebenfalls verbunden sind Dies ist in der Standardeinstellung der Fall sofern der Kommunikationsserver und DAS Prozesse ausgef hrt werden Mithilfe der Registerkarte Zuordnung k nnen Sie folgende Vorg nge ausf hren Hinzuf gen neuer Zuordnungsdefinitionen Bearbeiten von Zuordnungsdefinitionen L schen von Zuordnungsdefinitionen Aktualisieren von Zuordnungsdaten Zuordnungen wirken mit der Datenquellen Option Verweis von Zuordnung auf der Registerkarte Ereignisse zusammen Eine Zuordung kann mithilfe einer Zeichenkette oder eines Zahlenbereichs durchgef hrt werden So zeigen Sie Zuordnungen in der GUI an 1 Klicken Sie auf die Registerkarte Zuordnung
61. ausschlie lich auf Oracle Mit dieser Aktion partitionConfig werden Ihre Datenbankpartitionen konfiguriert Mit dieser Konfiguration wird festgelegt auf welche Weise die Partitionen zu s mtlichen partitionierten Sentinel Tabellen hinzugef gt werden F r diese Aktion werden folgende Flags verwendet action partitionConfig freq lt entweder 3D oder 2D oder 1D oder IW gt Es werden lediglich die folgenden Optionen unterst tzt 3D drei Partitionen pro Tag 2D zwei Partitionen pro Tag 1D eine Partition pro Tag LW eine Partition pro Woche days lt Anzahl der hinzuzuf genden Tage bei jedem Ausw hlen von addPartitions gt connectFile lt Pfad des Dateinamens der von saveConnection gespeichert wird gt Ausf hren von partitionConfig 1 F hren Sie diesen Befehl wie folgt aus sdm action partitionConfig freq lt either 3D or 2D or 1D or 1W gt days lt Number Of days to be added whenever addPartitions is chosen gt connectFil lt path to the filename saved by saveConnection default SESEC_HOME sdm sdm connect gt Im folgenden Beispiel werden vom System 30 Partitionen drei Partitionen pro Tag 1 DAY 3 10 hinzugef gt sdm action partitionConfig freq 3D days 10 connectFile sdm connect Sentinel Benutzerhandbuch Im folgenden Beispiel werden vom System 10 Partitionen eine Pa
62. das System s mtliche Anforderungen erf llt Die Daten die von den Collectors in Form von Ereignissen aggregiert werden werden anschlie end normalisiert und in das XML eXtensible Markup Language Format umgewandelt und durch eine Reihe von Metadaten also Daten ber Daten erweitert diese Vorg nge werden ber eine Gruppe von Gesch ftsrelevanzservices durchgef hrt Dann werden die Daten f r die Serverseite propagiert um die weitere rechnerische Analyse mithilfe der Nachrichtenbusplattform zu erm glichen Die Sammel und Erweiterungsschicht umfasst folgende Komponenten Connectors und Collectors Collector Manager und Engine Collector Builder Sentinel Einf hrung 1 17 Connectors und Collectors Bei einem Connector handelt es sich um einen Konzentrator oder Multiplex Adapter der die Verbindung zwischen Collector Engine und den jeweiligen berwachten Ereignissen herstellt Bei Collectors handelt es sich um die auf der Komponentenebene agierenden Aggregatoren von Ereignisdaten von einer bestimmten Quelle Sentinel 5 unterst tzt prim r Collector freie Remote Verbindungen mit Quellen Collectors k nnen jedoch auf bestimmten Ger ten bereitgestellt werden auf denen der Remote Ansatz weniger effizient ist Collectors werden ber Sentinel Control Center gesteuert Sentinel Control Center sorgt f r die Umsetzung der Kommunikation zwischen den Collectors und der Sentinel Plattform hinsichtlich Echtzeitanalyse Korrela
63. der Zusammenfassung f r den betreffenden Zeitraum Daten fehlen Sentinel Benutzernandbuch 5 Summary Graph x EventDestSummary Summaries HINWEIS Weitere Informationen zum Vervollst ndigen von Zusammenfassungen finden Sie im Abschnitt Ausf hren von Ereignisdateien f r eine Zusammenfassung Abfragen der Ereignisdateien f r eine Zusammenfassung 1 Klicken Sie auf die Registerkarte Bericht f r Daten 2 W hlen Sie Status aus 3 W hlen Sie die abzufragende n aus Summary Status EN E Event Summ EST SE EventSevDestEvtSummary EventSewDestPortSummary EventSevSummary EventSrcDestSummary Time Interval Between li l Show Event Show Graph Cancel 4 W hlen Sie ein Zeitintervall aus 5 Click Show Event 6 Die erforderlichen Ereignisdateien zum Vervollst ndigen der Zusammenfassung werden in einem Listenformat angezeigt HINWEIS Weitere Informationen zum Vervollst ndigen von Zusammenfassungen finden Sie im Abschnitt Ausf hren von Ereignisdateien f r eine Zusammenfassung Sentinel Data Manager 10 27 Processed Summary Status x File Name Min Event Time Max Event Time 1 EventDestSummary fevents_20050110_1 Mon Jan 10 13 27 02 EST Mon Jan 10 13 57 02 EST 2005 Ds 2 EventDestSummary levents_20050110_1 Mon Jan 10 13 57 03 EST Mon Jan 10 14 27 03
64. der Ausf hrung von Manage_data bat f r das Archivieren von Daten und das Hinzuf gen von Partitionen 240rsnnsunnnnnnnnnnennnnnnnnnnnnnnnnnnannnnnnnnnn 10 45 11 Dienstprogramme 11 1 Starten und Beenden des Sentinel Server und des Collector Manager UNIX 11 1 Starten des UNIX Sentinel Server sssssnnssennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 11 1 Beenden des UNIX Sentinel Server uusersssssssennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnann 11 1 Starten des UNIX Collector Manager 0420044240nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnn 11 1 Beenden des UNIX Collector Manager 40rs44snnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 11 2 Starten und Beenden des Sentinel Server und des Collector Manager Windows 11 2 Starten des Windows Collector Manager ursusrsnsnnnnennnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 11 2 Beenden des Windows Collector Manager 44240442400nnnnnennnnnnnnnnnnnnnnnnnnennnnnnnnnn 11 2 Starten des Sentinel Server f r Windows 444004snnunnnnonnnnnennnnnnnnnnnnnnnnnnnnennnnnnnnnn 11 2 Beenden des Sentinel Server f r Windows 0snssssssnnsnennnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnen 11 3 Starten des Sentinel Communication Server f r Windows 240srsssnnnnennnnnnnnnnnnnn nenn 11 3 Beenden des Sentinel Communication Server f r Windows
65. des Analysierens von Sicherheitsereignissen zum Ermitteln von potenziellen Beziehungen zwischen zwei oder mehr Ereignissen Durch die Korrelation werden schnelle Verkn pfungen von Priorit tsangriffen auf allgemeine Elemente der Ereignisdaten erm glicht In Verbindung mit dem Telnet Szenario unter Sicherheitsanalysten Beispielszenario f r Ereignisabfrage kann eine grundlegende Korrelationsregel erstellt werden die ein korreliertes Ereignis ausl st wenn in einem Zeitraum von 10 Sekunden 4 Telnet Versuche unternommen werden So erstellen Sie eine Korrelationsregel 1 Wechseln Sie zur Registerkarte Admin und markieren Sie die Option Korrelationsregeln in der Navigationsleiste 2 Erstellen Sie einen neuen Ordner und legen Sie die Regel darin ab Hierf r k nnen Sie eine Kontextmen option verwenden 3 Markieren Sie Grundlegende Korrelation geben Sie einen Namen ein und klicken Sie auf Weiter Klicken Sie im n chsten Fenster auf den Abw rtspfeil und w hlen Sie Filter Manager Klicken Sie auf den Abw rtspfeil f r Ausgew hlter Filter und klicken Sie im Bereich Filterauswahl auf Hinzuf gen 4 Geben Sie Folgendes ein Name telnet_attempt_189_168_10_22 Filtername telnet attempt 189_168_10_22 SourcelP 189 168 10 22 EventName Attempted_telnet Sentinel Benutzerhandbuch W hlen Sie Und Schweregrad 5 SensorType H DestinationIP 189 168 10 23 Klicken Sie auf S
66. die Erfassung f r lt n gt Active View s ausgef hrt Verbindung mit Active View hergestellt A 18 DAS_Binary sendet dieses Ereignis wenn ein Benutzer eine Verbindung mit einer vorhandenen Active View herstellt Tag Wert Schweregrad 1 Ereignisname RtChartJoiningExistingData Ressource RealTimeSummaryService Teilressource ChartManager Meldung Joining existing Active View with filter lt filter gt and attribute lt artribute gt for users with security filter lt security filter gt Currently lt n gt Active View s Collecting Verbindung mit vorhandener Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt wird hergestellt Zurzeit wird die Erfassung f r lt n gt Active View s ausgef hrt Sentinel Benutzerhandbuch Inaktive Active View entfernt DAS_Binary sendet dieses Ereignis wenn eine nicht permanente Active View wegen Inaktivit t entfernt wird Tag Wert Schweregrad 1 Ereignisname RtChartlnactiveAndRemoved Ressource RealTimeSummaryService Teilressource ChartManager Meldung Removed idle Active View with filter lt filter gt and attribute lt artribute gt for users with security filter lt security filter gt Currently lt n gt Active View s Collecting Inaktive Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Siche
67. die anzuzeigende Tabelle in der Dropdown Liste aus olx Datei Anzeigen Datenbank Tabellenbereiche Zuordnung Ereignisse Bericht f r Daten F Datensegmente verwalten Info Tabelle E EVENTS M Segmente Tabele Position Anfangsdatum Enddatum Status Name g EVENTS 1 05 07 06 14 05 08 07 07 06 15 00 00 Aktuelle Elemente online DEE g EVENTS 2 07 07 06 15 00 00 08 07 06 15 00 00 Online EWENTS_P_2006070 g EVENTS 3 08 07 06 15 00 00 09 07 06 15 00 00 Online EVENTS_P_2006070 Q events 4 09 07 06 15 00 00 10 07 06 15 00 00 Online EVENTS_P_20060711 q EVENTS 5 10 07 06 15 00 00 11 07 06 15 00 00 Online EVENTS_P_2006071 g EVENTS 6 11 07 06 15 00 00 12 07 06 15 00 00 Online EVENTS_P_2006071 m FWFENTS 7 AINT NKASNMAN 13 NTNRAENNNN Mnline FWFNTS P gooeoz M Hinzuf gen L schen Archivieren Importieren Version Hinzuf gen h Partition pro TAG z for the next ko 7 Tagle Hinzuf gen Speichern verbunden mit ESEC In der Tabelle Segmente werden die Partitionen der zurzeit ausgew hlten Datenbanktabelle angezeigt In jeder Zeile der Tabelle Segmente werden die zugeh rige Datenbanktabelle der Zeitraum der Status und der Name der jeweiligen Partition aufgef hrt Als Status der einzelnen in der Tabelle Segmente aufgef hrten Tabellen k nnen die Folgenden vorhanden sein Online Auf die Daten auf einer Online Partition kann zugegriffen werden Aktuelle Elemente Dabei handelt e
68. ein Passwort w hlen das Sie sich merken k nnen und das dennoch komplex ist Beispiel MSi5 JalT Mein Sohn ist 5 Jahre alt oder iLs5 JiK Ich lebe seit 5 Jahren in K ln So ndern Sie Ihr Sentinel Control Center Passwort 1 Klicken Sie auf Optionen gt Passwort ndern 2 Geben Sie das alte Passwort ein 3 Geben Sie das neue Passwort ein und best tigen Sie dieses indem Sie es noch einmal eingeben HINWEIS Novell empfiehlt als optimales Verfahren eine Passwort Mindestl nge von 8 Zeichen wobei das Passwort alphanumerische Zeichen enthalten sollte 4 Klicken Sie auf OK 2 10 Sentinel Benutzerhandbuch Registerkarte Active ViewsTM HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Sie m ssen ber die entsprechende Berechtigung verf gen um die Registerkarte Active Views verwenden zu k nnen Wenn Ihnen diese Berechtigung nicht erteilt wurde verf gen Sie auch nicht ber die Berechtigungen zur Durchf hrung von Aktionen mithilfe dieser Registerkarte Auf der Registerkarte Active Views k nnen Sie Ereignisse fast in Echtzeit berwachen wenn sie eintreten und Abfragen an diese Ereignisse senden Die Ereignisse k nnen im Tabellenformat oder in Form eines 3D Balkendiagramms eines gestapelten 2D Balkendiagramms eines Liniendiagramms oder eines Banddiagramms berwacht werden N Novell Sentinel Con
69. einer Active View in den Einstellungen generiert werden Tag Wert Schweregrad 1 Ereignisname RtChartIsNowPermanent Ressource RealTimeSummaryService Teilressource ChartManager Meldung Active View with filter lt filter gt and attribute lt attribute gt for users with security filter lt security filter gt is now permanent Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt ist nun permanent Active View ist nicht mehr permanent DAS_Binary sendet dieses Ereignis wenn festgestellt wird dass eine zuvor permanente Active View nicht mehr als permanent festgelegt ist Eine solche berpr fung wird regelm ig ausgef hrt daher kann dieses Ereignis wenige Minuten nach dem Entfernen einer Active View aus den Einstellungen generiert werden Tag Wert Schweregrad 1 Ereignisname RtChartNotPermanent Ressource RealTimeSummaryService Teilressource ChartManager Meldung Active View with filter lt filter gt and attribute lt attribute gt for users with security filter lt security filter gt is no longer permanent Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt ist nicht mehr permanent A 20 Sentinel Benutzerhandbuch Zusammenfassung Ereignisname AuthenticationFailed NoSuchUser TooManyActiveUsers LockedUser User
70. enth lt die Daten aus der Quelldatei mit Zuordnungsdaten asset csv Die Datei asset csv wird automatisch aus Bestandsdaten aus der Sentinel Datenbank generiert wenn ein Bestands Collector ausgef hrt wird Diese Datei kann ggf auch manuell gef llt werden AssetToRegulation Diese enth lt die Daten aus der Quelldatei mit Zuordnungsdaten AssetToRegulation csv Diese Datei muss manuell gef llt werden AttackSignatureNormalization Diese enth lt die Daten aus der Quelldatei mit Zuordnungsdaten attackNormalization csv IDS Signaturen Die Datei attackNormalization csv wird automatisch aus Advisor Daten aus der Sentinel Datenbank generiert wenn ein Advisor Feed ausgef hrt wird IpToCountry Diese enth lt die Daten aus der Quelldatei mit Zuordnungsdaten IpToCountry csv Diese Datei muss manuell gef llt werden IsExploitWatchlist Diese enth lt die Daten aus der Quelldatei mit Zuordnungsdaten exploitDetection csv Anf lligkeiten und Bedrohungen Die Datei exploitDetection csv wird automatisch aus Advisor und Vulnerability Daten aus der Sentinel Datenbank generiert wenn ein Advisor Feed durchgef hrt oder ein Anf lligkeits Collector ausgef hrt wird Klicken Sie auf den Pfeil nach unten neben dem Feld Zuordnungsspalte und w hlen Sie einen Zuordnungsspaltennamen aus Je nach dem ausgew hlten Zuordnungsnamen im vorherigen Schritt variier
71. geplant Systemereignisse f r Sentinel5 A 11 OutOfSyncDetected Dieses Ereignis wird gesendet wenn der Zuordnungsservice feststellt dass eine Zuordnung veraltet ist Der Zuordnungsservice plant automatisch eine Aktualisierung Tag Wert Schweregrad 2 Ereignisname OutOfSyncDetected Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Map lt mapName gt detected the map data is out of sync probably due to a missed update notification scheduling a refresh Zuordnung lt Zuordnung gt mit nicht synchronisierten Zuordnungsdaten festgestellt evtl aufgrund fehlender Aktualisierungsbenachrichtigung eine Aktualisierung wird geplant Ereignisrouter Ereignisrouter wird ausgef hrt Der Ereignisrouter ist die Hauptkomponente des Collector Manager die Komponente die die Zuordnungen durchf hrt globale Filter anwendet und die Ereignisse ver ffentlicht Dieses interne Ereignis wird gesendet wenn der Ereignisrouter w hrend der Initialisierung bereit ist Bei einem Neustart des Collector Manager wird ein weiteres Ereignis gesendet um seine Bereitschaft anzuzeigen Dieses Ereignis wird erst dann gesendet wenn der Ereignisrouter alle globalen Filter und alle Zuordnungsinformationen erfolgreich geladen hat Tag Wert Schweregrad 1 Ereignisname EventRouterlsRunning Ressource AgentManager Teilressource EventRouter Meldung Event router completed it
72. handelt SensorType C oder W k nnen Sie mit der rechten Maustaste darauf klicken und Ausl seereignisse anzeigen w hlen um herauszufinden welche Ereignisse das korrelierte Ereignis ausgel st haben Ein anderes Ereignis von Interesse k nnten exzessive FTP Ereignisse sein Es kann sich auch um eine Remote Verbindung handeln die das bertragen Kopieren und L schen von Dateien erm glicht Nachfolgend sehen Sie eine kurze Liste mit Angriffen die von Interesse sein k nnen Die Liste der Angriffstypen ist recht lang Weitere Informationen zu Netzwerk Hostangriffen finden Sie in zahlreichen Ressourcen z B in B chern und im Internet in denen die verschiedenen Angriffstypen detailliert beschrieben werden SYN Flood Packet Sniffing Schlumpf und Fraggle ICMP und UDP Flood Denial of Service W rterbuch Angriff Sentinel Benutzerhandbuch Berichtsanalyst HINWEIS Es wird vorausgesetzt dass Ihr Sicherheitsadministrator Ihren Crystal Enterprise Webserver konfiguriert und eine Liste der verf gbaren Berichte ver ffentlicht hat Registerkarte Analyse Die Registerkarte Analyse erm glicht Ihnen das Erstellen von Verlaufsberichten Verlaufs und Anf lligkeitsberichte werden auf einem Crystal Webserver ver ffentlicht Sie werden direkt mit der Sentinel Datenbank ausgef hrt Diese Berichte k nnen hilfreich sein um Aktivit ten ber einen l ngeren Zeitraum beispielsweise eine Woche oder einen Mona
73. hinzugef gt HINWEIS Wenn in einem neu erstellten Vorfall zu Beginn keine Ereignisse angezeigt werden liegt dies wahrscheinlich an einer Zeitverz gerung zwischen dem Anzeigen im Fenster f r Echtzeitereignisse und dem Einf gen in die Datenbank In diesem Fall kann es einige Minuten dauern bis die urspr nglichen Ereignisse in die Datenbank eingef gt und im Vorfall angezeigt werden 3 28 Sentinel Benutzerhandbuch Registerkarte Vorf lle HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Sie m ssen ber die entsprechende Berechtigung verf gen um die Registerkarte Vorf lle verwenden zu k nnen Wenn Ihnen diese Berechtigung nicht erteilt wurde verf gen Sie auch nicht ber die anderen Berechtigungen zur Durchf hrung von Aktionen mithilfe dieser Registerkarte In diesem Kapitel werden Vorf lle behandelt Vorf lle sind Gruppierungen von ein oder mehreren Ereignissen die von Interesse sind Vorf lle k nnen folgenderma en erstellt werden Im Echtzeitfenster k nnen Sie Ereignisse einzeln ausw hlen um einen neuen Vorfall zu erstellen oder um sie einem bestehenden Vorfall hinzuzuf gen Durch Korrelationsregeln die ausgel st werden k nnen Vorf lle auch automatisch erstellt werden Registerkarte Vorfall Beschreibung Auf der Registerkarte Vorf lle k nnen Sie Senden eines Vorfalls per
74. hren und h lt die Zuordnungsdaten in diesen Prozessen immer auf dem aktuellen Stand Damit bietet die Ereigniszuordnung eine umfassende Unterst tzung f r Unternehmensbereitstellungen Die Ereigniszuordnung besteht aus vier Hauptbereichen Controller Hier werden alle Zuordnungsinformationen gespeichert Distributor Dieser verteilt die ge nderten Zuordnungen automatisch neu an die Prozesse die f r die Zuordnung registriert sind Monitor Dies ist eine berwachungsfunktion die nderungen in den Zuordnungsquelldaten erkennt Generator Hiermit werden Zuordnungen aus Quelldaten generiert Eine Anwendung der Ereigniszuordnung sind die Bestandsdatenfunktionen von Sentinel Bestandsinformationen werden beispielsweise im Bestandsschema der Sentinel Datenbank erfasst und gespeichert und mit einem physischen Bestandseintrag dargestellt Immaterielle Best nde wie Services und Anwendungen werden durch einen Eintrag dargestellt der mit einem physischen Bestand verkn pft ist Der prim re automatisierte Aktualisierungsmechanismus f r Bestandsdaten st tzt sich auf einen Bestands Collector der Daten von einem Scanner wie Nmap liest Der Bestands Collector automatisiert das Abrufen von Bestandsinformationen durch das Lesen von Bestandsdaten vom Scanner und das F llen der Bestandsschematabellen mit diesen Daten F r die Ereigniszuordnung werden Bestandsinformationen von der Ziel IP und der Quell IP zugeordnet Es gibt zwei
75. immer verf gbar Weitere Optionen sind in Abh ngigkeit davon verf gbar welche Registerkarte aktiv ist und welche Berechtigungen Ihnen gew hrt wurden Men Datei Einstellungen speichern Beenden Men Optionen Passwort ndern Position der Registerkarte Oben Unten Navigationsfenster andocken Navigationsfenster anzeigen 2 2 Sentinel Benutzerhandbuch Men Fenster Alle berlappend Alle nebeneinander Optimal anpassen Untereinander Nebeneinander Alle minimieren Alle wieder einblenden Alle schlie en Active Views Eigenschaften Aktive Ansicht erstellen Ereignisabfrage Ereignisechtzeit o Snapshot Spalten verwalten Vorf lle Vorfallsansichts Manager anzeigen Vorfall erstellen Konfiguration des Anlage Viewer ITRACTM Vorgangs Manager anzeigen Analyse Bericht erstellen Advisor Bericht erstellen Collectors Collector Ansichts Manager anzeigen Admin Berichtkonfiguration Korrelationsregeln Correlation Engine Manager Globale Filterkonfiguration Men konfiguration Filterkonfiguration Benutzerkonfiguration Hilfe Hilfe Info zu Sentinel Navigation im Sentinel Control Center 2 3 Symbolleiste F nf globale Symbolleistenschaltfl chen werden immer angezeigt Weitere Schaltfl chen sind in Abh ngigkeit davon verf gbar welche Registerkarte bzw welches Fenster aktiv ist und welche Benutzerberec
76. in den USA und in anderen L ndern sind jedoch nicht darauf beschr nkt Novell Inc 404 Wyman Street Suite 500 Waltham MA 02451 U S A www novell com Online Dokumentation Zugriff auf die Online Dokumentation f r dieses und andere Novell Produkte sowie auf Aktualisierungen erhalten Sie unter www novell com documentation Novell Marken Informationen zu Novell Marken finden Sie in der Liste der Marken und Dienstleistungsmarken von Novell http www novell com company legal trademarks tmlist html Materialien von Drittanbietern Alle Marken von Drittanbietern sind Eigentum der jeweiligen Inhaber Rechltliche Hinweise zu Drittanbieterprodukten Sentinel 5 enth lt m glicherweise folgende Drittanbietertechnologien Apache Axis und Apache Tomcat Copyright 1999 bis 2005 Apache Software Foundation Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www apache org licenses ANTLR Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www antlr org Boost Copyright 1999 Boost org Bouncy Castle Copyright 2000 2004 the Legion of Bouncy Castle Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www bouncycastle org Checkpoint Copyright Check Point Software Technologies Ltd Concurrent Dienstprogrammpaket Copyright Doug Lea Wird ohne die Klassen CopyOnWriteArrayList und ConcurrentReaderHashMap
77. interne Ereignis wird Client seitig vom Zuordnungsservice generiert dem Service der Bestandteil des Collector Manager ist Dieser Fehler wird generiert wenn der Collector Manager versucht eine nicht vorhandene Zuordnung abzurufen Dies sollte nicht vorkommen kann jedoch der Fall sein wenn Zuordnungen erstellt und gel scht werden Tag Wert Schweregrad 4 Ereignisname ErrorNoSuchMap Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Error initializing map with id lt D gt no such map Fehler beim Initialisieren von Zuordnung mit ID lt ID gt keine solche Zuordnung vorhanden Aktualisieren von Zuordnung aus Cache A 8 Dieses interne Ereignis wird Client seitig vom Zuordnungsservice generiert dem Service der Bestandteil des Collector Manager ist Wenn der Collector Manager eine Anweisung zum Aktualisieren der Zuordnung erh lt weil diese selbst oder deren Definition ge ndert wurde wird ein internes Ereignis gesendet Das hei t dass der zugeh rige Cache auf dem aktuellen Stand ist und dass die Zuordnung aus dem Cache aktualisiert wird Tag Wert Schweregrad 1 Ereignisname LoadingMapFromCache Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Loading from cache v lt version gt of map lt mapName gt ID lt id gt Laden aus Cache lt Version gt von Zuordnung lt Zuordnung gt ID lt ID gt Sentinel Benutzerhandbuch
78. k nnen endg ltig verloren gehen berpr fen Sie die Datenbank und die Back End Server Protokolle lt Ausnahme gt Fehler beim ffnen von Archivdatei Wenn das ffnen einer Archivdatei zum Speichern der Ereignisse f r die Aggregation nicht erfolgt wird das folgende interne Ereignis generiert A 4 Sentinel Benutzerhandbuch Tag Wert Schweregrad 3 Ereignisname OpenArchiveFileFailed Ressource lt DAS Name gt Teilressource ArchiveFile Meldung Error opening archive file lt name gt in lt dir gt Fehler beim ffnen von Archivdatei lt Name gt in lt Verz gt Fehler beim Schreiben in Archivdatei Wenn das ffnen einer Archivdatei zum Speichern der Ereignisse f r die Aggregation nicht erfolgt wird das folgende interne Ereignis generiert Tag Wert Schweregrad 3 Ereignisname WriteArchiveFileFailed Ressource lt DAS Name gt Teilressource ArchiveFile Meldung Error writing newly received events to aggregation archive file lt fname gt Fehler beim Schreiben neu empfangener Ereignisse in Archivdatei f r die Aggregation lt Dateiname gt Schreiben auf die berlaufpartition P_MAX Etwa alle 5 Minuten wird ein Ereignis gesendet um den Benutzer ber das Schreiben von Ereignissen auf die berlaufpartition P_MAX zu benachrichtigen Wenn dies der Fall ist muss der Administrator mithilfe von SDM weitere Partitionen hinzuf gen damit die Leistung nich
79. nicht enthalten Registerkarte Active Views 3 25 Sortieren der Spalten in einem Snapshot So sortieren Sie die Spalten in einem Snapshot 1 Klicken Sie einmal auf eine Spalten berschrift um die Spalte in aufsteigender Reihenfolge zu sortieren und zweimal um sie in absteigender Reihenfolge zu sortieren Schlie en eines Snapshot oder visuellen Navigatorfensters So schlie en Sie einen Snapshot oder eine Echtzeitereignistabelle 1 Klicken Sie bei ge ffnetem Snapshot oder visuellen Navigatorfenster auf Datei gt Einstellungen speichern falls die Tabelle verf gbar sein soll wenn Sie das Sentinel Control Center das n chste Mal starten 2 Schlie en Sie die Tabelle ber die Schaltfl che Schlie en in der rechten oberen Ecke unter Windows oder in der linken unteren Ecke unter UNIX L schen eines Snapshot oder visuellen Navigatorfensters So l schen Sie einen Snapshot oder ein visuelles Navigatorfenster 1 Schlie en Sie einen ge ffneten Snapshot oder visuellen Navigator ber die Schaltfl che Schlie en in der rechten oberen Ecke unter Windows oder in der linken unteren Ecke unter UNIX 2 Klicken Sie auf Datei gt Einstellungen speichern oder klicken Sie auf Benutzereinstellungen speichern oid Die Ansicht oder der Snapshot werden nicht wieder angezeigt wenn Sie das Sentinel Control Center schlie en und wieder ffnen Hinzuf gen von Ereignissen zu einem Vorfall Zum Ausf hren diese
80. percentage threshold of lt num gt Tabellenbereich lt Zeichenkette gt hat eine aktuelle Gr e von lt n gt MB bei einer maximalen Gr e von lt n gt MB und der prozentuale Schwellenwert von lt n gt wurde erreicht Sehr wenig Datenbankspeicher Wenn nach einer vor bergehenden Unterbrechung mit dem Einf gen von Ereignissen fortgefahren wird wird das folgende Ereignis gesendet Tag Wert Schweregrad 5 Ereignisname DbSpaceVeryLow Ressource Database Teilressource Database Meldung Tablespace lt string gt has current size of lt num gt MB and has reached the physical threshold of lt num gt MB Tabellenbereich lt Zeichenkette gt hat zurzeit eine Gr e von lt n gt MB und den physischen Schwellenwert von lt n gt MB erreicht Aggregation Fehler beim Einf gen von Zusammenfassungsdaten in die Datenbank Bei einem Fehler w hrend des Schreibens von Aggregationsdaten in die Datenbank wird das folgende interne Ereignis generiert Tag Wert Schweregrad 4 Ereignisname SummaryUpdateFailure Ressource Aggregation Teilressource Summary Meldung Error saving summary batch to the database for summary lt summaryName gt Fehler beim Speichern des Zusammenfassungsstapels in der Datenbank f r Zusammenfassung lt Zusammenfassung gt Systemereignisse f r Sentinel5 A 7 Zuordnungsservice Fehler beim Initialisieren von Zuordnung mit ID Dieses
81. sind verwendet Parameter m ssen in Prozentzeichen eingeschlossen sein z B EventName HINWEIS Eine Liste der verf gbaren Tags die Sie bei der Angabe von Parametern verwenden k nnen erhalten Sie wenn Sie im Dialogfeld Men konfiguration auf Hilfe klicken oder im Sentinel Referenzhandbuch f r Benutzer im Kapitel META Tag nachschlagen Klicken Sie auf OK Die neue Option wird der Liste der Men elemente im Fenster Men konfiguration hinzugef gt HINWEIS Markieren Sie beispielsweise eines der Standardmen elemente und klicken Sie auf Details Nachfolgend sehen Sie eine nslookup Konfiguration Menu Item Name Instookup Description Pertorm an nslookup on the Source IP of the selected event Action Execute Command z Use browser File type Command URL Insiookup Parameters Sourcer Sentinel Benutzerhandbuch Klonen einer Men option f r die Men konfiguration So klonen Sie eine Men option f r die Men konfiguration 1 ffnen Sie das Fenster Men konfiguration 2 W hlen Sie ein Men element aus der Tabelle und klicken Sie auf Klonen 3 Bearbeiten Sie im Dialogfeld Men konfiguration die folgenden Elemente Name Beschreibung Aktion Geben Sie an ob ein Browser verwendet werden soll Informationen hierzu finden Sie unter Hinzuf gen einer Browserfunktion zur Men konfigurationsoption Befehlszeile URL Parameter W hlen Si
82. ts Framework 5 12 Erstellen einer Aktivit t 1 2 3 4 Klicken Sie auf die Registerkarte iTRAC Klicken Sie im Navigator auf iTRAC Verwaltung gt Aktivit tsverwaltung Klicken Sie mit der rechten Maustaste und klicken Sie dann auf Neue Aktivit t W hlen Sie eine der folgenden Optionen Activity Wizard xi Activity Wizard Select Activity type name and description Type Incident Command Activity Incident Internal Activity Incident Composite Activity Incident Command Activity Befehlsaktivit t bei Vorfall Startet einen bestimmten Befehl mit oder ohne Vorfallsausgabe gibt die folgenden Argumente aus Argumente a DIP DIP Port Vorfall RTI DeviceAttackName SIP Port Benutzerdefiniert erm glicht Ihnen die Eingabe eigener benutzerdefinierter Argumente F r diese Aktivit t k nnen Sie auch festlegen dass die Ausgabe per Email versendet und oder dem Vorfall beigef gt wird Command Arugments Wizard Provide command name and select required command argument type Activity Wizard x Command Attachment Wizard Select required attachment options and provide the necessary details T Mail To From jesec_activity Subject IV Attach to Incident r Description Enter the command name Command Fr Arguments C None incident Output piP C Custom r Description Sentinel Benutzerhandbuch Interne Aktivit
83. unter der Option Globale Filterkonfiguration konfiguriert Dort k nnen sie aktiviert und deaktiviert werden Sie verwerfen Ereignisse Registerkarte Admin 9 15 Sie k nnen Ereignisse ausschlie lich an die Datenbank weiterleiten Sie k nnen Ereignisse an die Datenbank und an das Sentinel Control Center weiterleiten ber das Fenster Globale Filterkonfiguration k nnen Sie Erstellen eines globalen Filters Neuanordnen globaler Filter L schen eines globalen Filters N Sina Cnrkontauaten ER FIR Hnzut L schen PUBLIC High_Severity aM drop fitter e sev Macho Standardaktion database and gui Y Globale Filterkonfiguration verwalten Speichern Abbrechen Erstellen eines globalen Filters 9 16 Erstellen eines globalen Filters 1 2 Klicken Sie auf die Registerkarte Admin Klicken Sie auf Admin gt Globale Filterkonfiguration oder w hlen Sie Globale Filterkonfiguration im Navigationsbaum Klicken Sie im Fenster Globale Filterkonfiguration auf Bearbeiten und dann auf Hinzuf gen Klicken Sie in der neuen leeren Zeile auf die Spalte Filtername W hlen Sie einen Filter aus und klicken Sie auf Ausw hlen oder Hinzuf gen wenn Sie einen Filter erstellen m chten Klicken Sie in der Spalte Aktiv auf das Feld Aktiv W hlen Sie in der Spalte Aktion die Aktion aus die der globale Filter bei Ereignissen ausf hren soll die diese
84. von den Active Views Diagrammen und Ereignistabellen verwendeten Daten in Sentinel Control Center Die Engine verwaltet eine Gruppe von Ereignissen und statistischen Daten f r jede im Active Views Assistenten angegebene Kombination aus Filtern und Ereignisattributen Wenn ein Benutzer erstmals eine aktive Ansicht Active View mit einem bestimmten Filter und Ereignisattribut erstellt wird eine neue Datengruppe erstellt Diese Datengruppe enth lt die Anzahl dieses Attributs in festen Intervallen sowie die aktuellsten Ereignisse f r die einzelnen Intervalle Jede Datengruppe ist f r die Verwaltung f r die jeweils aktuellsten 24 Stunden an Daten konfiguriert Sentinel Benutzerhandbuch Intervalle werden nach kurzer Verz gerung an Sentinel Control Center gesendet um die Daten zu stabilisieren die aufgrund von Verz gerungen im Netzwerk und zeitlichen Verschiebungen m glicherweise versp tet eingegangen sind Aktive Ansichten werden automatisch f r mehrere Benutzer freigegeben wenn das gew nschte Ereignisattribut und der gew nschte Filter identisch sind Wenn eine aktive Ansicht von keinem Benutzer mehr verwendet wird wird sie nach einer Stunde verworfen Wenn eine aktive Ansicht jedoch in den Benutzereinstellungen gespeichert wird sammelt sie bis zu 100 Stunden weiter Daten Datensynchronisierungsprozess Daten Cotroller Der Datensynchronisierungsvorgang data_synchronizer verwaltet die nderung von Konfigurationsdaten durch mehr
85. werden nach Bedarf in die Datenbank geschrieben bei normaler Ereignisauslastung kann Active Views Daten von bis zu 8 Stunden im Speicher speichern Diese ununterbrochene leistungsorientierte Echtzeitansicht ist wichtig wenn das Er r EN m J gan g E er adnsix SOTcp dnsix sumcep sometimes rpc21 EE 32779 TCP Sentinel Benutzerhandbuch Vorfallsreaktion ber IiTRAC Durch iTRAC findet der Wandel der herk mmlichen Sicherheitsinformationsverwaltung vom passiven Alarmieren und Anzeigen hin zu prozessf higer Vorfallsreaktion statt da Organisationen Vorfallsl sungsvorg nge definieren und dokumentieren und dann L sungsvorg nge steuern umsetzen und verfolgen k nnen wenn ein Vorfall oder ein Versto erkannt wird Im Lieferumfang von Sentinel 5 sind sofort einsatzbereite Vorgangsschablonen enthalten die auf den Vorfallshandhabungsrichtlinien des SANS Institute basieren Benutzer k nnen mit diesen vordefinierten Vorg ngen beginnen und spezifische Aktivit ten konfigurieren die die optimalen Verfahren der Organisation widerspiegeln iTRAC Vorg nge k nnen von der Vorfallserstellung bzw von den Korrelationsregeln aus automatisch ausgel st bzw von einem autorisierten Sicherheits oder Revisionsexperten manuell gestartet werden In ITRAC wird eine Revisionsliste s mtlicher Aktionen zur Unterst tzung der Konformit tsberichterstellung und der Verlaufsanalyse verwaltet
86. wird eine rote Trennlinie angezeigt die darauf hinweist dass mehr Ereignisse vorhanden sind als angezeigt werden 2005 06 21 07 07 00 EDT 172 16 112 50 172 16 0 65 unsuccessfu 005 06 21 07 07 00 EDT 172 16 112 50 172 16 0 65 suspicious Fil 2005 06 21 07 06 58 EDT 172 16 112 50 1172 16 0 65 successful a Wenn Benutzereinstellungen gespeichert werden werden 4 Tage lang weiterhin Daten gesammelt Wenn Sie beispielsweise Ihre Einstellungen speichern sich abmelden und sich dann am folgenden Tag wieder anmelden zeigt Ihre aktive Ansicht alle Daten an als ob Sie sich nie abgemeldet h tten o Wenn eine aktive Ansicht erstellt aber nicht gespeichert wird f hrt sie eine Stunde lang mit dem Sammeln von Daten fort Wenn innerhalb dieses Zeitraums von einer Stunde eine identische aktive Ansicht erstellt wird zeigt die aktive Ansicht Daten f r die letzte Stunde an Snapshot Mit Zeitstempel versehene Ansichten einer Ereignisansichtstabelle in Echtzeit Die folgenden Punkte machen eine aktive Ansicht einzigartig der Filter der einer aktiven Ansicht zugewiesen ist das z Achsenattribut der Sicherheitsfilter der einem Benutzer zugewiesen wurde Sentinel Benutzerhandbuch Auf der Registerkarte Active Views k nnen Sie Aktive Ansichten neu konfigurieren Nachrichten ber Ereignisse per Email Einem Vorfall Ereignisse hinzuf gen versenden
87. 0 09 52 30 100 09 37 30 09 40 00 09 42 30 09 45 00 09 47 30 09 50 00 Time a a DestinationiP 2005 05 03 09 52 29 EDT 168 12 190 168 12 21 Program_execution_started 2005 05 03 09 52 29 EDT 206 158 21 6 190 168 12 21 Failed_login administrator 2005 05 03 09 52 29 EDT 208 152 25 22 190 168 12 24 WEB IIS asp_chunked 2005 05 03 09 52 29 EDT 208 152 25 22 190 168 12 24 HTTP_IIS_ASP_Header_Ov N 2005 05 03 09 52 29 EDT 208 152 25 22 190 168 12 24 Reject i I i 2005 05 03 09 52 29 EDT 208 152 25 22 190 168 12 24 Port_scan 2005 05 03 09 52 29 EDT 208 152 25 22 190 168 12 21 Port_scan 2005 05 03 09 52 29 EDT 189 168 10 22 189 168 10 23 ttempted_telnet ixj gt kai 950 of 19443 Update 2005 05 03 09 52 30 AM EDT received 50 of 196 Exploit Erkennung 12 2 Zum Anzeigen von Ereignissen die auf eine m gliche Ausnutzung hinweisen m ssen Sie ber Folgendes verf gen Advisor Feed Intrusion Detection Anf lligkeits Absuchvorg nge Severity Yulnerability 4P Attackld sp a b Wenn bei einem Ereignis das Feld f r die Anf lligkeit vul 1 entspricht wird der Bestand bzw das Zielger t ausgenutzt Wenn das Feld f r die Anf lligkeit 0 entspricht wird der Bestand bzw das Zielger t nicht ausgenutzt Wenn das Feld f r die Anf lligkeit leer ist ist die Exploit Erkennungsfunktion von Sentinel nicht aktiv Sentinel Benutzerhandbuch
88. 05 01 Show Details 2005 01 Email 2005 01 2005 01 Create Incident 2005 01 Add To Incident 2005 01 5005 01 view Trigger Events 2005 01 Investigate 2005 01 5005 01 Analysis 2005 01 i 5005 01 nslookup 2005 01 tracert 2005 01 is 3005 01 whois Verwalten der Spalten in einem Snapshot oder visuellen Navigatorfenster So k nnen Sie die Spalten in einem Snapshot oder visuellen Navigator ausw hlen und anordnen 1 Klicken Sie bei ge ffnetem Snapshot oder visuellen Navigatorfenster auf Aktive Ansicht gt Ereignisechtzeit gt Spalten verwalten oder klicken Sie auf die Schaltfl che Spalten verwalten der Echtzeitereignistabelle wM 2 Verwenden Sie die Schaltfl chen Hinzufiigen und Entfernen um die Spaltentitel zwischen der Liste Verf gbare Spalten und der Liste Spalten in dieser Reihenfolge anzeigen zu verschieben Mit Einf gen k nnen Sie einen verf gbaren Spalteneintrag an einer bestimmten Position einf gen Wenn beispielsweise in der folgenden Abbildung auf die Schaltfl che Einf gen geklickt wird wird AttackId vor DateTime eingef gt 3 24 Sentinel Benutzerhandbuch Available columns Show these columns in this order CorrelatedEventUuids CustomerYar1 Add CustomerYar10 Customer ar 100 Insert gt CustomerYar11 Remove CustomerYar12 CustomerYar13 CustomerYar14 CustomerYar15 Cuskoamerwari SubResource SensorName Verwend
89. 1 PUBLIC Scan_Events fiter e Devicelategory SCAN PUBLIC Severe_lnternal filter e SensorType l and e Severity gt 3 PUBLIC Iinternal_Events fitter e SensorType l Fitterkonfiguration verwalten Klonen L schen Details Private Filter Private Filter sind im Besitz des jeweiligen Benutzers Private Filter sind Anzeigefilter Sie k nnen diese Filter freigeben wenn Sie ber die Berechtigung zum Anzeigen privater Filter verf gen Globale Filter Globale Filter geh ren zur Klasse der ffentlichen Filter Globale Filter werden im Collector Manager f r jedes Ereignis sequenziell verarbeitet bis eine bereinstimmung gefunden wird Die Auswertung der globalen Filter wird f r dieses Ereignis gestoppt und die bereinstimmende globale Filteraktion wird f r dieses Ereignis verwendet Die Auswertung der globalen Filter erfolgt von oben nach unten wie in der Console dargestellt Sie k nnen nach Bedarf aktiviert oder deaktiviert werden Globale Filter bewirken Folgendes Sie aktivieren eine globale Aktion f r Ereignisse wie beispielsweise das Verwerfen von Ereignissen die Weiterleitung von Ereignissen ausschlie lich an die Datenbank oder die Weiterleitung von Ereignissen an die Datenbank und an das Sentinel Control Center Sie werden vom Collector Manager des Assistenten verarbeitet Sie werden auf der Registerkarte Admin
90. 192 168 0 9 WEB MISC Phorecast remot 6125 06 7 35 07 AM 10 0 04 192 168 0 10 6 2506 7 35 07 AM 10 0 20 7 192 168 0 4 Microsoft Exchange Server D 6 25 06 7 35 07 AM Threshold_exceeded 2418 of 2418 Update 6 25 06 7 50 00 AM Received 89 of 69 Displaying 69 Navigation im Sentinel Control Center 2 1 Starten des Sentinel Control Center Starten des Sentinel Control Center unter Windows Starten des Sentinel Control Center unter Windows 1 Klicken Sie auf Start gt Novell gt Sentinel Control Center oder klicken Sie auf dem Desktop auf das Sentinel Control Center Symbol 2 Geben Sie Ihren Benutzernamen und Ihr Passwort ein und klicken Sie auf OK Starten des Sentinel Control Center unter UNIX Starten des Sentinel Control Center unter UNIX 1 Wechseln Sie als Benutzer esecadm in das folgende Verzeichnis SESEC_HOME sentinel console 2 F hren Sie den folgenden Befehl aus run sh 3 Geben Sie Ihren Benutzernamen und Ihr Passwort ein und klicken Sie auf OK Men leiste Unterhalb der Titelleiste befinden sich zehn Men s Am oberen Rand des Fensters sind von links nach rechts die folgenden Men s angeordnet Datei Optionen Fenster Active Views Vorf lle ITRAC Advisor Collectors Admin und Hilfe Die Men s Datei Optionen Fenster und Hilfe sind
91. 30 EHQ 2 34351C EF34 1028 A1CA 00137213473A 2 5130 SH 2E34351C EF34 1028 41CB 001372134734 Q 5130 EHO 9F34EB78 EF32 1028 86FF 001372134734 H Q 5130 EHC C4B550AA EF27 1028 8369 001372134734 Q 5130 Registerkarte Collectors 8 3 ndern einer Collector Ansicht ndern einer Collector Ansicht 1 ffnen Sie den Collector Ansichts Manager Doppelklicken Sie auf einen der Namen Klicken Sie auf Optionen In diesem Fenster k nnen Sie auch Folgendes festlegen Felder Gruppieren nach Sortieren Filter Baumansicht Klicken Sie auf Anwenden und dann auf Speichern Nachfolgend sehen Sie eine Ansicht f r die Baumansicht auf Manager UUID eingestellt ist Taz LJ Collectors Health 5 J 2E34351C EF34 1028 41C7 0013721347 d demoasset jon a j1 938s ELJ 2E34351C EF34 1028 41C8 0013721347 demoevert jon a j1 8448s ELJ 2E34351C EF34 1028 41C9 0013721347 4 demovalun lon o 1 8108 ELJ 2E34351C EF34 1028 41CA 0013721 347 2 sendmultiplevents on ja h 781s ELJ 2E34351C EF34 1028 41CB 0013721 347 4 sendoneyent loft 0 j 594s Eet 9F34EB78 EF32 1028 86FF 0013721 3473 sam loft o 1 7038 Ea Beret Z Aktuatsieren 7 Optionen Aktualisiert am 06 07 06 18 11 54 Stoppen und Starten von Collectors sowie Anzeigen von
92. 9 2000 Nullsoft Inc Eastman Kodak Company 1992 Lucinda eine eingetragene Marke oder Marke von Bigelow and Holmes a Taligent Inc 2 IBM einige Teile verf gbar unter http oss software ibm com icu4j Weitere Informationen zu diesen Drittanbietertechnologien und den zugeh rigen Haftungssauschl ssen und Einschr nkungen finden Sie unter http java sun com j2se 1 4 2 j2se 1_4_2 thirdpartylicensereadme txt JavaBeans Activation Framework JAF Copyright Sun Microsystems Inc Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www java sun com products javabeans glasgow jaf html klicken Sie auf Download gt License JavaMail Copyright Sun Microsystems Inc Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www java sun com products javamail downloads index html klicken Sie auf Download gt License Java Ace von Douglas C Schmidt und seiner Forschungsgruppe an der Washington University und Tao mit ACE Wrappers von Douglas C Schmidt und seiner Forschungsgruppe an der Washington University University of California Irvine und Vanderbilt University Copyright 1993 2005 Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www cs wustl edu schmidt ACE copying html und http www cs wustl edu pjain java ace JACE copying html Java Authentication and Authorization Service Modules lizenzier
93. 92 168 0 6 04 23 A JC UNKNOWN UN devbox07 04 23 WN UNKNOWN UNKN 192 168 0 7 0 YWN UNKNOWN UN devbox0 ON NKNOWN UNKN G Back Next Cancel W hlen Sie die Zuordnungsdefinitionsdatei aus Klicken Sie auf Weiter HINWEIS Bei Zuordnungsdateien mit mehr als 500 Zeilen werden nicht alle Zeilen im SDM angezeigt Legen Sie im Fenster Neue Zuordnungsdefinition Folgendes fest Trennzeichen Pipe Komma Semikolon usw f r Daten in den Zeilen der Quelldatei mit Zuordnungsdaten Starten bei Reihe Hiermit legen Sie die Anzahl der Zeilen fest die vom Anfang der Quelldatei mit Zuordnungsdaten bersprungen werden sollen Spaltennamen Spaltentypen Zurzeit werden folgende Spaltentypen unterst tzt Zeichenkette Eine Zeichenkette ist eine Menge von Zeichen die von einem Computer als ein einzelnes Objekt verwendet wird Eine Zeichenkette kann aus einem einzelnen Buchstaben einem einzelnen Wort oder einer einzelnen Zahl bestehen Bei dem Wort FINANZEN oder der IP Adresse 192 168 2 40 kann es sich um eine Zeichenkette handeln Au erdem k nnen Zeichenketten aus einer Kombinantion von W rtern Leerzeichen und Zahlen bestehen Die Anschrift HEINRICH HEINE STR 133 kann eine Zeichenkette sein Sentinel Data Manager 10 9 10 10 Zahlenbereich Ein Zahlenbereich NumberRange ist ein Bereich von Zahlen Der Bereich 10 bis 200 beispielsweise w rde als 10 200 angegeben Zur V
94. DM_archive c SDM_archive HINWEIS Wenn Sie einen anderen Namen oder einen anderen Speicherort f r das Ausgabeverzeichnis w hlen m ssen Sie die Datei manage_data bat bearbeiten Sentinel Data Manager 10 43 2 F hren Sie diesen Befehl wie folgt aus sdm action archiveConfig dirPath lt Verzeichnispfad in den die archivierten Dateien geschrieben werden sollen gt keepDays lt Beibehaltungsdauer in Tagen gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Im folgenden Beispiel werden alle Daten die lter als 30 Tage sind im Verzeichnis e SDM_archive archiviert sdm action archiveConfig dirpath c SDM_archive keepDays 30 connectFile sdm connect Erstellen von Archivierungsparametern ber die GUI 1 Erstellen Sie im Stammverzeichnis ein Ausgabeverzeichnis f r das Archiv mit der Bezeichung SDM_archive c SDM_archive HINWEIS Wenn Sie einen anderen Namen oder einen anderen Speicherort f r das Ausgabeverzeichnis w hlen m ssen Sie die Datei manage_data bat bearbeiten 2 F r die SDM GUI sind keine Archivierungsparameter erforderlich Die GUI kann direkt Daten archivieren ohne dass Archivparameter erstellt werden m ssen L schen von Daten Verwerfen von Partitionen 10 44 Mit dieser Aktion deleteData werden die Daten aus der angegebenen Tabelle gel scht die lter sind als in keepDay
95. Days 13 fileSize 1GB connectFile sdm connect Im folgenden Beispiel werden alle Daten die lter als 13 Tage sind in Abschnitten gr er als 40 MB in das Verzeichnis tmp geschrieben sdm action archiveConfig dirPath tmp keepDays 13 fileSize 40MB connectFile sdm connect Archivieren von Daten F hren Sie diese Aktion archiveData aus nachdem Sie die Archivierung konfiguriert haben archiveConfig Mit dieser Aktion werden die Daten aus der angegebenen Tabelle entsprechend der Archivierungskonfiguration archiviert Daten werden aus den folgenden Tabellen archiviert Oracle a EVENTS a CORRELATED_EVENTS SOL Server a EVENTS a CORRELATED_EVENTS HINWEIS Aggregationstabellen werden nicht archiviert F r diesen Befehl werden folgende Flags verwendet action archiveData connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Sentinel Data Manager 10 35 Ausf hren von archiveData 1 F hren Sie diesen Befehl wie folgt aus sdm action archiveData connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Beispiel f r Oracle Im folgenden Beispiel werden Ereignisse deren benutzerdefinierte und reservierte Werte sowie korrelierte Ereignisse aus den Tabellen EVENTS EVT_RESERVED_VALUES EVT_CUSTOM_VALUES und ASSOCIATIONS entsprechend dem in der Archivierungskonfiguration archiveC
96. Ds enthalten SentinelTM 5 Installationshandbuch SentinelTM Benutzerhandbuch SentinelTM 5 Wizard Benutzerhandbuch SentinelTM 5 Referenzhandbuch f r Benutzer Sentinel M5 Handbuch f r Drittanbieter Integration Versionshinweise 1 26 Sentinel Benutzerhandbuch Kontaktaufnahme mit Novell Website http www novell com Technischer Support von Novell http www novell com support index html Internationaler technischer Support von Novell http support novell com phone html sourceidint suplnav4_phonesup Self Support http support novell com support_options html sourceidint suplnav_supportprog F r Support rund um die Uhr 1800 858 4000 Sentinel Einf hrung 1 27 1 28 Sentinel Benutzerhandbuch Navigation im Sentinel Control Center HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Das Sentinel Control Center setzt sich aus den folgenden Elementen zusammen Men leiste Symbolleiste Registerkarten Zudem werden in diesem Kapitel die folgenden Themen erl utert Starten des Sentinel Control Center ndern des Erscheinungsbilds des Sentinel Control Center Speichern von Benutzereinstellungen ndern des Sentinel Passworts N Novell Sentinel Control Center logged in as esecadm exi Fie Options Windows Active Views Incidents ITRAC Analysis Advisor Collectors Admin Help jDjaala Esel E Activ
97. E AAE E UEA SER ERA ERANA REE 12 3 Ee E oir te EE E E E E E EAE S 12 3 Bericntsanalyst 4 422 428 Ares EKARO RA AAE eR EAEE EAE SEEGER SESER ISE 12 5 Reg isterk rte Analyse tireda Ea ee A AOAR AAE REEE AEEA OEE EREE RSE 12 5 Ee NE le EE E A A A E A A E E E E 12 6 Administratoren 4er en Se EEE er SE SERENAN rReERT EEES ERSAT TAS 12 6 Gr ndlegende Korrelati n ss s 22er ana i a Ea aE aa aaa at 12 6 A Systemereignisse f r Sentinel 5 uusnnssnsnnnnnnnonnnnnnnnnnnnnnnnnnnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnn nenn A 1 Authentifizierungsereignisse 400440nnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn A 1 Fehler bei der Authentifizierung urs4ssrsssnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnn A 1 Kein solches Benutzerereignis vorhanden sssssssissssrrssrrrrssrirnssttnnssttnnnstinnnsrennnnntennnnnt A 1 Doppelte Benutzerobjekte ursns0onnnnnnnnnnnnnnnannnnnnannnnnnnannnnnnnannnnnnnnannnnnnnannnnnnnannn A 2 Gesperrtes KONlo inneics aa aa a a a aa aiia ui raias A 2 Ben tzersitzungen inian ns i aa Eaa T a i a Ea aN LA N A 2 Abgemeldeter Benutzer sssessssesssrresssrresrernesrrnnnstnnnestnnnnnntnanutnnannttnneetnnnnnntnnnennanenaunneenn nna A 2 Angemeldeter Benutzer nnsoumnnnsnnnnnnnnnnnnnnannennnnnannennnnannnnnnnannennnnannnnnnnnnennnnnnnnnnn A 3 Erkannter Benutzer seoiuns hursan a aa e a a a aV S A 3 Ereignis r a a Aa Aa a aa o a
98. EST 39 EST J9 EST 39 EST MET 39 EST Email Create Incident Add To Incident view Trigger Events Investigate gt Analysis gt nslookup tracert whois T El Base Severity DateTime EventName EventID SourcelD Resource Message E Reserved DestinationP 172 30 2 212 Wizard gent Internal SubResource EventBulkLoader SensorName DAS_Binary SensorType DestinationH simon_ger ReporterName simon_ger N PUBLIC High_Severity 06 07 06 20 02 36 Snapshot Eigenschaft 06 07 06 20 01 28 123 34 155 169 a SourcelP 5 06 07 06 20 01 26 EventinsertionFaile _ 06 07 06 20 01 26 06 07 06 20 01 26 06 07 06 20 01 26 06 07 06 20 01 26 06 07 06 20 01 26 12EB0AC9 EF35 1 06 07 06 20 01 26 028 8381 0013721 06 07 06 20 01 26 3473A 06 07 06 20 01 25 0866417A EF17 1 06 07 06 20 01 25 028 BF06 0013721 3473A 06 07 06 20 01 24 06 07 06 20 01 23 06 07 06 20 01 23 EvertSubsystem 06 07 06 20 01 23 06 07 06 20 01 20 06 07 06 20 01 20 06 07 06 20 01 20 06 07 06 20 01 20 Failed to insert 7 06 07 06 20 01 20 events to 06 07 06 20 01 20 DB Everts were 06 07 06 20 01 20 stored for later 06 07 06 20 01 20 insertion Check 06 07 06 20 01 20 the log files and the 06 07 06 20 01 20 database f
99. EST 2005 m 3 EventDestSummary jevents_20050110_1 Mon Jan 10 14 27 53 EST Mon Jan 10 14 43 12 EST 2005 m 4 EventDestSummary events_20050110_1 Mon Jan 10 14 48 25 EST Mon Jan 10 15 19 17 EST 2005 O 5 EventDestSummary events_20050110_1 Mon Jan 10 15 15 17 EST Mon Jan 10 23 44 00 EST 2005 mj 6 EventDestSummary events_20050110_1 Mon Jan 10 15 50 33 EST Mon Jan 10 16 20 33 EST 2005 O 7 EventDestSummary levents_20050110_1 Mon Jan 10 16 20 40 EST Mon Jan 10 16 50 40 EST 2005 m 8 EventDestSummary events_20050110_1 Mon Jan 10 16 46 31 EST Mon Jan 10 17 20 40 EST 2005 DO 9 EventDestSummary levents_20050110_1 Mon Jan 10 17 16 32 EST Mon Jan 10 17 50 40 EST 2005 O 10 EventDestSummary fevents_20050110_1 Mon Jan 10 17 46 42 EST Mon Jan 10 18 20 49 EST 2005 O 11 EventDestSummary fevents_20050110_1 Mon Jan 10 18 20 38 EST Mon Jan 10 18 50 40 EST 2005 m 12 EventDestSummary events_20050110_1 Mon Jan 10 18 50 40 EST Mon Jan 10 19 20 41 EST 2005 O 13 EventDestSummary events_20050110_1 Mon Jan 10 19 20 42 EST Mon Jan 10 19 50 43 EST 2005 O 14 EventDestSummary events_20050110_1 Mon Jan 10 19 50 44 EST Mon Jan 10 20 20 44 EST 2005 m 15 EventDestSummary jevents_20050110_1 Mon Jan 10 20 20 45 EST Mon Jan 10 20 50 46 EST 2005 O 16 EventDestSummary fevents_20050110_1 Mon Jan 10 20 50 47 EST Mon Jan 10 21 20 46 EST 2005 O 17 EventDestSummary lev
100. Email L schen eines Vorfalls ndern eines Vorfalls Hinzuf gen einer Vorfallsansicht n aisa eines Vorfalls Qoen Femke Hiu Eii Vertie TMEO itre Royi Cotia Aden Ezaa A Registerkarte Vorf lle 4 1 Beziehung zwischen Ereignissen und Vorf llen Ein Ereignis ist eine Aktion oder ein Vorgang die bzw der von einem Sicherheitsger t oder programm entdeckt wurde Ereignisse gelten als statuslos Ein Vorfall ist die Gruppierung von einem oder mehreren Ereignissen die als wichtig erachtet werden ein m glicher Angriff Vorf lle weisen Status auf die eine Antwort und Schlie ung erforderlich machen Anzeigen eines Vorfalls 4 2 Sie m ssen ber die Benutzerberechtigung zum Anzeigen von Vorf llen verf gen So zeigen Sie einen Vorfall an 1 Klicken Sie auf die Registerkarte Vorf lle 2 Klicken Sie auf Vorf lle gt Vorfallsansichts Manager anzeigen oder klicken Sie auf P die Schaltfl che Vorfallsansichts Manager anzeigen 3 Im Fenster Vorfallsansichts Manager stehen die folgenden Ansichten zur Auswahl Alle Vorf lle Nach Status gruppieren Nach Priorit t gruppieren Doppelklicken Sie auf den Namen einer Ansicht 4 Klicken Sie mit der rechten Maustaste und klicken Sie dann auf Erweitern um die Vorf lle anzuzeigen ann mm 1 u Date Created a openu L em N 2 Ready a Refresh 7 Options Refreshed At Mon May 09 08 30 24 EDT 2005 So legen Si
101. Engine wird angehalten 02240442400nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn A 14 Regelbereitstellung wurde gestartet 444r4444nHnnnnnnnnnnennnnnnnnennnnnnnennnnnnnennn ernennen A 14 Regelbereitstellung wurde beendet 44444snnnonnennnnnnnennnnnnnennnnnnnnnnnnnennennnnennn nenn A 14 Regelbereitstellung wurde ge ndett 4444444444Hnnnennnnnnnennnnennennnnnnnennnnennnnnnnnennn nn A 15 Wae IDO n e e e er re A Eee Keane A 15 Gesteuerter Prozess wurde gestartet ursnsssssennsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn en A 15 Gesteuerter Prozess wurde beendet 20u 24004nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn en A 15 Watchdog Prozess wurde gestartet uuersnnesennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnn nn A 16 Watchdog Prozess wurde beendet 4444srnnnnnnennnnnnnennnnnnnennnnnnnnnnnnnnnnennnnnnnennn nenn A 16 Collector Engine und Collector Manager 240s440snnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannn A 16 Starteines Porlsa ns 2 0 25 e3r aE aAA En a A e E Ea A 16 Beenden eines Porls 0 24022 a EEE EEEE EEEE ERTE EE EAN ESN A 16 Permanenter Prozess wurde beendet urs4snnnnnnnnnnennnnnnnnnnnnnennennnnnnnennnn ernennen A 17 Permanenter Prozess wurde neu gestartet uu 222sunnssnnnnnennnnnnnnnnnnennennnnnnnnnnnnnennn nn A 17 Even SOVICE EEEE A EEEE ETE IRE EEEE S A 17 Zyklisc
102. Festlegen einer Option en 5 11 iv Sentinel Benutzerhandbuch Klonen Benutzerkonten eeren 9 31 Men option f r die Men konfiguration 9 23 ffentlicher Filter uu 224444n Bene Heer 9 20 privater Fiter asirica enas 9 20 Kommunikationsschicht Beenden UNIX uuursssnnnen ernennen ernennen 11 6 Beenden Windows secre 11 5 Entfernen der Sperrdatei UNIX 11 4 Entfernen der Sperrdatei Windows 11 4 Starten UNIX 20u220unnnnennnnnnnnnennnnnnnnnn 11 5 Starten Windows 2urs nennen 11 5 Konfiguration von Partitionen 10 30 Konfigurieren Advisor Bericht ue znmeeneeneneenennnnen nennen 9 2 Analysenbericht usnrrenseenennnnerennenne nn 9 2 Konfigurieren der berschriften von Ereignisspalten een 10 22 Konfigurieren des Anlage Viewer 4 7 Korrelation 22404s00nnnnnnnnnnnennnnnnn 1 2 Korrelationsregel l schen en ae 9 9 Korrelationsregeln 44 nn 9 3 bereitstellen 2 eo 9 10 eXpOrtieren IEPEPEFFEITEREPEISPETRFEFSFERFEEFLLEFELTFELERSEERG 9 6 importieren 2240444nHnaRn en nnnnnennensnnnnnnnnn 9 6 Korrelationsregeln Fenster Bearbeitung 2 4244 44444HRHRHR HR Hn nenn 9 9 ONONE N a 9 8 Korrelationsregelordner EXPOrIErEN nnnennnnnnennsnnnnennnnnnnennnannennnnnnenn 9 9 Korrelationsregel Pr fung Siehe Rulelg Checker Korrelationsregelsat
103. File sdm connect Da das Flag backup nicht angegeben wurde wird im Rahmen des Standardvorgangs eine Sicherungskopie der urspr nglichen Zuordnung erstellt bevor die Aktualisierung mit der Zuordnungsdatei vuln_attack txt erfolgt Verwenden des von Novell bereitgestellten Skripts f r die automatische Verwaltung nur Windows Novell hat eine Stapeldatei entwickelt die so geplant werden kann dass viele der Verwaltungsvorg nge von SDM automatisch ausgef hrt werden k nnen HINWEIS Wenn Ihr Computer keinen Zugriff auf DAS_Binary und DAS_Query hat kann anstelle der SDM GUI die SDM Befehlszeile verwendet werden 10 42 Sentinel Benutzerhandbuch Dieses Verfahren kann nur unter Windows ausgef hrt werden Vergewissern Sie sich dass w hrend der Ausf hrung von Vorkonfiguration und Konfiguration folgende Aufgaben ausgef hrt werden Vergewissern Sie sich dass sdm connect entweder ber die SDM GUI oder ber die Befehlszeile initialisiert wird Vergewissern Sie sich dass das Archivverzeichnis existiert Vergewissern Sie sich dass die Tage f r achiveConfig und dropPartitions gleich sind Vergewissern Sie sich dass die Stapeldatei mindestens einmal ordnungsgem ber die Befehlszeilenaufforderung ausgef hrt wird bevor Sie die automatische Ausf hrung der Datei planen HINWEIS Wenn beim Ausf hren der geplanten Aufgabe ein Fehler auftritt wird eine Benachrichtigung ausgegeben Diese wird i
104. Io 7 4 whois gt Event Id Correlation rule Fo m size Bas 1B3E 955E 1027 9B6C 000874483C3C fere attempt_189_168_10_22 fo 00 2005 05 03 12 25 47 EDT 1005 05 03 12 25 45 EDT 189 168 10 22 189 168 10 23 Attemp 2005 05 03 12 25 43 EDT 189 168 10 22 189 168 10 23 Attempt ee 12 25 41 EDT 189 168 10 22 189 168 10 23 Attempt 2005 05 03 12 25 39 EDT 189 168 10 22 189 168 10 23 Attempt een 5 12 25 37 EDT 189 168 10 22 189 168 10 23 Attempt 2005 05 03 12 25 35 EDT 189 168 10 22 189 168 10 23 Attempt 12005 05 03 f 12 25 32 EDT 189 168 10 22 189 168 10 23 lAttemot Z gt K Search complete Count 85 12 8 Sentinel Benutzerhandbuch Doppelte Benutzerobjekte Wenn ein unerwartetes zweites aktives Benutzerobjekt vorhanden ist dies ist nicht zul ssig wird das folgende Ereignis generiert Dies ist ein interner Fehler Tag Wert Schweregrad 4 Ereignisname TooManyActiveUsers Ressource UserAuthentication Teilressource Authenticate Meldung Error in user table Multiple users with the name lt name gt found Fehler in Benutzertabelle Es wurden mehrere Benutzer mit dem Namen lt Name gt gefunden Gesperrtes Konto Beim Versuch einer Anmeldung mit einem gesperrten Benutzerkonto wird das folgende Ereignis generiert Tag Wert Schweregrad 4 Ereignisname LockedUser Ressource UserAuthentication Teilressource Authentication
105. LoggedOut UserLoggedIn UserLoggedIn MoveArchiveFileFailed InsertEventsFailed OpenArchiveFileFailed WriteArchiveFileFailed SummaryUpdateFailure InsertIntoOverflowPartition EventInsertionlsBlocked EventInsertionResumed EventRouterlsRunning EventRouterlnitializing EventRouterStopping EventRouterTerminating ErrorNoSuchMap LoadingMapFromCache IserAuthentication serAuthentication serSessionManager AS Name EveniSubSysiem DAS Name DAS Name EveniSubSysiem EveniSubSystem EveniSubSystem MappingService Misere Nn clc c 4 RefreshingMapFromServer MappingService TimeoutRefreshingMapData MappingService ErrorRefreshingMapData 4 MappingService ReferentialDataObjectMap Mapping LoadedLargeMap O MappingService ReferentialDataObjectMap Mapping LongTimeToLoadMap O MappingService ReferentialDataObjectMap Mapping TimedoutWaitingForCallback 2 MappingService ReferentialDataObjectMap Mapping ErrorApplyingIncrementalUpdate ReferentialDataObjectMap gt A 22 Ereignisname chweregrad Quelle 2 SubResurcee Komponente ReferentialDataObjectMap CorrelationEngine CorrelationEngine OutOfSyncDetected EngineRunning EngineStopped CorrelationEngine CorrelationEngine CorrelationEngine Deployment CorrelationEngine Deployment DeploymentStarted DeploymentStopped er DeploymentModified CorrelationEngine Depioyment ProcessStar WaichDog 1 7 f ProcessStop 5 WatchDo
106. Manager PortStop AgentManager AgentManager Z PersistentProcessDisd AgenManager AgentManager AgenManager AgentManager RealTimeSummaryService ChartManager Active Views PersistentProcessRestarted SortDependencies DbSpaceReachedTimeThrshld DbSpaceReachedPercentThrshld DbSpaceVeryLow RtChartCreated RtChartJoiningExistingData RtChartInactiveAndRemoved RtChartPermanentAndRemoved RtChartIsNowPermanent RtChartNotPermanent Sentinel Benutzerhandbuch 3D Balkendiagramm TOtleten a n nee een 3 8 3D Banddiagramm Otere Msi a 3 8 Abfrage Manager unnen 1 16 addPartitions 10 31 10 33 Advisor Aktualisierung ernennen 7 2 7 3 Aktualisierung Direktes Herunterladen vom temne rinnen 7 3 Aktualisierung Weitergeleitetes Herunterladen vom Internet 7 3 Advisor Bericht erstellen neh 7 1 URL konfigurieren seeen 9 2 Advisor Daten uesesssessssnensnsneeenenenn 3 16 Advisor Email 00222snseeneeeeeeeeeeenn 7 4 Advisor Feed uuussssnsseeneneeennennenneneneen 7 5 Advisor Passwort direktes Herunterladen 0s0u00000000 7 3 Agents Siehe Collector Aggregation eeen 10 23 Abfragen der Ereignisdateien f r eine Zusammenfassung neesnnnnerssnnnne nennen 10 27 Aktivieren von Zusammenfassungen 10 25 Anzeigen von Zusammenfassungsinformationen 10 25 Ausf hren von Ereignisdateie
107. Manager Start eines Ports Collector Manager sendet dieses Ereignis wenn ein Port gestartet wird Tag Wert Schweregrad 1 Ereignisname PortStart Ressource AgentManager Teilressource AgentManager Meldung Processing started for port_ lt port id gt Verarbeitung wurde f r Port lt Port ID gt gestartet Beenden eines Ports Collector Manager sendet dieses Ereignis wenn ein Port beendet wird Tag Wert Schweregrad 1 Ereignisname PortStop Ressource AgentManager Teilressource AgentManager Meldung Processing stopped for port_ lt port id gt Verarbeitung wurde f r Port lt Port ID gt beendet A 16 Sentinel Benutzerhandbuch Permanenter Prozess wurde beendet Die Collector Engine sendet dieses Ereignis wenn der Connector des permanenten Prozesses feststellt dass sein gesteuerter Prozess beendet wurde Tag Wert Schweregrad 5 Ereignisname PersistentProcessDied Ressource AgentManager Teilressource AgentManager Meldung Persistent Process on port lt port id gt has died Permanenter Prozess an Port lt Port ID gt wurde beendet Permanenter Prozess wurde neu gestartet Die Collector Engine sendet dieses Ereignis wenn der Connector des permanenten Prozesses den beendeten gesteuerten Prozess neu starten kann Tag Wert Schweregrad 1 Ereignisname PersistentProcessRestarted Ressource AgentManager Teilress
108. N E eier 9 28 Starten der Kommunikationsschicht 11 5 Starten der Kommunikationsschicht UNIX a aai A I A L OO RA 11 5 Tags Erneute Zuordnung seeren 10 19 FANTe go 13 110 PPE EEEE TT T 10 19 Umbenennen der berschriften von Ereignisspalten u 10 22 updateMapData nen 10 42 Verschieben Men option f r die Men konfiguration 9 24 Verwaltung der Archivierung 10 35 Verwerfen von Partitionen 10 33 Visueller Navigator Ereignisdetails 444444444He nenn nenne 3 9 Ereignisdetails ausblenden 3 10 l schen shi 3 26 schlie en ee 3 26 Spalten anordnen 2244 nennen 3 24 Vorfall andern seen 4 8 Anlagen anzeigen 4 6 Anlagen speichern 4 6 Ansichtsoption 4 gt 4 2 4 4 ANZEIGEN a 2 een 4 2 Beziehung zu Ereignissen un 4 2 eine Vorfallsansicht hinzuf gen 4 4 Ereignisse hinzuf gen eee 3 26 erstelle mi naea e ee 3 12 4 6 Konfigurieren des Anlage Viewer 4 7 Koe E E TTT 4 9 per Email senden 2uussr nennen nenn 4 8 Workflow l schen uusrzsssnnensnnnnneeenne nenn 4 9 Vorfallsnachricht per Emaila 2 nhen 3 11 Vorgang beenden yisi nna a aaia 5 11 st rlen cees aieiai iaeaea daient 5 11 VOrgange e a 1 13 Abfrage Manager eeeerrnn 1 16 Correlation Engine 1 15 DAS inno e a ne 1 15 data_synchronizer eerren 1 15 RuleLg
109. NWEIS Die Dateien advisor sh und advisor bat aktualisieren die Datenbank und l schen dann die Attacke und Warnungsdateien die in die Verzeichnisse attack und alert entpackt wurden ndern des Passworts und der Email Konfiguration Ihres Advisor Servers ndern des Passworts Ihres Advisor Servers Einzelplatzbetrieb Dieses Verfahren gilt nicht f r Einzelplatzbetrieb Konfigurationen ndern des Passworts Ihres Advisor Servers Direktes Herunterladen So ndern Sie das Passwort Ihres Advisor Servers Direktes Herunterladen 1 bermitteln Sie eine Passwort nderung an Novell Technical Support Registerkarte Advisor 7 3 2 Nachdem Sie von Novell ber die erfolgte Passwort nderung unterrichtet wurden melden Sie sich unter UNIX als esecadm bzw unter Windows mit Administratorrechten an 3 Wechseln Sie in das folgende Verzeichnis F r UNIX SESEC_HOME sentinel bin F r Windows ESEC_HOMES sentinel bin 4 Geben Sie die folgenden Befehle ein F r UNIX adv_change_passwd sh lt altespasswort gt lt neuespasswort gt F r Windows adv_change_passwd bat lt altespasswort gt lt neuespasswort gt ndern der Email Konfiguration Ihres Advisor Servers So ndern Sie die Email Konfiguration Ihres Advisor Servers 1 Melden Sie sich unter UNIX als esecadm bzw unter Windows mit Administratorrechten an 2 Wechseln Sie in das folgende Verzeichnis F r UNIX SESEC_H
110. Novell Sentinel www novell com Sn RR 7 Juli 2006 Band II SENTINEL Benutzerhandbuch Novell Rechtliche Hinweise Novell Inc bernimmt keine Gew hrleistung oder Haftung in Bezug auf den Inhalt und die Verwendung dieser Dokumentation und schlie t insbesondere jede ausdr ckliche oder stillschweigende Gew hrleistung bez glich der handels blichen Qualit t sowie der Eignung f r einen bestimmten Zweck aus Dar ber hinaus beh lt sich Novell Inc das Recht vor diese Ver ffentlichung ohne vorherige Ank ndigung zu berarbeiten und inhaltliche nderungen vorzunehmen ohne dass f r Novell die Verpflichtung entsteht Personen oder Organisationen ber die vorgenommenen nderungen zu informieren Novell Inc bernimmt ferner keine Gew hrleistung oder Haftung in Bezug auf Software und schlie t insbesondere jede ausdr ckliche oder stillschweigende Gew hrleistung bez glich der handels blichen Qualit t sowie der Eignung f r einen bestimmten Zweck aus Dar ber hinaus beh lt sich Novell Inc das Recht vor die Novell Software vollst ndig oder teilweise zu ndern ohne dass f r Novell die Verpflichtung entsteht Personen oder Organisationen ber die vorgenommenen nderungen zu informieren S mtliche Produkte und technischen Informationen die im Rahmen dieser Vereinbarung bereitgestellt werden unterliegen m glicherweise den US Exportbestimmungen und den Handelsgesetzen anderer L nder Hiermit erkl ren S
111. OME sentinel config F r Windows ESEC_HOME sentinel config 3 ffnen Sie die Dateien alertcontainer xml und alertcontainer xml mithilfe eines Texteditors Nehmen Sie Anderungen am grau markierten Bereich vor lt property name advisor mail from gt fromNAME domain com lt prope rty gt lt property name advisor mailto list gt toNAME domain com lt prope rty gt HINWEIS Wenn Sie mehr als eine Email Adresse angeben m chten geben Sie die Email Adressen durch Kommas getrennt ohne Leerschritte ein 7 4 _Sentinel Benutzerhandbuch ndern der Datenfeed Zeit Die standardm igen Datenfeed Zeiten sind Sechs Stunden 01 00 07 00 13 00 und 19 00 Uhr Zw lf Stunden 02 00 und 14 00 Uhr So ndern Sie die Datenfeed Zeiten 1 Melden Sie sich bei Ihrem Advisor Computer an unter UNIX als esecadm 2 So bearbeiten Sie die Datenfeed Zeiten F r UNIX Verwenden Sie den Befehl crontab F r Windows Verwenden Sie den Befehl at Registerkarte Advisor 7 5 7 6 _Sentinel Benutzerhandbuch Registerkarte Collectors HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Sie m ssen ber die entsprechende Berechtigung verf gen um die Registerkarte Collectors verwenden zu k nnen Auf der Registerkarte Collectors ist die Funktionalit t des Wizard nur eingeschr n
112. Ressource CorrelationEngine Meldung Teilressource Deployment deployment lt name gt started Bereitstellung lt Name gt wurde gestartet Regelbereitstellung wurde beendet Dieses Ereignis wird gesendet wenn eine Engine erfolgreich eine Regelbereitstellung entl dt Diese Meldung wird ungeachtet des Ausf hrungszustands der Engine gesendet A 14 Sentinel Benutzerhandbuch Tag Wert Schweregrad 1 Ereignisname DeploymentStopped Ressource CorrelationEngine Teilressource Deployment Meldung deployment lt name gt stopped Bereitstellung lt Name gt wurde beendet Regelbereitstellung wurde ge ndert Dieses Ereignis wird gesendet wenn eine Engine erfolgreich eine Regelbereitstellung neu l dt Diese Meldung wird ungeachtet des Ausf hrungszustands der Engine gesendet Tag Wert Schweregrad 1 Ereignisname DeploymentModified Ressource CorrelationEngine Teilressource Deployment Meldung Deployment lt name gt modified Bereitstellung lt Name gt wurde ge ndert WatchDog Gesteuerter Prozess wurde gestartet Watchdog wird als Service ausgef hrt Seine Hauptaufgabe besteht darin die Ausf hrung der Sentinel Prozesse zu gew hrleisten Beim Anhalten eines Prozesses wird dieser von Watchdog automatisch neu gestartet Dieses Ereignis wird gesendet wenn ein Prozess gestartet wird Tag Wert Schweregrad 1 Ereignisname ProcessSt
113. Schaltfl chen verf gbar BE Diagramm sperren Diagrammsperre aufheben Wird beim Durchf hren eines Drilldown beim Vergr ern und Verkleinern des Diagramms beim Vergr ern einer Auswahl und beim Speichern eines Diagramms als HTML Datei verwendet Vergr ern Vergr ert das Diagramm ohne die Zeiteinstellungen des Diagramms zu ver ndern Verkleinern Verkleinert das Diagramm ohne die Zeiteinstellungen des Diagramms zu ver ndern Auswahl vergr ern Vergr ert eine Auswahl von Zeitintervallen mit Ereignissen Speichert die Navigatordetails als HTML Datei mit dem Diagramm als Bild und den Ereignissen im Tabellenformat So setzen Sie die Parameter den Diagrammtyp oder die Ereignistabelle einer aktiven Ansicht zur ck Beim Anzeigen einer aktiven Ansicht k nnen Sie die Diagrammparameter zur cksetzen und den Diagrammtyp ndern Wenn interessante Ereignisse vorhanden sind k nnen Sie zudem andere Ereignisse herausfiltern anstatt eine neue aktive Ansicht und einen neuen Filter zu erstellen So setzen Sie die Parameter den Diagrammtyp oder die Ereignistabelle einer aktiven Ansicht zur ck 1 Klicken Sie mit der rechten Maustaste auf eine aktive Ansicht in der ein Diagramm angezeigt wird und w hlen Sie Eigenschaften 3 6 Sentinel Benutzerhandbuch a a Drill Down to Event Active Views Properties x Chart Types Retine Event Table Time Intervals Stacked Bar 2D Chart Disp
114. Schnittstelle zu Produkten von Drittanbietern und standardisiert die Daten dieser Produkte Die standardisierten Daten werden dann an die Sentinel Prozesse und Datenbank gesendet Sentinel Einf hrung 1 3 Mithilfe der in Sentinel integrierten Berichts Engine k nnen Verlaufsanalysen und berichte erstellt werden Die Berichts Engine extrahiert Daten von der Datenbank und integriert die Berichtsanzeigen mit HTML Dokumenten ber eine HTTP Verbindung in Sentinel Control Center Ereignisse von Sicherheitsger ten Z B IDS Firewalls Router Webserver Datenbanken Switches Mainframe Virenschutz c 3 A c Wizard Collector Manager Sentinel Advisor Sammeln Normalisieren gt Echtzeitanalyse gt Berichterstellung Zu den Sentinel Funktionen geh ren Verarbeitung von Ereignissen in Echtzeit die vom Wizard Collector Manager empfangen werden eine intuitive flexible und regelbasierte Korrelationssprache auf hohe Leistung ausgelegte Regeln eine skalierbare verteilbare und erweiterbare Multi Thread Architektur Die Sentinel Vorg nge verwenden f r die Kommunikation eine Message Oriented Middleware MOM meldungsbasierte Middleware iISCALE Plattform Die iSCALETM Architektur von Sentinel baut auf einer standardbasierten serviceorientierten Archi
115. Service die die PTP Remote Objektkommunikation erm glicht Service berwachung und statistiken Hier werden Leistungs und Auslastungsstatistiken hinsichtlich dieser Remote Services bereitgestellt Sentinel Benutzerhandbuch Data Access Service Data Access Service DAS ist ein Objektverwaltungsservice der Benutzern die Definition von Objekten ber Metadaten erm glicht DAS verwaltet das Objekt sowie den Zugriff auf Objekte und automatisiert bertragungs und Permanenzaspekte DAS dient zudem als Schnittstelle f r den Zugriff auf Daten von einem beliebigen permanenten Datenspeicher aus etwa Datenbanken Verzeichnisservices oder dateien Zu den DAS Vorg ngen z hlen einheitlicher Datenzugriff ber JDBC Java Database Connectivity sowie optional Hochleistungs Ereigniseinf gestrategien mithilfe nativer systemeigener Connectors also OCI Oracle Call Interfache f r Oracle 9i und ADO Active Data Object f r Microsoft SQL Server Abfrage Manager Service Der Abfrage Manager Service sorgt f r die Anzeige von Details sowie die Verarbeitung von Anfragen zum Ereignisverlauf von Sentinel Control Center Dieser Service ist eine essenzielle Komponente f r die Implementierung des Paging Algorithmus der in der Funktion zum Durchsuchen des Ereignisverlaufs zum Einsatz kommt Er wandelt benutzerdefinierte Filter in g ltige Kriterien um und f gt Sicherheitsdaten an bevor Ereignisse abgerufen werden Von diesem Service wird zudem sicherg
116. Tag Numerisch Der Inhalt des in der Dropdown Liste auf der linken Seite ausgew hlten META Tag ist kleiner als oder gleich dem Inhalt des auf der rechten Seite des Ausdrucks ausgew hlten META Tag gt META Tag Numerisch Der Inhalt des in der Dropdown Liste auf der linken Seite ausgew hlten META Tag ist gr er als oder gleich dem Inhalt des auf der rechten Seite des Ausdrucks ausgew hlten META Tag regex Numerisch Verwendet einen Punkt und ein Sternchen mit der Zeichenkette Zeichenkette f r den Wert subnet Numerisch Eine match subnet Operation ergibt eine Zeichenkette bereinstimmung wenn sich die verglichene IP Adresse in jenem Teilnetz befindet das in der match subnet Operation angegeben ist Registerkarte Admin 9 7 ffnen des Fensters Korrelationsregeln Das Fenster Korrelationsregeln bietet Ihnen folgende Optionen Neuer Ordner Dient zum Erstellen eines neuen Regelordners Neue Regel Dient zum Erstellen einer Regel f r einen Regelordner Regelordner kopieren Erm glicht Ihnen das ndern von kopierten Regelordnern oder Regeln w hrend der Speicherung des urspr nglichen Regelordners oder der urspr nglichen Regel Regelordner oder Regel l schen Gel schte Regelordner oder Regeln k nnen nach Best tigung des L schvorgangs nicht wiederhergestellt werden Umbenennen Dient zum Umbenennen einer Regel oder eines Regelordners Regelordner importiere
117. Tage sind Dabei wird sichergestellt dass alle verworfenen Partitionen archiviert wurden Nach Abschluss des Vorgangs werden alle Partitionen aufgelistet die nicht gel scht wurden weil sie nicht zuvor archiviert wurden sdm action deleteData keepDays 13 connectFil sdm connect Importverwaltung Auflisten der zu importierenden Dateien Mit dieser Aktion filesTolmport werden die Dateien aufgelistet die zum Importieren der Daten aus dem angegebenen Zeitraum aus den folgenden unterst tzten Tabellen erforderlich sind Oracle HIST_EVENTS HIST_CORRELATED_EVENTS SOL Server HIST_EVENTS Sentinel Data Manager 10 37 10 38 a HIST_CORRELATED_EVENTS F r diesen Befehl werden folgende Flags verwendet action filesTolmport startDate lt MM TT JJJJ hh24 min ss gt endDate lt MM TT JJJJ hh24 min ss gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt HINWEIS hh24 sind die im 24 Stunden Format dargestellten Stunden 1 15 00 p m steht beispielsweise f r 13 15 00 und 3 00 00 a m stellt 03 00 00 dar Ausf hren von filesTolmport 1 F hren Sie diesen Befehl wie folgt aus sdm action filesToIlmport startDate lt MM TT JJJJ hh24 min ss gt endDate lt MM TT JJJJ hh24 min ss gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Im folgenden Beispiel werden alle Dateien mit Daten aus dem Zeitraum z
118. Typen von Datenquellen Extern Ein Collector f llt diesen Wert in die Ereigniskennung Verweis von Zuordnung Daten werden aus einer Zuordnung abgerufen und die Kennung wird gef llt Data Source eSecTaxonomyLevel4 Reservedvar5s4 i lt Referenced from Map Map Name Asset 7 n Assetiame v Key Configuration Map Key AN O Event Tag sourceiP 2 Physical ssetName E e Source ssethlame ee SourceNetworkIdentity Source ssetlategory SourceEnvironmentldentity Source ssetValue SourcecCriticality SourceSensitivity In der oben stehenden Abbildung wird die SourceAssetName Kennung aus der Zuordnung Asset gef llt deren Quelldatei mit Zuordnungsdaten asset csv ist Der spezifische Wert f r SourceAssetName wird aus der Spalte AssetName der Zuordnung Asset bernommen Die Spalte PhysicalAssetName ist als Schl ssel festgelegt Wenn die SourcelP Kennung des Ereignisses einen der Quell IP Werte in der Spalte PhysicalAssetName der Zuordnung findet bildet die Zeile mit dem entsprechenden Schl ssel eine Schnittmenge mit der Spalte AssetName Im unten stehenden Beispiel ist IP 198 168 1 100 eine Entsprechung zu AssetName Finance35 HINWEIS Wenn eine Spalte als Schl ssel festgelegt ist wird sie nicht im Dropdown Feld Spalte aufgelistet Sentinel Benutzerhandbuch 25 166 e Sie k nnen
119. Workflow Server aufweisen Mit einer ITRAC Vorgangsinstanz kann stets nur ein Vorfall verkn pft sein Registerkarte TRACTY 5 5 Instanziieren eines Vorgangs Ein iTRAC Vorgang kann durch Verkn pfen eines Vorfalls mit einem iTRAC Vorgang auf dem iTRAC Server instanziiert werden Dies ist auf drei verschiedene Weisen m glich Verkn pfung eines ITRAC Vorgangs mit einem Vorfall zum Zeitpunkt der Vorfallerstellung Verkn pfung eines ITRAC Vorgangs mit einem Vorfall nach der Vorfallerstellung Verkn pfung eines ITRAC Vorgangs mit einem Vorfall durch Korrelation Detaillierte Informationen zum Verkn pfen eines Vorgangs mit einem Vorfall finden Sie im Kapitel ber die Registerkarte Vorf lle Ausf hrung automatischer Aktivit ten Wenn die Vorgangsinstanz eine automatische Aktivit t ausf hrt wird die in der Schablone definierte verkn pfte Aktivit t ausgef hrt Die verkn pfte Aktivit t ist eine Aktivit t die unter Verwendung des Aktivit ts Framework erstellt wurde Der iTRAC Server f hrt die Aktivit t aus speichert das Ergebnis in Vorgangsvariablen und geht dann zur n chsten Aktivit t in der ITRAC Schablone ber Die Aktivit t aus dem Aktivit ts Framework kann beispielsweise darin bestehen ein Ping an einen Server zu senden und die Ergebnisse dem verkn pften Vorfall beizuf gen Ausf hrung manueller Aktivit ten Wenn der iTRAC Server auf eine manuelle Aktivit t trifft sendet er Benachrichtigungen i
120. Zusammenfassungen Anzeigen von Attributen f r die einzelnen Zusammenfassungen Bestimmen der G ltigkeit einer Zusammenfassung f r einen Zeitrahmen Abfragen der Ereignisdateien die ausgef hrt werden m ssen damit die Zusammenfassung vollst ndig ist Bei den folgenden Zusammenfassungen handelt es sich um Zusammenfassungen die bereits im System definiert sind Dabei werden der Name der Zusammenfassung der Name der Datenbanktabelle und die zugeh rigen Attribute mit einer kurzen Beschreibung zur Zusammenfassung aufgelistet Name der Zusammenfassung Tabelle Beschreibung EventSrcSummary EVT_SRC_SMRY_I In dieser Zusammenfassung werden die Ereignisanzahl nach Quell IP Quellbestandsinformationen Quellport Quellbenutzer Taxonomie Ereignisname Ressource Collector Protokoll Schweregrad und Ereigniszeit EventDestSummary EVT_DEST_SMRY_I1 In dieser Zusammenfassung wird die Ereignisanzahl nach Ziel IP Zielbestandsinformationen Zielport Zielbenutzer Taxonomie Ereignisname Ressource Collector Protokoll Schweregrad und Ereigniszeit pro Stunde zusammengefasst EventSevDestIxnmySummary EVT_DEST_TXNMY_SMRY_I In dieser Zusammenfassung wird die Ereignisanzahl nach Ziel IP Zielbestandsinformationen Taxonomie Schweregrad und Ereigniszeit pro Stunde 10 24 Sentinel Benutzerhandbuch Name der Zusammenfassung Tabelle Beschreibung EventSevDestEvtSummary EVT_DEST_EVT_NAME_SMRY_I nach Ziel IP Zieler
121. aa aena aaan aAa aana anaa aSa aiant 9 3 Regelordner ung Regola deeree EEEE EEEa SRE EEEE AnA eR AEE ARNS 9 3 Korrelati nsregeltypen u su eKA SEERA EERE SESTU ENN anA REN ERER ESEAS 9 4 Correlation Engine Regelbereitstellung us440s4440nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 9 6 Importieren und Exportieren von Korrelationsregeln surnnnnnnnnnnnnnnnnnnnnnnnnn nn 9 6 Funktion der Datenbank beim Speichern von Korrelationsregeln eenn 9 6 Logische Bedingungen f r Korrelationsregeln nu 9 7 Offnen des Fensters Korrelationsregeln ssesesssessiessiessrssrssrssrissrinsrintrnnsrnnnrnnnsnnsenn nt 9 8 Kopieren und Erstellen eines Regelordners oder einer Regel 0nreennnnn 9 8 L schen eines Korrelationsregelordners oder einer Regel u 2urnnnnnnnnnnnnnnnnnnnnen 9 9 Importieren oder Exportieren eines Korrelationsregelordners 2224444444444444n nennen nenn 9 9 Bearbeitung im Fenster Korrelationsregeln uurnsennnnnnnennnnnnnennnnnnn ernennen ennn nn 9 9 Aktivieren oder Deaktivieren einer Correlation Engine 40rsn0usnnnennennnennnnnnnnnnnnnnn 9 10 Bereitstellen von Korrelationsregeln 40srsn4snnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 9 10 SCIi neia e E N SPERRIRDL SEE ARE REN HERERLERRLEPEERLELTEEERISHRRLELENTEREEREREFTELEL PERTEEFSOEELEERTLEIEREE 9 11 berwachen eines Vorgangs
122. adiusDO1 Trans204 E A S rn B Registerkarte Active Views 3 15 Untersuchen Ereignisabfrage Diese Funktion erm glicht Ihnen das Abfragen von Ereignissen der letzten Stunde So f hren Sie eine Ereignisabfrage mithilfe der Funktion Untersuchen durch 1 Klicken Sie in einem visuellen Navigator oder in einem Snapshot Fenster mit der rechten Maustaste auf ein Ereignis dann auf Untersuchen und schlie lich auf eine der drei unten genannten Optionen Option Funktion Wie lauten die Zielobjekte dieses Ereignisses Ziel IP Adresse Ereignisname Analyse Anzeigen von Advisor Daten Advisor bietet einen Querverweis zwischen Echtzeit IDS Angriffssignaturen und der Advisor Knowledge Base f r Anf lligkeiten Der Advisor Feed verf gt ber einen Warnungs und Angriffs Feed Der Warnungs Feed enth lt Informationen zu Anf lligkeiten und Viren Der Angriffs Feed listet die mit den Anf lligkeiten verkn pften Exploits auf 3 16 Die unterst tzten Intrusion Detection Systeme sind Cisco Secure IDS Enterasys Dragon Host Sensor Enterasys Dragon Network Sensor ISS BlackICE PC Protection ISS RealSecure Desktop ISS RealSecure Network FINGER Cfinger Search Probe SMTP SmartServer3 MAIL FROM Buffer Overflow HTTP Dragon Fire IDS Web Interface Remote Execution FTP MKDIR DOS hp printer flood So zeigen Sie Advisor Daten an 1 ISS RealSecure Server Sensor ISS Rea
123. ae Eaa a A a a N A 4 Fehler beim Verschieben von abgeschlossener Datei uunsennnnnnnennennnnennnnnnnnen A 4 Fehler beim Einf gen von Ereignissen unten einesfehetiniig A 4 Fehler beim Offnen von Archivdatei r n0usrs0unnneennnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnn A 4 Fehler beim Schreiben in Atehivdalei na etns n A 5 Schreiben auf die Uberlaufpartition P_MAX ssseseeeeseesrssresrssrssriesrrsssrnssrnssrnssrnssrnn A 5 Einf gen von Ereignissen ist gespertt nnerssensssennnnnnennnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnnnnnnn nen A 5 Einf gen von Ereignissen wird fortgesetzt ssersnsennnennnnnnennnnnnnnnnnnnnnnnnnnnn nennen A 6 Speicherplatz der Datenbank hat angegebenen Zeitschwellenwert erreicht A 6 Speicherplatz der Datenbank hat angegebenen prozentualen Schwellenwert erreicht A 6 Sehr wenig Datenbankspeicher 244444044n400nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenn A 7 Aoo ga ionen 2 nenn rin a A N A 7 Fehler beim Einf gen von Zusammenfassungsdaten in die Datenbank A 7 ZU rdNUNGSSEIVICE aetra an nr E a a E A A N EN A 8 Fehler beim Initialisieren von Zuordnung mit ID ssssssssssssssrssssrrssrirrssrsrnnssnnnstennnntnnnnsennn A 8 Aktualisieren von Zuordnung aus Cache ssssssseeeseesseresrnssrnsstrnetrnssrnsstnsrnstnssrnnsrnnsnnnnnn A 8 Aktualisieren von Zuordnung von Server nnensseennsnnnnsn
124. ai 9 31 erstellen 9 29 Klonen 2 rer 9 31 023101 41 10 FPOREEERERSTEETEEERETTTSTEFEERROERTERERTEEFERRTD 9 31 Benutzer Manager Fenster 0 110 er rar e e a a 9 29 Benutzersitzung bEENdEN eo eea east 9 32 Beobachtungsliste DEMIN Apra e a e a 9 4 Bereitstellen Korrelationsregeln eeeeceeereeeee 9 10 Bestandsdaten eeeeeeeeeeeneeern 3 18 Collector Details anzeigen 8 4 Sire atel a MSO A E E E E EE 8 4 STOPPE n tei eaa een 8 4 berwachen u00244224444000nn nennen 8 1 Collector Manager Beenden UNIX unnznnsnerssnenensennnnen ernennen 11 2 Beenden Windows s e 11 2 neu st rten 2 a lea 8 1 Neustarten UNIX eeen 11 1 ii Sentinel Benutzerhandbuch Starten UNIX 22uunssunsnensnnennnnensnnnnn 11 1 Starten Windows 2urs4n nennen 11 2 Collector Ansicht Anden unsern een 8 4 erstellen sie 8 3 Container Neustarten UNIX seeen 11 6 Neustarten Windows seee 11 6 Correlation Engine ee 1 15 9 6 starten Babel 9 10 SIOPPEN un ra a as 9 10 correlation_engine unnn 1 15 Crystal Report ausf hren ei sh 6 2 Top 10 Berichte umsersenennnennnnenennenen nn 6 1 DASEIN ERITREA ABS 1 15 Data Access Service Siehe DAS data_synchronizer eseese 1 15 Datenbank Speicherplatzauslastung 10 41 Datenbankverwaltung addPartition oseere 10 31 Aggregation eeeznnnneessnnnnnennnnnen nennen
125. anager 1 Klicken Sie auf Start gt Einstellungen gt Systemsteuerung 2 Doppelklicken Sie auf Verwaltung 3 Doppelklicken Sie auf Dienste 4 Klicken Sie mit der rechten Maustaste auf Collector Manager und klicken Sie anschlie end auf Starten Beenden des Windows Collector Manager Beenden des Windows Collector Manager Klicken Sie auf Start gt Einstellungen gt Systemsteuerung Doppelklicken Sie auf Verwaltung Doppelklicken Sie auf Dienste a ne Klicken Sie mit der rechten Maustaste auf Collector Manager und klicken Sie anschlie end auf Beenden Starten des Sentinel Server f r Windows Starten des Windows Sentinel Server 1 Klicken Sie auf Start gt Einstellungen gt Systemsteuerung 2 Doppelklicken Sie auf Verwaltung 3 Doppelklicken Sie auf Dienste 4 Markieren Sie im Fenster Dienste den Dienst Sentinel 11 2 Sentinel Benutzerhandbuch 5 Klicken Sie mit der rechten Maustaste und w hlen Sie Starten aus oder klicken Sie auf der Symbolleiste auf die Schaltfl che zum Starten Beenden des Sentinel Server f r Windows Beenden des Windows Sentinel Server Klicken Sie auf Start gt Einstellungen gt Systemsteuerung Doppelklicken Sie auf Verwaltung Doppelklicken Sie auf Dienste Markieren Sie im Fenster Dienste den Dienst Sentinel A a SEN Klicken Sie mit der rechten Maustaste und w hlen Sie Beenden aus oder klicken Sie auf der Symbolleiste auf die Schaltfl che zum Beenden St
126. anent Ressource RealTimeSummaryService Teilressource ChartManager Meldung Active View with filter lt filter gt and attribute lt attribute gt for users with security filter lt security filter gt is now permanent Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt ist nun permanent Active View ist nicht mehr permanent DAS_Binary sendet dieses Ereignis wenn festgestellt wird dass eine zuvor permanente Active View nicht mehr als permanent festgelegt ist Eine solche berpr fung wird regelm ig ausgef hrt daher kann dieses Ereignis wenige Minuten nach dem Entfernen einer Active View aus den Einstellungen generiert werden Tag Wert Schweregrad 1 Ereignisname RtChartNotPermanent Ressource RealTimeSummaryService Teilressource ChartManager Meldung Active View with filter lt filter gt and attribute lt attribute gt for users with security filter lt security filter gt is no longer permanent Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt ist nicht mehr permanent A 20 Sentinel Benutzerhandbuch Zusammenfassung Ereignisname AuthenticationFailed NoSuchUser TooManyActiveUsers LockedUser UserLoggedOut UserLoggedIn UserLoggedIn MoveArchiveFileFailed InsertEventsFailed OpenArchiveFileFailed WriteArchiveFileFailed Summa
127. anmelden Bei der Installation von MS SQL in einem Modus in dem nur die Windows Authentifizierung zul ssig ist m ssen Sie sich mithilfe der Windows Authentifizierung anmelden Wenn Sie sich f r die Verwendung der Windows Authentifizierung entscheiden werden Sie bei der MS Datenbank als der Benutzer authentifiziert der zurzeit bei Windows angemeldet ist d h Einzelanmeldung Sentinel Benutzerhandbuch F r Oracle Server Oracle v Database Host Port ESEC my _database fis21 Username Password esecdba IV Save connection settings Conneck F r Windows 5 Connect to Database x Server Imssau 7 Database Host Port ESEC my_database i433 C Use Windows Authentication Use SQL Server Authentication Username Password esecdba IV Save connection settings Connect HINWEIS Wenn Sie Ihre Verbindungseinstellungen speichern werden diese in der lokalen Datei sdm connect gespeichert Wenn Sie die GUI das n chste Mal starten werden die Verbindungseinstellungen aus der Datei sdm connect neu gef llt Diese Datei kann beim Ausf hren des SDM von der Befehlszeile verwendet werden 7 Klicken Sie auf Verbinden Sentinel Data Manager 10 3 Partitionen 10 4 Mithilfe der Registerkarte Partitionen im SDM k nnen Benutzer Datenbankpartitionen anzeigen und verwalten So zeigen Sie Partitionen in der GUI an 1 Klicken Sie auf die Registerkarte Partitionen 2 W hlen Sie
128. art Ressource WatchDog Teilressource Process Meldung Process lt ProgramName gt spawned lt pid gt Prozess lt Programmname gt wurde erzeugt lt PID gt Gesteuerter Prozess wurde beendet Dieses Ereignis wird gesendet wenn ein Prozess beendet wird Der Schweregrad ist auf 5 festgelegt wenn f r den Prozess eine Neugenerierung festgelegt ist d h wenn er nicht beendet werden darf Der Schweregrad ist auf 1 festgelegt wenn f r den Prozess eine einmalige Ausf hrung festgelegt ist Tag Wert Schweregrad 1 5 Ereignisname ProcessStop Ressource WatchDog Teilressource Process Meldung Process lt ProgramName gt exited with code lt exit_code gt Prozess lt Programmname gt wurde beendet mit Code lt Exit_Code gt Systemereignisse f r Sentinel5 A 15 Watchdog Prozess wurde gestartet Beim Starten des Watchdog Prozesses wird das folgende interne Ereignis generiert Tag Wert Schweregrad 1 Ereignisname ProcessStart Ressource WatchDog Teilressource WatchDog Meldung WatchDog Service Starting WatchDog Service wird gestartet Watchdog Prozess wurde beendet Beim Beenden des Watchdog Prozesses wird das folgende interne Ereignis generiert Tag Wert Schweregrad 5 Ereignisname ProcessStop Ressource WatchDog Teilressource WatchDog Meldung WatchDog Service Ended WatchDog Service wurde beendet Collector Engine und Collector
129. arten des Sentinel Communication Server f r Windows Starten des Windows Sentinel Communication Server 1 Klicken Sie auf Start gt Einstellungen gt Systemsteuerung 2 Doppelklicken Sie auf Verwaltung 3 Doppelklicken Sie auf Dienste 4 Markieren Sie im Fenster Dienste den Dienst Sentinel Communication 5 Klicken Sie mit der rechten Maustaste und w hlen Sie Starten aus oder klicken Sie auf der Symbolleiste auf die Schaltfl che zum Starten Beenden des Sentinel Communication Server f r Windows Beenden des Windows Sentinel Communication Server Klicken Sie auf Start gt Einstellungen gt Systemsteuerung Doppelklicken Sie auf Verwaltung Doppelklicken Sie auf Dienste Markieren Sie im Fenster Dienste den Dienst Sentinel Communication a O S E Klicken Sie mit der rechten Maustaste und w hlen Sie Beenden aus oder klicken Sie auf der Symbolleiste auf die Schaltfl che zum Beenden Sentinel Skriptdateien Je nach der Konfiguration der Installation kann das Verzeichnis ESEC_HOME sentinel scripts bzw WESEC_HOME sentinel scripts einige oder alle der folgenden Skriptdateien enthalten Skriptdatei Beschreibung remove_sonic_lock bat Dieses Skript entfernt die Kommunikationsserver Sperrdatei en start_broker bat Diese Skripts starten den Kommunikationsserver in der start broker sh Befehlszeile im Konsolenmodus stop_broker bat Diese Skripts beenden den Kommunikationsserver in der sto
130. ation IP Pairs Weekly Report Description This report summarizes the Top 10 Pairs of Source IP Addresses and Destination IP Addresses for the last full week from all sensors i e event sources monitored by e Security Agents Source IP Destination IP Number of Occurences 206 158 21 6 89 168 10 22 4 174 206 158 23 8 192 168 11 23 2 880 208 152 25 22 90 168 12 21 1 154 10 0 20 5 92 168 0 1 1 152 10 0 20 7 192 168 0 4 579 10 0 20 4 92 168 0 7 577 207 25 71 204 207 25 71 204 576 199 168 10 25 199 168 11 22 576 199 168 10 22 99 168 10 22 576 190 168 12 21 90 168 12 21 576 Schnellstart 12 5 5 Sie k nnen diese Datei als Word PDF RTF oder Excel Datei oder als Crystal Report exportieren indem Sie auf Exportieren Umschlag klicken Crystal Report rpt Crystal Report rpt Microsoft Excel 7 0 xis Microsoft Word doc Rich Text Format rtf Portable Document Format pdf Ereignisabfrage hnlich wie ein Sicherheitsanalyst k nnen Sie auf der Registerkarte Analyse eine Ereignisabfrage durchf hren wenn Ihre Berichte ein oder mehrere Ereignisse von Interesse enthalten Zum Ausf hren einer Abfrage markieren Sie Verlaufsereignisse gt Alte Ereignisabfragen und klicken Sie dann auf Berichte erstellen Lupensymbol Weitere Informationen finden Sie unter Sicherheitsanalysten Beispielszenario f r Ereignisabfrage Administratoren Grundlegende Korrelation 12 6 Unter Korrelation versteht man den Vorgang
131. aximalen Gr e von lt n gt MB und der prozentuale Schwellenwert von lt n gt wurde erreicht Sehr wenig Datenbankspeicher Wenn nach einer vor bergehenden Unterbrechung mit dem Einf gen von Ereignissen fortgefahren wird wird das folgende Ereignis gesendet Tag Wert Schweregrad 5 Ereignisname DbSpaceVeryLow Ressource Database Teilressource Database Meldung Tablespace lt string gt has current size of lt num gt MB and has reached the physical threshold of lt num gt MB Tabellenbereich lt Zeichenkette gt hat zurzeit eine Gr e von lt n gt MB und den physischen Schwellenwert von lt n gt MB erreicht Aggregation Fehler beim Einf gen von Zusammenfassungsdaten in die Datenbank Bei einem Fehler w hrend des Schreibens von Aggregationsdaten in die Datenbank wird das folgende interne Ereignis generiert Tag Wert Schweregrad 4 Ereignisname SummaryUpdateFailure Ressource Aggregation Teilressource Summary Meldung Error saving summary batch to the database for summary lt summaryName gt Fehler beim Speichern des Zusammenfassungsstapels in der Datenbank f r Zusammenfassung lt Zusammenfassung gt Systemereignisse f r Sentinel5 A 7 Zuordnungsservice Fehler beim Initialisieren von Zuordnung mit ID Dieses interne Ereignis wird Client seitig vom Zuordnungsservice generiert dem Service der Bestandteil des Collector Manager ist Dieser
132. ce der Bestandteil des Collector Manager ist Wenn der Collector Manager eine Anweisung zum Aktualisieren der Zuordnung erh lt weil diese selbst oder deren Definition ge ndert wurde wird ein internes Ereignis gesendet Das hei t dass die Zuordnung entweder nicht im Cache enthalten war oder dass die Version im Cache nicht aktuell ist sodass der Collector Manager die Zuordnung vom Server abruft Tag Wert Schweregrad 1 Ereignisname RefreshingMapFromServer Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Refreshing from server map lt name gt with id lt ID gt Aktualisieren der Zuordnung lt Name gt mit ID lt D gt vom Server Zeit berschreitung beim Aktualisieren von Zuordnung Dieses interne Ereignis wird Client seitig vom Zuordnungsservice generiert dem Service der Bestandteil des Collector Manager ist Wenn der Collector Manager eine Anweisung zum Aktualisieren der Zuordnung erh lt weil diese selbst oder deren Definition ge ndert wurde wird ein internes Ereignis gesendet Das hei t dass der Collector Manager versucht hat die Zuordnung vom Server abzurufen und die Anforderung wurde vom Server nicht akzeptiert sodass eine Zeit berschreitung aufgetreten ist Dieser Fehler wird als fl chtig angesehen und der Collector Manager versucht erneut den Vorgang auszuf hren Tag Wert Schweregrad 4 Ereignisname TimeoutRefreshingMap Ressource MappingS
133. ce aufgef hrt Darunter steht der Name des Service EMap im oben genannten Beispiel und falls angefordert der Name der Methode getMapPK im oben genannten Beispiel Wenn ein Server eine Anforderung empf ngt wie z B DAS Query wird ein Task erstellt und geplant Der Task wird dann einem Thread Pool zur Ausf hrung zugewiesen Es k nnen mehrere Thread Pools vorhanden sein und ein Thread Pool kann mehrere Services bedienen Aus diesem Grund muss eine Anforderung m glicherweise auf einen verf gbaren Thread warten selbst wenn der Service nicht stark ausgelastet ist Wenn die Statistik erkennen l sst dass die Wartezeit einer Anforderung lang und die Anzahl der Anforderungen f r diesen Service niedrig ist sollten Sie die Informationen zu den Thread Pools berpr fen Die Zahl neben einem Eintrag stellt die Summe seiner untergeordneten Elemente dar Daher bedeutet requests 15 dass 15 Anforderungen f r alle Anforderungsmethodenaufrufe vorhanden sind Der Eintrag requests configurations 1 darunter bedeutet dass eine der 15 Anforderungen eine Konfigurationsanforderung ist requests esecurity correlation config 2 bedeutet dass 2 der 15 Anforderungen f r esecurity correlation config eingegangen sind usw Sentinel Benutzerhandbuch zio 1hrs Warten Sek Laufen Sek DAS_Query 0866 20 45 00 ThreadPools ThreadPools Defa 105 ThreadPools Defa 15 ThreadPools Defa 0 ThreadPools Defa 0 ThreadPools D
134. che in einer aktiven Ansicht ist 24 Stunden So konfigurieren Sie die maximale Anzahl von Ereignissen und die Caching Dauer in aktiven Ansichten neu 1 Klicken Sie auf die Registerkarte Active Views 2 Klicken Sie auf Aktive Ansichten gt Eigenschaften 3 Nehmen Sie die gew nschten nderungen vor Active View Properties x Maximum Number of Events per Active View 30000 1000 events take approximately 1MB on average Maximum Total Display Time fi Day z N These values will not take effect until you restart Sentinel Control Center x Die neuen Werte werden erst bernommen wenn Sie das Sentinel Control Center neu starten Registerkarte Active Views 3 3 So zeigen Sie Echtzeitereignisse an 3 4 So zeigen Sie Echtzeitereignisse an Klicken Sie auf die Registerkarte Active Views 2 Klicken Sie auf Aktive Ansichten gt Aktive Ansicht erstellen oder klicken Sie auf Aktive Ansicht erstellen Klicken Sie im Fenster Assistent f r Active Views auf die Abw rtspfeile um eine Z Achse und einen Filter auszuw hlen und um anzugeben ob Ereignisse angezeigt werden sollen Ja oder Nein HINWEIS Im Fenster f r die Filterauswahl k nnen Sie einen eigenen Filter erstellen oder einen bereits erstellten Filter ausw hlen Durch Auswahl des Filters Alle werden alle Ereignisse im Fenster angezeigt Wenn bei der Erstellung einer aktiven Ansicht der Filter der d
135. ck the Database and backend server logs lt Exception gt Fehler beim Einf gen von Ereignissen in die Datenbank die Ereignisse k nnen endg ltig verloren gehen berpr fen Sie die Datenbank und die Back End Server Protokolle lt Ausnahme gt Fehler beim ffnen von Archivdatei Wenn das ffnen einer Archivdatei zum Speichern der Ereignisse f r die Aggregation nicht erfolgt wird das folgende interne Ereignis generiert A 4 Sentinel Benutzerhandbuch Tag Wert Schweregrad 3 Ereignisname OpenArchiveFileFailed Ressource lt DAS Name gt Teilressource ArchiveFile Meldung Error opening archive file lt name gt in lt dir gt Fehler beim ffnen von Archivdatei lt Name gt in lt Verz gt Fehler beim Schreiben in Archivdatei Wenn das ffnen einer Archivdatei zum Speichern der Ereignisse f r die Aggregation nicht erfolgt wird das folgende interne Ereignis generiert Tag Wert Schweregrad 3 Ereignisname WriteArchiveFileFailed Ressource lt DAS Name gt Teilressource ArchiveFile Meldung Error writing newly received events to aggregation archive file lt fname gt Fehler beim Schreiben neu empfangener Ereignisse in Archivdatei f r die Aggregation lt Dateiname gt Schreiben auf die berlaufpartition P_MAX Etwa alle 5 Minuten wird ein Ereignis gesendet um den Benutzer ber das Schreiben von Ereignissen auf die berlaufpartition P_MAX zu benachr
136. d nach vor bergehender Unterbrechung fortgesetzt Speicherplatz der Datenbank hat angegebenen Zeitschwellenwert erreicht Wenn nach einer vor bergehenden Unterbrechung mit dem Einf gen von Ereignissen fortgefahren wird wird das folgende Ereignis gesendet Tag Wert Schweregrad 0 Ereignisname DbSpaceReachedTimeThrshld Ressource Database Teilressource Database Meldung Tablespace lt string gt has lt num gt MB left and growing lt num gt bytes per second and will run out space within the time threshold specified lt num gt seconds Tabellenbereich lt Zeichenkette gt verf gt noch ber lt n gt MB und w chst um lt n gt Byte pro Sekunde an der Speicherplatz wird innerhalb des angegebenen Zeitschwellenwerts ersch pft sein lt n gt Sekunden Speicherplatz der Datenbank hat angegebenen prozentualen Schwellenwert erreicht Wenn nach einer vor bergehenden Unterbrechung mit dem Einf gen von Ereignissen fortgefahren wird wird das folgende Ereignis gesendet Tag Wert Schweregrad 0 Ereignisname DbSpaceReachedPercentThrshld Ressource Database Teilressource Database A 6 Sentinel Benutzerhandbuch Tag Wert Meldung Tablespace lt string gt has current size of lt num gt MB with a max size of lt num gt MB and has reached the percentage threshold of lt num gt Tabellenbereich lt Zeichenkette gt hat eine aktuelle Gr e von lt n gt MB bei einer m
137. d to List So k nnen Sie beispielsweise alle Ereignisse mit einem bestimmten Eintrag in einem Feld filtern wie z B DeviceAttackName ist genau Back_Door_Probe TCP 3128 Dieser Filter ergibt eine Ereignistabelle mit Ereignissen bei denen der DeviceAttackName ausschlie lich Back_Door_Probe TCP 3128 lautet 206 158 21 6 192 168 10 25 TCP_back_door _probe 206 158 21 6 192 168 10 25 TCP_back_door _probe f 564 Device ttacklame is exactly Back_Door_Probe TCP 3128 Beim berarbeiten einer Ereignistabelle werden die Filterkriterien rechts unten in der Ereignistabelle angezeigt Rotieren eines 3D Balkendiagramms oder eines Banddiagramms 3 8 So rotieren Sie ein 3D Balkendiagramm oder ein Banddiagramm 1 Klicken Sie auf das Diagramm und halten Sie die Maustaste gedr ckt 2 Positionieren Sie das Diagramm nach Ihren W nschen indem Sie die Maus bewegen w hrend Sie die Maustaste gedr ckt halten Sentinel Benutzerhandbuch Ein und Ausblenden von Ereignisdetails So blenden Sie Ereignisdetails ein 1 Doppelklicken Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot auf ein Ereignis oder klicken Sie mit der rechten Maustaste darauf und klicken Sie dann auf Details anzeigen Im linken Feld der Ereignistabelle in Echtzeit werden Ereignisdetails angezeigt nn arwawwsac ca Io EST Show Details X 39 EST 39 EST 39 EST 39 EST 39 EST J9 EST 39 EST 39
138. dPartitions 1 F hren Sie diesen Befehl wie folgt aus sdm action addPartitions connectFile lt path to the filename saved by saveConnection gt Beispiel f r Oracle sdm action addPartitions connectFile sdm connect Sentinel Data Manager 10 31 Beispiel f r SQL Server sdm action addPartitions connectFile sdm connect Verwerfen von Partitionen Durch diese Aktion dropPartition werden alle Partitionen aus den folgenden Tabellen verworfen die lter sind als im Flag keepDays festgelegt ist Oracle a EVENTS a CORRELATED_EVENTS a EVT_DEST_EVT_NAME_SMRY_I EVT_DEST_SMRY_I a EVT_DEST_TXNMY_SMRY_I a EVT_PORT_SMRY_I a EVT_SEV_SMRY_I a EVT_SRC_SMRY_I SOL Server a EVENTS a CORRELATED_EVENTS 2 EVT_DEST_EVT_NAME_SMRY_I EVT_DEST_SMRY_I EVT_DEST_TXNMY_SMRY_I EVT_PORT_SMRY_I EVT_SEV_SMRY_I a EVT_SRC_SMRY_I je o o Bei dieser Aktion werden keine Partitionen verworfen die nicht archiviert wurden Wenn nicht archivierte Partitionen gel scht werden sollen verwenden Sie das Flag forceDelete Bei Verwendung von forceDelete gilt Folgendes falsch oder Es werden nur die Partitionen verworfen die lter sind als in keepDays nicht festgelegt sowie die archivierten Partitionen angegeben wahr Es werden alle Partitionen verworfen die lter sind als keepDays auch wenn sie nicht archiviert wurden F r diese Aktion werden folgen
139. de Flags verwendet action dropPartitions keepDays lt Beibehaltungsdauer in Tagen gt forceDelete lt entweder wahr oder falsch gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt HINWEIS Wenn Sie eine nicht archivierte Partition verwerfen kann diese nicht importiert werden 10 32 Sentinel Benutzerhandbuch Ausf hren von dropPartition 1 F hren Sie diesen Befehl wie folgt aus sdm action dropPartitions forceDelete lt false gt keepDays lt Anzahl gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt In den folgenden Beispielen werden alle Partitionen verworfen die lter als 30 Tage sind wobei sichergestellt wird dass alle Partitionen archiviert sind Alle Partitionen die bersprungen nicht entfernt werden weil sie nicht archiviert sind werden nach Abschluss des Vorgangs aufgelistet Beispiel f r Oracle sdm action dropPartitions keepDays 30 connectFile sdm connect sdm action dropPartitions forceDelete fals keepDays 30 connectFile sdm connect Beispiel f r SQL Server sdm action dropPartitions keepDays 30 connectFil sdm connect sdm action dropPartitions forceDelete false keepDays 30 connectFile sdm connect Anzeigen von Partitionszusammenfassungen Mit dieser Aktion ViewPartitions wird die Partitionszusammenfassung f r die folgenden unters
140. denen die Korrelationsleistung am wichtigsten ist Das Korrelationsvolumen hat keinerlei Auswirkung auf die Geschwindigkeit anderer Systemkomponenten die Benutzeroberfl che reagiert also insbesondere bei gro em Ereignisvolumen Verteilte Korrelation Organisationen k nnen mehrere Correlation Engine Instanzen jede auf einem eigenen Server bereitstellen ohne dass Konfigurationen repliziert oder Datenbanken hinzugef gt werden m ssen Die unabh ngige Skalierung von Komponenten sorgt f r kosteneffiziente Skalierbarkeit und Leistung Die Correlation Engine Instanz kann Vorf llen Ereignisse hinzuf gen nachdem ein Vorfall ermittelt wurde Sentinel Einf hrung 1 21 Benutzern wird die Verwendung einer Metrik namens Event Rules per Second ERPS nahe gelegt Mit ERPS kann die Anzahl der Ereignisse gemessen werden die pro Sekunde von einer Korrelationsregel berpr ft werden k nnen Dieser Wert ist ein guter Leistungsindikator da hiermit die Auswirkung auf die Leistung eingesch tzt wird wenn es zur berschneidung zweier Faktoren kommt Ereignisse pro Sekunden und Anzahl der verwendeten Regeln Workflow Service iTRAC Der Workflow Service empf ngt bei der Vorfallserstellung Ausl ser und initiiert basierend auf vordefinierten Workflow Schablonen Workflow Vorg nge Er verwaltet den Lebenszyklus dieser Vorg nge indem er Arbeitselemente erstellt oder Aktivit ten ausf hrt Dieser Service verwaltet zudem einen Verlauf abgesc
141. der Vorgang gestartet wurde unabh ngig vom Grund Diese Zahl umfasst sowohl Starts die vom Benutzer ber die Benutzeroberfl che initialisiert wurden als auch automatische Starts Automatische Neustarts Gibt an wie oft der Vorgang automatisch neu gestartet wurde Da diese Zahl nur v llig automatische Neustart Szenarios umfasst werden von einem Benutzer initialisierte Neustarts nicht ber cksichtigt Dieses Feld ist hilfreich um zu ermitteln ob der Vorgang beendet z B aufgrund eines Fehlers und von Sentinel Watchdog automatisch neu gestartet wurde berwachen eines Vorgangs berwachen eines Vorgangs 6 Klicken Sie auf die Registerkarte Admin 7 Klicken Sie auf Serveransichten al 8 Doppelklicken Sie auf eine Ansicht Eine Ansicht wird angezeigt 9 12 Sentinel Benutzerhandbuch 9 Erweitern Sie die Serveransicht Es werden alle Prozesse aufgelistet iL Processes Health E tst2 9 Activity_Container Communication Server Correlation Engine amp Sonic Lock Remover Erstellen einer Serveransicht Erstellen einer Serveransicht 1 2 4 Klicken Sie auf die Registerkarte Admin Klicken Sie auf Serveransichten Workflow Server Klicken Sie auf Ansicht hinzuf gen um eine neue Ansicht zu erstellen Geben Sie Ihren Optionsnamen ein Klicken Sie auf Felder um festzulegen welche Felder angezeigt werden sollen Klicken Sie auf die Schaltfl che Gruppieren nach
142. die folgenden Themen behandelt Verwendung der Sentinel Console Ereigniskonfiguration f r Sentinel Funktionen Unternehmensrelevanz Sentinel Architektur Zuordnungsservice Sentinel Kommunikation Verlaufsberichte Herunterfahren Starten von Sentinel Wizard Host Verwaltung Anf lligkeitsbewertung Vorf lle Freignis berwachung Szenarios Ereignisfilterung Benutzerverwaltung Ereigniskorrelation Workflow Sentinel Data Manager Band Ill Wizard Benutzerhandbuch In diesem Handbuch werden die folgenden Themen behandelt Wizard Collector Builder Operation Wizard Host Verwaltung Wizard Collector Manager Erstellen und Verwalten von Collectors Collectors Band IV Sentinel Referenzhandbuch f r Benutzer In diesem Handbuch werden die folgenden Themen behandelt Wizard Skriptsprache Sentinel Correlation Engine Wizard Parsing Befehle Benutzerberechtigungen Wizard Administratorfunktionen Korrelations Befehlszeilenoptionen META Tags f r Wizard und Sentinel Sentinel Datenbankschema Volume V Sentinel Handbuch f r Drittanbieter Integration Remedy HP Service Desk HP OpenView Operations Inhalt 1 Einf hrung in Sentinel 1 1 Funktionelle Architektur uu nneeeeannnnneeannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 1 3 Senlinel F nktionen nase een BE 1 3 berblick ber die Architektur u uuuuennnneennnnnnn
143. e Benutzerinformationen und die Benutzerberechtigungen Klicken Sie auf Speichern L schen eines Benutzerkontos Zur Verwendung dieser Funktion m ssen Sie ber die Benutzerberechtigung zum L schen von Benutzerkonten verf gen HINWEIS Wenn ein Benutzer gel scht wird kann der Benutzer nicht wieder erstellt werden Wenn Sie beispielsweise einen Benutzer namens Johann erstellen und Johann sp ter l schen k nnen Sie nicht wieder einen Benutzer namens Johann erstellen So l schen Sie ein Benutzerkonto 1 ffnen Sie das Fenster Benutzer Manager 2 W hlen Sie eine Benutzerkonto ID aus klicken Sie mit der rechten Maustaste und w hlen Sie Benutzer l schen Registerkarte Admin 9 31 Beenden einer aktiven Sitzung Beenden einer aktiven Sitzung 1 ffnen Sie das Fenster Aktive Benutzersitzungen 2 Markieren Sie eine aktive Sitzung die Sie beenden m chten 3 Klicken Sie mit der rechten Maustaste und w hlen Sie Sitzung terminieren 4 Sie werden zur Eingabe einer Beendigungsnachricht aufgefordert Sie dient dazu den Benutzer dar ber zu informieren warum Sie die Sitzung beenden Hinzuf gen einer iTRAC Funktion So f gen Sie eine ITRAC Funktion hinzu 1 ffnen Sie das Fenster Funktions Manager 2 Klicken Sie auf Neue Funktion hinzuf gen P Hadanen koe K oder klicken Sie mit der rechten Maustaste und w hlen Sie Neue Funktion hinzuf gen L schen einer iTRAC Funktion
144. e EventRouter Meldung Event router is terminating Der Ereignisrouter wird beendet Correlation Engine Correlation Engine wird ausgef hrt Der Correlation Engine Prozess kann vom Benutzer in den Bereitschaftszustand versetzt werden Der Ausf hrungszustand bestimmt ob Ereignisse vom aktiven Prozess verarbeitet werden oder nicht Der Prozess startet im Bereitschaftszustand im angehaltenen Zustand und wartet darauf dass seine Konfiguration von der Datenbank abgerufen werden kann Dieses Ereignis wird gesendet wenn die Correlation Engine vom angehaltenen in den ausgef hrten Zustand wechselt Systemereignisse f r Sentinel5 A 13 Tag Wert Schweregrad 1 Ereignisname EngineRunning Ressource CorrelationEngine Teilressource CorrelationEngine Meldung Correlation Engine is processing events Die Correlation Engine verarbeitet Ereignisse Correlation Engine wird angehalten Dieses Ereignis wird gesendet wenn die Correlation Engine vom ausgef hrten in den angehaltenen Zustand wechselt Tag Wert Schweregrad 1 Ereignisname EngineStopped Ressource CorrelationEngine Teilressource CorrelationEngine Meldung Correlation Engine has stopped processing events Die Correlation Engine hat das Verarbeiten von Ereignissen eingestellt Regelbereitstellung wurde gestartet Dieses Ereignis wird gesendet wenn eine Engine erfolgreich eine Regelbereitstellung l dt Diese Meldung
145. e Oriented Middleware MOM miteinander Watchdog Ereignisstatistiken Datensynchronisierungsprozess Data Controller Correlation Engine RuleLg Checker berpr fung von Korrelationsregeln Data Access Service Vorgang DAS bin r Abfrage und Active Views Abfrage Manager eSecurity Service nur MSSQL siehe Watchdog Nachfolgend ist die Architektur des Sentinel Server erl utert Sentinel Einf hrung 1 13 Korrelationsregel Pr fung rulelg_checker Sentinel Control Center Collector Manager Correlation Engine lt gt Ereignisse Konfiguration Data Access Service XML Antwort DAS Abfrageanforderung Abfrager ckgabe Anfrage zu kurzen und Ereignisse Abfragen und zum Anzeigen von Details in xml XML Anforderungen von C gt Abfrage Manager anderem Sentinel Prozess query_manager Anfrage zu kurzen Datenbank Abfragen und zum Anzeigen von Details Watchdog Vorgang Watchdog ist ein Sentinel Vorgang mit dem andere Sentinel Vorg nge verwaltet werden Wenn ein anderer Vorgang als Watchdog anh lt gibt Watchdog die entsprechende Meldung aus und startet den Vorgang dann neu Unter Windows ist Watchdog ein Service mit der Bezeichnung Sentinel Wenn dieser Service gestoppt wird werden s mtliche Sentinel Vorg nge auf diesem Computer gestoppt Ereignisstatistiken 1 14 Die Engine f r Ereignisstatistiken ist eine Komponente des das_binary Vorgangs Sie verwaltet die
146. e Severity gt 3 Internal_Events fitter e SensorType l Filterkonfiguration verwalten Klonen L schen Details 9 4 Sentinel Benutzerhandbuch Editor Erstellen von Kriterien zum Einschlie en oder Ausschlie en von Ereignissen auf Grundlage boolescher Algebra Es sind zwei Bereiche verf gbar zum Einschlie en und zum Ausschlie en Geben Sie Ihre Werte hier ein Beispiel Which events should be included in the pattern match And C Or Meta Tag Severity SourcelP 192 168 1 2 Which events should be excluded from the pattern match C And CO Meta Tag z 92 168 1 72 DestinationIP Grundlegende Korrelation Es kann aus vier unterschiedlichen Filtertypen ausgew hlt werden Hierbei handelt es sich um Alle zulassen L sst alle Ereignisse durch Muster Alle regul ren Ausdr cke mit einer Grep Syntax Filter Manager Eine Dropdown Liste die den Filter Manager anzeigt um einen neuen Filter auszuw hlen oder zu erstellen Editor Erstellen von Kriterien zum Einschlie en oder Ausschlie en von Ereignissen auf Grundlage boolescher Algebra Mithilfe dieser Regel k nnen Sie z hlen wie h ufig bestimmte Bedingungen innerhalb eines bestimmten Zeitrahmens erf llt werden Beispielsweise kann mit einer grundlegenden Korrelationsregel nach derselben Quellen IP Adresse gesucht werden die innerhalb von 5 Minuten f
147. e eine Sortierung nach SensorType vor Zeigen Sie anschlie end alle Ereignisse mit dem SensorType C an F hren Sie unter Verwendung des von Ihnen erstellten Filters oder des Korrelationsfilters eine Schnellabfrage durch Schnellstart 12 7 Klicken Sie mit der rechten Maustaste auf das korrelierte Ereignis und w hlen Sie Ausl seereignisse anzeigen um zu sehen wie viele Telnet Ereignisse es k nnen mehr als 4 sein diese SZ ausgel st haben rer e 189 168 10 22 189 168 10 T Show Details 190 168 12 21 190 168 12 21 Program i 12 22 58 EDT 206 158 21 6 190 168 12 21 Failed _lo Eoo oo i Emal 12 22 58 EDT 189 168 10 22 189 168 10 23 Attempte Create Incident 12 22 58 EDT 206 158 21 6 189 168 10 22 Successf Hooo O TTN 12 22 58 EDT 199 168 10 25 199 168 11 22 Repeate Va 12 22 58 EDT 206 158 21 6 199 168 10 25 Failed_s H j12 22 58 EDT 199 168 10 22 199 168 10 22 Failed_s H een 12 22 58 EDT 206 158 21 6 199 168 10 22 Repeate C 12 22 58 EDT 206 158 21 6 199 168 10 25 Repeate Analysis gt 12 22 58 EDT 207 25 71 204 207 25 71 204 Security Eoo ina 12 22 58 EDT 207 25 71 204 207 25 71 204 Successf 12 22 58 EDT 206 158 23 8 207 25 71 204 Successf nslookup 12 22 58 EDT 206 158 23 8 207 25 71 203 Failed _lo recent 12 22 58 EDT 206 158 23 8 207 25 71 202 Failed _lo H 12 22 58 EDT 206 158 23 8 207 25 71 201 Failed
148. e eine Aktion a Befehl ausf hren a Webbrowser starten HINWEIS Eine Liste der verf gbaren Tags die Sie bei der Angabe von Paramtern verwenden k nnen erhalten Sie wenn Sie im Dialogfeld Men konfiguration auf Hilfe klicken oder im Sentinel Referenzhandbuch f r Benutzer im Kapitel META Tag nachschlagen 4 Klicken Sie auf OK Die neue Option wird der Liste der Men elemente im Fenster Men konfiguration hinzugef gt ndern einer Men option f r die Men konfiguration So ndern Sie eine Men option f r die Men konfiguration 1 ffnen Sie das Fenster Men konfiguration 2 Doppelklicken Sie auf eine Men option 3 Geben Sie die gew nschten nderungen ein und klicken Sie auf OK Anzeigen der Optionsparameter f r eine Men konfiguration So zeigen Sie die Optionsparameter f r eine Men konfiguration an 1 ffnen Sie das Fenster Men konfiguration 2 Markieren Sie ein Men element und klicken Sie auf Details Registerkarte Admin 9 23 Aktivieren oder Deaktivieren einer Men option f r die Men konfiguration So aktivieren oder deaktivieren Sie eine Men option f r die Men konfiguration 1 ffnen Sie das Fenster Men konfiguration 2 W hlen Sie eine Men option klicken Sie mit der rechten Maustaste und w hlen Sie Aktivieren oder Deaktivieren traceroute Whois Lauch Esecu Add Details Clone Delete Up Down Deactivate Neuanord
149. e eine Vorfallsansichtsoption fest 1 Klicken Sie auf die Registerkarte Vorf lle 2 Klicken Sie auf Vorf lle gt Vorfallsansichts Manager anzeigen oder klicken Sie auf die Schaltfl che Vorfallsansichts Manager anzeigen 8 3 Doppelklicken Sie im Fenster Vorfallsansichts Manager auf den Namen einer Ansicht En ___ _ m k State Severity Priority Id DateCreated Descending OFF iSeverity Priority Id DateCr State Ascending DateCreated Descending Off Severity Id DateCreated C State Ascending Priority D DateCreated Descending Refresh 7 Apply Sentinel Benutzerhandbuch Klicken Sie auf Optionen resh On eper Options Dialog Option Name erour BY STATE r Options Fields Severity Priority Id DateCreated Group By Statef scending sort DateCreated Descending Filter off Tree Display Select Attribute for display Save Apply Close In diesem Fenster k nnen Sie auch Folgendes festlegen Felder Gruppieren nach Sortieren Filter Baumansicht Klicken Sie auf Anwenden und dann auf Speichern Doppelklicken Sie im Fenster Vorfallsansichts Manager auf den Namen einer Ansicht Nachfolgend sehen Sie eine Standardansicht des Fensters Ansicht aller Vorf lle Ste severty Prorty 1 Response Incidents a sev4 High 4 None 0 103 esecadm
150. e nach dem Festlegen der Konfiguration auf OK Registerkarte Admin 9 25 DAS Statistik 9 26 Diese Funktion dient zur internen berwachung Ihres Systems Sie ist nicht f r den durchschnittlichen Benutzer gedacht DAS Statistik berwacht Folgendes DAS_Binary DAS_Query DAS_rt Die Statistik ist wie folgt unterteilt Service Name des Dienstes wie z B DAS_Query Uhrzeit Vergangene Zeit seit der letzten Aktualisierung Num Anzahl der Anforderungen die f r diesen Eintrag verarbeitet wurden WaitTime Durchschnittliche Wartezeit einer Anforderung in Sekunden bevor ihre Verarbeitung beginnt Laufzeit Durchschnittliche Dauer der Verarbeitung einer Anforderung in Sekunden Wartet Durchschnittliche Gr e der Wartet Warteschlange L uft Durchschnittliche Gr e der L uft Warteschlange Die Informationen sind in drei Abschnitte eingeteilt Anforderungen Services ThreadPools Unter Anforderungen werden alle Anforderungen nach Kanal aufgef hrt z B services CorrelationService Unter Services erfolgt die Auflistung nach Service Manchmal erfolgt eine Aufschl sselung durch Hinzuf gen von lt Kategorie gt unter dem Namen wie z B Services CorrelationService oder Services RemoteObjectService EMap getMapPK Unter Services werden alle Remote Methodenaufrufe durch benutzerdefinierte Services Ihre XML Services unterhalb von services RemoteObjectServi
151. e set to AA CustomerVar89 will be set to BB 1 CustomerVar97 4 3 CustomerVar97 300 CustomerVar89 will not be set Intern konvertiert Sentinel IP Adressen und Datumsangaben f r Tags vom Typ IPv4 und Datum in eine Ganzzahl IPv4 Tags DestinationIP dip SourcelP sip Date Tags CustomerVarl1 bis CustomerVar20 cv11 bis cv20 DateTime dt ReservedVarl1 bis ReservedVar20 rv11 bis rv20 Weitere Informationen zu META Tags finden Sie im Sentinel Referenzhandbuch in Kapitel 5 META Tags f r Wizard und Sentinel F r die unten stehende Tabelle ist Spalte 1 beispielsweise ein numerisches Bereichs quivalent eines IP Bereichs von 10 0 0 0 bis 10 0 2 255 167772160 167772415 AAA 167772416 167772671 BBB 167772672 167772927 CCC Verwenden Sie dieselben Einstellungen wie f r das vorherige Beispiel wenn Folgendes gilt Die Ereigniskennung ist auf DestinationIP und die Schl sselspalte ist auf Spalte 1 range festgelegt Zuordnungsspalte ist Spalte 2 value Die Ausgabewerte sind f r CustomerVar89 The first 500 rows are shown Column 1 Column 2 Row 0 167772160 167772415 Ad Row 1 167772416 167772671 BB Row 2 167772672 167772927 CC al I aid Sentinel Data Manager 10 13 Data Source External Referenced from Map Map Name F Mapsje Security qwerty Map Column value z Key Configu
152. e sich unter Windows als Benutzer mit entsprechenden Rechten f r Sentinel Server an 2 Wechseln Sie in das folgende Verzeichnis F r UNIX SESEC_HOME utilities F r Windows ESEC_HOMES utilities 3 Geben Sie an der Befehlszeile Folgendes ein F r UNIX versionreader sh lt Pfad JAR Dateiname gt F r Windows versionreader lt Pfad JAR Dateiname gt Konfigurieren von Email Einstellungen unter Sentinel Sentinel Konfigurationseinstellungen f r Email Nachrichten werden w hrend des Installationsvorgangs in der Datei execution properties gespeichert Diese Datei kann nach der Installation bearbeitet werden Die Datei befindet sich auf dem Computer auf dem DAS installiert ist und erkannt wird F r Windows ESEC_HOME sentinel config F r UNIX SESEC_HOME sentinel config Es sind zwei Skripts mailconfig sh und mailconfigtest sh f r UNIX und mailconfig bat und mailconfigtest bat f r Windows vorhanden die die Email Einstellungen in der Datei eXecution properties ndern und testen Das Skript mailconfig ndert die Email Einstellungen w hrend das Skript mailconfigtest die Email Einstellungen testet Die fett formatierten Bereiche stellen die Email Einstellungen dar die ge ndert werden k nnen 11 8 Sentinel Benutzerhandbuch Die folgenden Eigenschaften sind in execution properties enthalten mail au
153. e views incidents itRac ali ana ysis 2 Advisor 2 Colectors 7 Admin DestinationiP Vulnerability af Criticality 612508 7 50 27 AM 190 168 12 21 190 168 12 21 Program_execution_started 0 a 6 2506 7 50 27 AM 208 152 25 22 190 168 12 24 ibm director portscan dos_ 0 6 25 06 7 50 27 AM 208 152 25 22 I190 188 12 21 iom director portscan dos D 612506 7 50 27 AM 1206 158 21 6 189 168 10 22 Successtul_login guest io 6 25 06 7 50 27 AM 207 25 71 204 207 25 71 204 Security _policy_changed 0 62506 7 50 27 AM 206 158 23 8 207 25 71 203 Failed_login guest bo z 4 gt 320192 Update 6 25 06 7 50 30 AM Received 39 of 39 Displaying 39 Filter PUBLIC High_Severity Attribute Severity Event Count per Second 15 Minute 30 Second Intervals 7 49 30 AM 7 50 00 AM 0 5 z amp amp Event Count per Secon Shift drag mouse to resize Ctrl drag segmentto explode 7 36 30 AM 7 38 00 AM 7 39 30 AM 7 41 00 AM 7 42 30 AM 7 44 00 AM 7 45 30 AM 7 47 00 AM 7 48 30 AM Time DestinationiP EventName 6 25 06 7 35 07 AM 10 0 20 7 192 168 0 4 WEB PHP phpbb quick reply 6 25 06 7 35 07 AM 10 0 20 5 192 168 0 4 TELNET bsd telnet exploit re 6 25 06 7 35 07 AM 10 0 20 10 192 168 0 1 WEB PHP Mambo uploadima 6 25 06 7 35 07 AM 10 0 20 5 192 168 0 1 SMTP VRF Y UNKNOAN 6 25 06 7 35 07 AM 10 0 20 4 192 168 0 7 WEB MISC Phorecast remot 6 25 06 7 35 07 AM 10 002
154. e vom Typ NumberRange muss m n sein Dabei ist m die kleinste Zahl im Bereich und n die gr te Zahl im Bereich z B 10 200 Die gr te Zahl im Bereich geh rt nicht zum Bereich d h m n Das hei t ein Bereich von 10 200 enth lt nur Schl sselzahlen von 10 bis 199 In den Beispieldaten stellt die erste Spalte den Schl ssel dar 1 2 AA 2 4 AA 4 12 BB 10 20 BB 30 31 BB 100 200 AA 110 120 CC r The first 500 rows are shown I com Column 2 Name Range Type NumberRange Customer ar8S Customer ar86 Customer ar8 Customer ar88 30 31 BB 100 110 AA 110 120 cc 120 200 AA r Data Source External Referenced from Map Map Name F Maps RangeMap Map Column value 7 Key Configuration Map Key Field Event Tag Range Customer Yar97 10 12 Sentinel Benutzerhandbuch Dabei wird f r CustomerVar97 erwartet dass ein numerischer Wert enthalten ist oder dass ein Typ vorliegt der in einen numerischen Wert konvertiert werden kann z B eine IP Adresse oder ein Datum Beim Ausf hren von Suchvorg ngen in der Beispielbereichszuordnung erfasst der Wert in CustomerVar97 die Bereichszuordnung und sucht nach dem Bereich zu dem der Wert geh rt sofern vorhanden Im Folgenden sind einige Beispiele und die zugeh rigen Ergebnisse aufgef hrt CustomerVar97 CustomerVar89 will b
155. ed HA not_startea B runing mtie Bereit Aktualisieren Ersteit Status running In einer Arbeitsliste findet der Benutzer alle Aufgaben die dem Benutzer zugewiesen wurden und ber eine Vorgangs berwachung kann der Vorgangsstatus w hrend eines L sungsvorgangslebenszyklus in Echtzeit angezeigt werden Sentinel Einf hrung 1 23 ber das iTRAC Aktivit ts Framework k nnen Benutzer automatisierte oder manuelle Aufgaben f r spezifische Vorfallsl sungsvorg nge individuell anpassen Die ITRAC Vorgangsschablonen k nnen ber das Aktivit ts Framework so konfiguriert werden dass sie mit der Schablone f r das optimale Verfahren der Organisation bereinstimmen Die Ausf hrung von Aktivit ten erfolgt direkt ber Sentinel Control Center Beim iTRAC Automatisierungs Framework kommen zwei Schl sselkomponenten zum Einsatz der Aktivit ts Container und der Workflow Container Mit dem ersten wird die Aktivit tsausf hrung f r die angegebene Gruppe von Schritten basierend auf Eingaberegeln automatisiert mit dem zweiten wird die Workflow Ausf hrung baiserend auf Aktitvit ten ber eine Arbeitsliste automatisiert Die Eingaberegeln basieren auf dem XPDL XML Processing Description Language Standard und stellen ein formales Modell f r den Ausdruck von ausf hrbaren Vorg ngen in einem Unternehmen bereit Mit diesem auf Standards basierenden Ansatz der Implementierung unternehmensspezifischer Regeln und Regels
156. ede Ansicht wird als Baumtabelle angezeigt die Objekte sind anhand eines oder mehrerer Attribute gruppiert Die Konfiguration der Ansicht kann angepasst werden Die Optionen einer Ansicht k nnen ge ndert und neue Ansichtstypen hinzugef gt werden Die Ansichtskonfiguration wird in einem Ansichts Manager Collector Ansichts Manager oder Ansichts Manager f r Collector Manager angezeigt Registerkarte Collectors 8 1 Wenn die Registerkarte angezeigt wird enth lt der Baum im linken Feld zun chst die beiden Ansichts Manager und der Collector Ansichts Manager wird im rechten Feld angezeigt Der Collector Ansichts Manager verf gt standardm ig ber drei vorkonfigurierte Ansichtsoptionen und Sie k nnen neue Optionen erstellen Die drei Ansichtsoptionen sind Alle Collectors Collectors nach Manager und Collectors nach Status Die Ansicht Alle Collectors zeigt alle Collectors gruppiert nach dem Manager in dem sie ausgef hrt werden an Der Ansichts Manager von Collector Manager gruppiert alle Collectors nach ihrem Manager und zudem nach ihrem Status Ein oder Aus innerhalb der einzelnen Manager Die Ansicht Collectors nach Status gruppiert alle Collectors nach ihrem Status Ein oder Aus und zudem innerhalb der einzelnen Status nach ihrem Manager Zum Anzeigen von Collector Managern gibt es eine Standardansicht die Ansicht Alle Manager Sie zeigt alle aktiven Collect
157. eeeeeeannnsnnnneeeennnnnnnnnnenenn 9 17 Grundlegende Korrelation Definition 2 en 9 5 Hinzuf gen Browserfunktion zur Men option f r die Men konfiguration 2usrr444 ee 9 24 ffentlicher Filter 9 18 Option zum Men f r die Men konfiguration ELEND SUCHER ASS E ES DERSHART 9 21 privater Filter ueeesneeerseneneenenennerennne nennen 9 18 Hinzuf gen von Ereignissen zu einem hA e E E EE E A 3 26 Hinzuf gen von Partitionen Befehlszeile EETA E EA 10 31 Hinzuf gen von Partitionen GUI EEE E AE EPEETAN 10 5 10 6 HP OpenView Operationen 3 23 ImportData ueeennnnnnnnnnennnnen 10 39 Importieren Korrelationsregelordner 22u4 He 9 9 Importieren von Daten 10 39 Importieren von Partitionen MEER OEE ETTET GUI10 5 10 6 In Korrelation stehender Ereignisbericht AUSI NT G 1 U IPREPERPEPEREEEFEFFLEPEFEFEFFEIRFFEFPPRFEFEFEREFTEER 6 3 ITRAC Aktivit t Kontextmen option 5 8 5 9 Andern einer Aktivit t 5 13 Andern einer Vorgangsdefinition 5 3 5 4 Erstellen einer Aktivit t 5 12 Exportieren einer Aktivit t 5 14 hinzuf gen 2 amp 2 2 9 32 Importieren einer Aktivit t 5 14 l schen une n 9 32 verkn pfter Vorfall 5 8 5 9 Vorgang beenden 5 11 Vorgang starten 5 11 Vorgangs berwachung e 5 10 Vorgangs berwachung
158. ef hrt Diese Vorg ngen Prozesse werden mithilfe folgender Konfigurationsdateien gesteuert das_binary xml Wird f r Einf gevorg nge von Ereignissen und korrelierten Ereignissen verwendet das_query xml wird f r alle anderen Datenbankoperationen verwendet activity_container xml Wird f r die Ausf hrung und Konfiguration des Aktivit tsservices verwendet workflow_container xml Wird f r die Konfiguration des Workflowservice TRAC verwendet das_rt xml Wird f r die Konfiguration der Active Views Funktion in der Sentinel Steuerungskonsole verwendet Sentinel Einf hrung 1 15 DAS empf ngt Anforderungen von unterschiedlichen Sentinel Vorg ngen wandelt sie in eine Abfrage der Datenbank um verarbeitet das von der Datenbank zur ckgegebene Ergebnis und wandelt es wieder in eine Antwort um Mit diesem Prozess werden Anforderungen unterst tzt um Ereignisse f r Quick Query und Event Drill Down abzurufen die Anf lligkeit von Informationen und Advisor Informationen abzufragen und Konfigurationsinformationen zu manipulieren Mithilfe von DAS erfolgt au erdem die Protokollierung aller vom Wizard Collector Manager empfangenen Ereignisse und Anforderungen zum Abrufen und Speichern von Konfigurationsinformationen Abfrage Manager Vorgang query_manager Der Abfrage Manager Vorgang query_manager empf ngt von Sentinel Control Center Anforderungen hinsichtlich der Schnellabfrage und dem Anzeigen von Details zu Anforderunge
159. efa D ThreadPools Defa ThreadPools Defa ThreadPools Defa ThreadPools Defa ThreadPools Defa ThreadPools Ti ThreadPools Time ThreadPools Time ThreadPools Time ThreadPools Time ThreadPools Time ThreadPools Time ThreadPools Time ThreadPools Time ThreadPools Time requests requests LOGIN_ 0 Diese Informationen k nnen hilfreich sein da sie aufzeigen was vor sich geht Die Anzahl der Anforderungen ist besonders hilfreich da Sie daraus ersehen k nnen wohin die Anforderungen gehen oder worauf sie sich konzentrieren Die Zahl unter Wartet ist hilfreich da sie zeigt wie besch ftigt der Server ist Diese Zahl sollte m glichst klein sein Wenn sie gro ist m ssen neue Anforderungen selbst f r einfache Tasks auf potenziell langsamere warten Dies ist nicht gut Die durchschnittliche Laufzeit ist sehr wichtig da sie zeigt welche Anforderungen die gesamte Zeit tats chlich in Anspruch nehmen und nicht nur auf andere warten Ereignisdatei Info Im oberen Bereich werden die Statusinformationen f r die einzelnen Ereignisdateien angezeigt Der Status der Ereignisdateien wird beim ffnen des Fensters erfasst Statusinformationen zu fr heren Ereignissen werden nicht angezeigt Die angezeigten Informationen umfassen die Datei ID entspricht der arch_id in der Ereignistabelle der Dateiname so
160. egisterkarte Admin Klicken Sie im Admin Navigator auf Berichtkonfiguration Klicken Sie im Fenster Berichtkonfiguration auf Bearbeiten Geben Sie in das Feld Analyse URL die URL f r den Crystal Enterprise Server ein und klicken Sie auf Aktualisieren http lt IP gt GetReports asp APS lt IP gt amp guser Guest amp passwor d amp tab Analysis HINWEIS lt IP gt ist die IP Adresse des Crystal Enterprise Servers Geben Sie in das Feld Advisor URL die URL f r den Crystal Enterprise Server ein und klicken Sie auf Aktualisieren http lt IP gt GetReports asp ASP lt IP gt amp user Guest amp passwor d amp tab Advisor HINWEIS lt IP gt ist die IP Adresse des Crystal Enterprise Servers Weitere Informationen finden Sie im Installationshandbuch FIR Berichtsoptionen Analyse URL oOo O Aktuali Ratgeber URL skual J Externen Browser verwenden C Standardbrowser verwenden C verwenden Sie zum Starten eines Browsers die folgenden Befehle EEE Durchsuchen Testen Berichte anzeigen mit HTML with frames Y Speichern Abbrechen Sentinel Benutzerhandbuch Die Option f r externe Browser erm glicht Ihnen die Verwendung Ihres Standardbrowsers oder eines anderen Browsers Wenn Sie anstelle des Standardbrowsers einen anderen Browser verwenden muss Ihre Befehlszeile mit URL enden Beispiel C Programme Internet Explorer IEXPLORE EXE URL
161. ehlersuche in Ihren Korrelationsregeln einsetzen m chten Das Exportieren ist zudem von Vorteil wenn Sie ber einen Sentinel f r die Produktion und ber einen Sentinel f r die Entwicklung verf gen Korrelationsregeln k nnen in einer Entwicklungsumgebung entwickelt und getestet und dann in eine Produktionsumgebung exportiert werden Die Dateierweiterung f r exportierte Korrelationsregeln ist crf Funktion der Datenbank beim Speichern von Korrelationsregeln 9 6 Wenn Sie die Correlation Engine einen Sentinel Server Vorgang im Sentinel Control Center aktivieren ruft diese die Bereitstellungsinformationen und regeln von der Datenbank ab Wenn Sie Korrelationsregeln ndern und dann speichern werden sie zur Speicherung an die Datenbank gesendet Die Correlation Engine spiegelt die nderungen an der Regel nur wider wenn eine der folgenden Bedingungen erf llt wird die bereitgestellte Regel wird deaktiviert und dann wieder aktiviert die Regel wird neu bereitgestellt Wenn Sie Bereitstellungsregeln ndern und dann speichern werden sie zur Speicherung an die Datenbank gesendet und an die Correlation Engine bermittelt wo sie angewendet werden Sentinel Benutzerhandbuch Logische Bedingungen f r Korrelationsregeln Die folgenden logischen Bedingungen werden bei der Erstellung von Korrelationsregeln verwendet Weitere Informationen zu META Tags finden Sie im Sentinel Referenzhandbuch
162. ei wird sichergestellt dass alle verworfenen Partitionen archiviert wurden Nach Abschluss des Vorgangs werden alle Partitionen aufgelistet die nicht gel scht wurden weil sie nicht zuvor archiviert wurden sdm action deleteData keepDays 30 connectFil sdm connect Planen der Ausf hrung von Manage_data bat f r das Archivieren von Daten und das Hinzuf gen von Partitionen HINWEIS F r die Datei manage_data bat ist der keepDays Wert auf 30 die Archivausgabe auf c SDM_archive und die Verbindungsdatei auf ESEC_HOME sdm sdm connect festgelegt Wenn Ihre Werte abweichen m ssen Sie die Datei manage_data bat bearbeiten Wenn Sie Ihre Verbindungseigenschaften und Archivparameter festgelegt haben f hren Sie die Datei manage_data bat ber die Befehlseingabeaufforderung aus um die ordnungsgem e Ausf hrung sicherzustellen So k nnen Sie automatisch Daten archivieren und Partitionen hinzuf gen HINWEIS Folgende Schritte gelten f r Windows 2000 Professional Die Schritte f r Windows 2000 Server und Windows XP k nnen abweichen sind jedoch hnlich Klicken Sie unter Windows auf Start gt Einstellungen gt Systemsteuerung Doppelklicken Sie auf Geplante Tasks Doppelklicken Sie auf Geplanten Task hinzuf gen Klicken Sie auf Weiter BD Klicken Sie auf die Schaltfl che Durchsuchen und navigieren Sie zu der Datei manage_data bat 5 Geben Sie einen Namen f r den ge
163. eichenkette Define the display properties by selecting the Event Attribute to use onthe Z Opersting_Syst fiter e DevicsCategory Axis of the chart the filter to apply and whether or not to display events Pusuic_ Ds_Events fiterl e DeviceCategory PUBLIC Databiase_Events fiter e DeviceCategory DE PUBLIC High_Severty _ ffitere e Severity gt 3 Event Attribute Z Axis PUBLIC Low_Severtty fiter e Severtty 2 PUBLIC Firewall_Events_fiter e Devicecstegory FW paway E PUBLIC Correlation fiter Ce SensorType C or e SensorType W z PUBLIC Exploit_Detection fiter e Vunerakilty 1 Fiter External_Events_ fiter e SensorType 1 and e SensorType I P Scan_Events _ fiter e DeviceCategory SCAN PUBLIC Severe_Internal _fiter e SensorType and e Severty 3 PugLic Internal_Everts _ filter e SensorType l Fiterkonfiguration verwalten Cancel m 2 Klicken Sie auf Fertig stellen Wenn Sie ber ein aktives Netzwerk verf gen wird ein hnliches Fenster angezeigt wie unten dargestellt HINWEIS Zum Anzeigen eines 3D Diagramms ohne Echtzeitereignisse klicken Sie auf den Abw rtspfeil f r Ereignisse anzeigen und w hlen Sie Nein Filter PUBLIC ALL Attribute Severity Top Values for Last 5 Minutes 30 Second Display Interval 15 Minute Display Time 09 47 3
164. eigen der Sentinel Datenbank Speicherplatzauslastung ber die GUI k nnen Sie Folgendes ausf hren Anzeigen von Partitionen Anzeigen von archivierten Partitionen Anzeigen von Importpartitionen Anzeigen der Speicherplatzauslastung Anzeigen der Sentinel Datenbank Speicherplatzauslastung Befehlszeile Mit dieser Aktion dbstats wird die Sentinel Datenbankauslastung f r alle Sentinel Tabellenbereiche in Oracle und alle Sentinel Dateigruppen in MS SQL angezeigt F r diesen Befehl werden folgende Flags verwendet action dbstats connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Anzeigen der Sentinel Datenbank Speicherplatzauslastung Befehlszeile 1 F hren Sie den folgenden Befehl aus sdm action dbStats connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Beispiel f r Oracle Im folgenden Beispiel werden die Tabellenbereiche der Sentinel Datenbank mit ihrem Gesamtspeicherplatz dem belegten Speicherplatz sowie dem verf gbaren freien Speicherplatz angezeigt sdm action dbStats connectFile sdm connect Beispiel f r SQL Server Sentinel Data Manager 10 41 Im folgenden Beispiel werden die Dateigruppen der Sentinel Datenbank mit ihrem Gesamtspeicherplatz dem belegten Speicherplatz sowie dem verf gbaren freien Speicherplatz angezeigt sdm action dbStats connectFile sdm connect Aktualisieren von Zuordnungen Be
165. eignisbestand Taxonomie Ereignisname Schweregrad und Ereigniszeit pro Stunde zusammengefasst In dieser Zusammenfassung wird die Ereignisanzahl EventSevDestPortSummary EVT_PORT_SMRY_1 nach Zielport Schweregrad und Ereigniszeit pro In dieser Zusammenfassung wird die Ereignisanzahl EventSevSummary EVT_SEV_SMRY_I nach Schweregrad und Ereigniszeit pro Stunde zusammengefasst In dieser Zusammenfassung wird die Ereignisanzahl Deaktivieren Aktivieren von Zusammenfassungen 1 Klicken Sie auf die Registerkarte Bericht f r Daten 2 Klicken Sie zum Deaktivieren einer Zusammenfassung in der Spalte Status auf die Schaltfl che Aktiv Die Beschriftung der Schaltfl che wird in Inaktiv ge ndert 3 Klicken Sie zum Aktivieren einer Zusammenfassung in der Spalte Status auf die Schaltfl che Inaktiv Die Beschriftung der Schaltfl che wird in Aktiv ge ndert Source formedEvent FormedEvent formedEvent In ctive formedEvent In ctive formedEvent In ctive formedEvent In ctive So aktivieren Sie die Aggregation f r Top 10 Berichte f r Crystal Reports Aktivieren Sie die folgenden drei Zusammenfassungen EventDestSummary a EventSevSummary EventSrcSummary Aktivieren Sie EventFileRedirectService in der Datei das_binary xml in folgendem Verzeichnis F r UNIX SESEC_HOMB sentinel config das_binary xml F r Windows ESEC_HOME se
166. einstellungen auf Externen Browser verwenden eingestellt sind siehe Bearbeiten der Browsereinstellungen f r die Men konfiguration zur Bearbeitung der Browsereinstellungen k nnen Sie die Option Browser verwenden ausw hlen Bei Auswahl dieser Option wird die Ausgabe Ihres Befehls unter Verwendung der Men konfigurations Browsereinstellungen f r das Sentinel Control Center angezeigt Registerkarte Admin 9 21 9 22 Dateityp Wenn Sie die Aktion Befehl ausf hren ausgew hlt haben Ihre Browsereinstellungen auf Externen Browser verwenden eingestellt sind und Sie die Option Browser verwenden ausgew hlt haben k nnen Sie den Dateityp f r die Ausgabe dieses Befehls festlegen Befehlszeile URL HINWEIS Unter UNIX muss sich das Skript die Anwendung oder der symbolische Link zum Skript zur Anwendung im Verzeichnis ESEC_HOME sentinel exec befinden Geben Sie f r Skripts Anwendungen oder symbolische Links nur den Befehl ein Eingegebene Pfade werden ignoriert HINWEIS Unter Windows Korrelation muss sich das Skript die Anwendung in einem der Verzeichnisse befinden die in den Windows Umgebungsvariablen aufgef hrt sind Eingegebene Pfade werden ignoriert HINWEIS Unter Windows ohne Korrelation ist die Pfadeingabe optional Bei Eingabe eines Befehls ohne Pfad werden standardm ig das Verzeichnis ESEC_HOME sentinel bin und alle anderen Pfade die in den Umgebungsvariablen festgelegt
167. eitselements 2z0uumm44s0nnnnnnonnnnnnnonnnnnnnnennnnnnnonnnnnnnnnnnnnnn nenn 5 8 Aktualisieren der Variablen im Arbeitselemernt s44444nsnnnnnnnnnnnnnn anna nnnn nn nnnn nn 5 9 Abschlie en des Arbeitselements 4z00sm444400nnnnnnnonnnnnnnnonnnnnnnonnnnnnnennnnnnn onen nn ennnn nn 5 9 Vorgangsverwaht ng issiron er nn bern nennen daran kann naar 5 9 Vorgangsmoniton a ee une ENARE ONSE AENA 5 10 Starten oder Beenden eines Vorgangs 2 20444440nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 5 11 Erstellen einer Aktivit t unter Verwendung des Aktivit ts Framework eennen 5 12 ndern einer Aku vl lze an le een nee 5 13 Importieren Exportieren einer Aktivit t uur esnsensssnnnnnennnnnnnennnnnnnnnnnnennennnnnnennnnenne nn 5 14 6 Registerkarte Analyse 6 1 Beschreib ng ni en se nal a ii e TA N at 6 1 Top T0 BerncMie seriens a a a a Deu 6 1 Ausf hren eines Berichts aus Crystal Reporfts uurunnsennnnennnnennnnennnnnnnnnnnnnnnnnnnnn 6 2 Ausf hren eines Ereignisabfrageberichts r24srsnsunnnnnnnnnnennnnnnnnnnnnnnnnnnnennnnnnnnnn 6 2 Ausf hren eines in Korrelation stehenden Ereignisberichts 40 nennen 6 3 7 Registerkarte Advisor 7 1 Ausf hren von Advisor Berichten s44444400nnnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 7 1 Eigenst ndige Installation Manuelle
168. eitung Collection _ ContainmentActivity Eradicestion ctivity r Beschreibung Perform data collection OK Abbrechen L schen von Schablonen 1 Klicken Sie auf die Registerkarte iTRAC 2 Klicken Sie im Navigator auf iTRAC Verwaltung gt Schablonen Manager 3 Markieren Sie eine vorhandene Schablone klicken Sie mit der rechten Maustaste und klicken Sie dann auf L schen 4 Klicken Sie im Popup Fenster zum L schen der Schablone auf Ja Vorgangsausf hrung Bei der Vorgangsausf hrung handelt es sich um den Zeitraum w hrend dem der Vorgang ausgef hrt wird und Vorgangsinstanzen erstellt und verwaltet werden Wenn ein iITRAC Vorgang auf dem iTRAC Server ausgef hrt oder instanziiert wird wird vom iTRAC Server in bereinstimmung mit der Vorgangsdefinition eine Vorgangsinstanz erstellt verwaltet und schlie lich beendet W hrend der Vorgang abl uft und sich seinem Abschluss oder Ende n hert f hrt er auf der Grundlage der Kriterien f r die berg nge zwischen den einzelnen Aktivit ten verschiedene Aktivit ten aus die in der Workflow Schablone definiert sind Der ITRAC Workflow Server verarbeitet manuelle und automatische Aktivit ten auf unterschiedliche Weise Ein iTRAC Vorgang ist von einem Sentinel Vorfall abh ngig Eine Vorgangsinstanz kann daher nur vorhanden sein wenn ein Bezug zu einem Vorfall besteht Im Gegensatz dazu k nnen auch Vorf lle vorhanden sein die keinen Bezug zum
169. el gebunden Das Aktivit ts Framework stellt die Aktivit ten bereit die in den einzelnen Phasen des iTRAC Vorgangs automatisch ausgef hrt werden k nnen Schablonen Vorgangsdefinitionen und die Vorgangsausf hrung ergeben zusammen das Workflow Management System Schablonen Vorgangsdefinition j VerkyIncklert ssignmen i jaaa oe gt O Fe zm l mTzsB ru gt a8_ gt B _ g I_ gt f HIPAM Campkalon ethhy 11 aecepineidan HIPAA Sandazcalkchen HIPAA EndDazCalkctkan Ses m Z88 DO ER gt i I Pan Sancorahmde HIPRA EndConal men u u Hlpag SarEraikakh iPas EnEn End IB S Ipas Coranner 1 e Li HIPAA Eradialon we l gt 88 i YIBAN DaaCalisctio Aszignuzer nn Die Schablone ist der Entwurf der den Ausf hrungsfluss in ITRAC steuert Die Schablone umfasst ein Netzwerk von Aktivit ten und deren Beziehungen Kriterien f r den bergang zwischen den Aktivit ten sowie Informationen zu einzelnen Aktivit ten Schablonen verf gen ber Attribute die vom Benutzer ge ndert werden k nnen iTRAC erm glicht den Benutzern das Festlegen von Zeit berschreitungsattributen f r eine iTRAC Schablone Eine Aktivit t ist eine logische unabh ngige Arbeitseinheit innerhalb des iTRAC Vorgangs Eine Aktivit t repr sentiert Arbeit die entweder von Benutzern Funktionen manuelle Aktivit t oder von Computeranwendungen automatische Aktivit ten verarbeitet wird Aktivit ten ver
170. elements 5 8 Ein Arbeitselement kann allen Benutzern einer Funktion oder auch nur einem einzelnen Benutzer zugewiesen werden Ein Arbeitselement muss vom Benutzer akzeptiert werden bevor dieser eine andere Aktion f r das Arbeitselement ausf hren kann Durch das Akzeptieren des Arbeitselements wird der Benutzer zum Eigent mer des Arbeitselements und das Arbeitselement wird aus der Arbeitsliste aller anderen zugewiesenen Benutzer entfernt Akzeptieren von Arbeitselementen 1 Sie k nnen mit der rechten Maustaste auf ein Arbeitselement in der Arbeitsliste klicken und dann die folgenden Aktionen ausf hren 9 Work tems Orig ni E29 Acceptincident 212 Ram R LA ND At Details L port Display Associated Incident Display Associated Incident Akzeptieren wenn der Vorgang noch akzeptiert werden muss Sie k nnen auch das Detailfenster ffnen und darin auf die Schaltfl che Akzeptieren klicken Sentinel Benutzerhandbuch Aktualisieren der Variablen im Arbeitselement Der iTRAC Server verwendet Arbeitselemente um in Form von Arbeitselementvariablen Informationen von den Benutzern zu erhalten auf deren Grundlage die n chste Aktivit t innerhalb eines Vorgangs bestimmt wird Der Benutzer kann erst auf die Variablen zugreifen nachdem er das Arbeitselement akzeptiert hat iTRAC unterst tzt schreibgesch tzte Variablen und aktualisierbare Variablen Schreibgesch tzte Variablen dienen zur Informati
171. elete angegeben sein und den Wert true wahr aufweisen Bei Verwendung von forceDelete gilt Folgendes falsch oder Es werden nur die Partitionen verworfen die lter sind als in keepDays nicht festgelegt sowie die archivierten Partitionen angegeben wahr Es werden alle Partitionen verworfen die lter sind als keepDays auch wenn sie nicht archiviert wurden F r diesen Befehl werden folgende Flags verwendet action deleteData keepDays lt Beibehaltungsdauer in Tagen gt forceDelete lt entweder wahr oder falsch gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Ausf hren von deleteData 1 F hren Sie diesen Befehl wie folgt aus sdm action deleteData keepDays lt Beibehaltungsdauer in Tagen gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Beispiel f r Oracle Im folgenden Beispiel werden die Partitionen aus allen Tabellen verworfen die lter als 13 Tage sind Dabei wird sichergestellt dass alle verworfenen Partitionen archiviert wurden Nach Abschluss des Vorgangs wird eine Liste der Partitionen generiert die nicht gel scht wurden weil sie nicht archiviert wurden sdm action deleteData keepDays 13 connectFil sdm connect Beispiel f r SQL Server Im folgenden Beispiel werden die Partitionen aus allen Tabellen verworfen die lter als 13
172. en Vorgangsverwaltung Die Vorgangsverwaltung erm glicht Ihnen Folgendes Anzeigen des Status Ihres Vorgangs Vorgangsmonitor Starten des Vorgangs Abschlie en des Vorgangs Registerkarte TRACTM 5 9 Vorgangsmonitor 5 10 Die Funktion Vorgangsmonitor dient zur berwachung des Fortschritts eines Vorgangs W hrend die Vorgangsinstanz eine Aktivit t nach der anderen ausf hrt kann der Benutzer den Fortschritt durch Klicken auf die Schaltfl che Aktualisieren anzeigen Der Vorgangsmonitor stellt zudem eine Revisionsliste aller Aktionen bereit die vom ITRAC Server w hrend der Vorgangsausf hrung ausgef hrt wurden Process Monitor Pns ent mieten Ir d u InstanceiD EventType Old State NewsState nn Trac HIPAA process_created ln a F HIPAA 3_iTrac_HIPAA process_context_changed HcontainmentOutput p amp HIPAA 3_iTrac_HIPAA process_context_changed Id AId 102 GF HIPAA 3_iTrac_HIPAA process_context_changed userName null HuserName null Tue Jan 18 09 07 59 EST HIPAA 3_iTrac_HIPAA process_state_changed X not_started gt running Ready Refresh Created State running Aktivit ten die vom Vorgang abgeschlossen wurden sind durch einen gr nen Rahmen gekennzeichnet w hrend die aktuell ausgef hrte Aktivit t einen roten Rahmen aufweist Zugriff auf die Vorgangs berwachung 1 Klicke
173. en Schablone k nnen auf diese Weise ge ndert werden 33 o AssignUser ConfirmStartContainment a AcceptlIncident 2 ConfirmEndContainment a ConfirmStartDataCollection ConfirmStartEradication ConfirmEndDataCollection ConfirmEndEradication x fesd Name Boseptincident Typ hr uell Ressource 52 Analyst v I Zeit berschreitung Begrenzung Minuten Beschreibung ccept this Incident OK Abbrechen ndern automatischer Aktivit ten Sie k nnen die Aktivit t die Zeit berschreitung und die Beschreibung einer automatischen Aktivit t bearbeiten 1 Zum Bearbeiten doppelklicken Sie auf eines der Symbole f r eine automatische Aktivit t in der Schablone und nehmen Sie die gew nschten nderungen vor 2 Die Dropdown Liste im Dialogfeld Aktivit tsanpassung zeigt die Aktivit ten an die als automatische Aktivit ten verwendet werden k nnen Die Aktivit ten in der Liste sind Aktivit ten die unter Verwendung des Aktivit ts Framework erstellt wurden HINWEIS Die folgenden automatischen Aktivit ten in den vorhandenen Schablonen k nnen auf diese Weise ge ndert werden ni DataCollection Containment FEradication Sentinel Benutzerhandbuch N Aktivit tsanpassung BR Name HIPAA Dstanliestion Typ auto cotectionactivity v IncidentUserCheck Yerifylncident ssignment Begrenzung NoOpActivity Aktivit t I Zeit berschr
174. en Sie auf Speichern Sentinel Benutzerhandbuch L schen eines Vorfalls HINWEIS Zum L schen eines Vorfalls der einem WorkFlow iTRAC beigef gt wurde m ssen Sie den ITRAC Prozess beenden So l schen Sie einen Vorfall 1 Klicken Sie auf die Registerkarte Vorf lle 2 Klicken Sie auf Vorf lle gt Vorfallsansichts Manager anzeigen oder klicken Sie auf die Schaltfl che Vorfallsansichts Manager anzeigen 3 Doppelklicken Sie auf eine Vorfallsansicht Doppelklicken Sie im Fenster Vorfallsansicht mit der rechten Maustaste auf einen Vorfall und dann auf L schen HINWEIS Zum L schen eines Vorfalls der einem WorkFlow TRAC beigef gt wurde m ssen Sie den ITRAC Prozess beenden Ein ITRAC Prozess kann mithilfe des Vorgangsansichts Managers auf der Registerkarte iTRAC beendet werden Weitere Informationen finden Sie in Kapitel 5 Registerkarte iTRAC 5 Klicken Sie im Best tigungsfenster auf Ja Registerkarte Vorf lle 4 9 4 10 Sentinel Benutzerhandbuch Registerkarte iTRACTM HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet iTRAC Workflow umfasst die Automatisierung von Prozeduren und die M glichkeit auf Vorf lle zu reagieren Sentinel stellt ein iITRAC Management System bereit das die Automatisierung von Prozeduren umfasst An iTRAC ist das Aktivit ts Framework von Sentin
175. en Sie die Auf und Abw rtspfeile um die Anzeigereihenfolge der Spalten in der Echtzeitereignistabelle anzupassen Die Reihenfolge der Spaltentitel im Dialogfeld Spalten verwalten von oben nach unten bestimmt die Reihenfolge der Spalten in der Echtzeitereignistabelle von links nach rechts 3 Klicken Sie im Dialogfeld Spalten verwalten auf OK 4 Falls die Spaltenreihenfolge beibehalten werden soll wenn Sie das Sentinel Control Center das n chste Mal ffnen klicken Sie auf Datei gt Einstellungen speichern oder klicken Sie auf Benutzereinstellungen speichern el Erstellen eines Snapshot eines visuellen Navigatorfensters Zum Ausf hren dieser Funktion m ssen Sie ber die Snapshot Benutzerberechtigung verf gen Dies ist hilfreich um Ereignisse von Interesse zu untersuchen da der visuelle Navigator automatisch aktualisiert wird und die Warnung oder Warnungen von Interesse nach einiger Zeit nicht mehr angezeigt werden Innerhalb eines Snapshot k nnen Sie auch eine Sortierung nach Spalten vornehmen So erstellen Sie einen Snapshot einer Echtzeitereignistabelle 1 Klicken Sie bei ge ffnetem visuellen Navigatorfenster auf Aktive Ansicht gt Ereignisechtzeit gt Snapshot oder klicken Sie in der Men leiste auf Snapshot Ereignistabelle in Echtzeit F Ein Snapshot Fenster wird ge ffnet und im Navigator unter Ereignisanzeigen der Ordnerliste Snapshots hinzugef gt Die grafische Anzeige ist im Snapshot
176. en die verf gbaren Werte Sentinel Benutzerhandbuch Map Name Asset 7 Map Name isExploit watchlist Map Column assetname 7 Map Column Lex st_ Key Configurati CustomerId Key Configurati Oo AssetName Man Vav Fial 5 MacAddress ei NetworkIdentity Assetlategory Map Name Attacksignatureitormalization EnvironmentlIdentity Map Column hormalizedAttackid Key Configuratie saa ataa Ca k EXIST_ _EXIST_ Dies ist eine spezielle Zuordnungsspalte die in jeder Zuordnung vorhanden ist Wenn diese Zuordnungsspalte ausgew hlt wird wird eine l in die Ereigniskennung eingef gt wenn sich der Schl ssel in den Zuordnungsdaten befindet Wenn der Schl ssel nicht in den Zuordnungsdaten enthalten ist wird eine O in die Ereigniskennung eingef gt Alle anderen Auswahloptionen Namen der aktiven Spalten in der Zuordnungsdefinition die nicht als Schl ssel festgelegt sind z B Spalte Customerld in Asset oder Spalte NormalizedAttackId in AttackNormalization 6 W hlen Sie in Schl sselkonfiguration f r jede Zeile in der Tabelle die Ereigniskennung in der Spalte Ereigniskennung aus mit dem die angegebene Zuordnungsschl sselspalte in der entsprechenden Spalte Schl sselfeld zuordnen verglichen werden soll Die vorhandenen Zeilen in der Tabelle Schl sselkonfiguration h ngen vom ausgew hlten Zuordnungsnamen ab HINWEIS Ein Sch
177. en hinter der Wizard Zeit der richtigen Zeit liegt werden Ere ignisse direkt an die Datenbank weitergeleitet Wenn der Zeitunter schied ber 1 Stunde liegt werden die Ereignisse zum stapelweisen Laden in die Datenbank an eine Stapeldatei weitergeleitet 2 Ein konfigurierbarer Zeitpuffer der Ereignisse neu anordnet und Echtzeitanzeigen aktualisiert Die Standardzeit liegt 30 Sekunden Echtzeitereignisse vor und hinter der Serverzeit Ereignisse von Puffer f r Neuanordnung Sicherheitsger ten z B IDS Firewalls Datenbank Webserver Datenbanken Berichte Switches Mainframe Globaler Filter EVNERBEHIZ Puffer f r Neuanordnung Sicherheitsger te Sentinel Server 1 standardmanig ist die Event Time Ereigniszeit auf die Wizard Zeit eingestellt 3 Puffer f r korrelationsbezogene Die Ger tezeit w re ideal Es w re am i i Neuanordnung wenn die Ere besten den Event Time Wert auf den Device Correlation Engine igniszeit ber 30 Sekunden hinter Time Wert einzustellen wenn der Device der Serverzeit liegt werden die Time Wert verf gbar und richtig ist und vom Ereignisse von Correlation Collector vorschriftsm ig analysiert wurde Engine nicht verarbeitet 1 Standardm ig ist die Event Time Ereigniszeit auf die Wizard Zeit eingestellt Die Ger tezeit w re ideal Folglich w re es am besten den Event Time Wert auf den Device Time Wert einzustellen wenn der Device Time Wert verf gbar
178. en kann Tag Wert Schweregrad 1 Ereignisname PersistentProcessRestarted Ressource AgentManager Teilressource AgentManager Meldung Persistent Process on port lt port id gt has restarted Permanenter Prozess an Port lt Port ID gt wurde neu gestartet Event Service Zyklische Abh ngigkeit Der Event Service sendet dieses Ereignis wenn er einen Zyklus in der Ereignisdefinition feststellt in Abh ngigkeiten zwischen Tags aufgrund referenzieller Zuordnungen berpr fen Sie die Ereigniskonfiguration in SDM und korrigieren Sie die Abh ngigkeit Tag Wert Schweregrad 3 Ereignisname CyclicalDependency Ressource EventService Teilressource Object AttrInfos Meldung Cyclical dependency detected in event transformations Check event configuration Zyklische Abh ngigkeit in Ereignistransformationen festgestellt berpr fen Sie die Ereigniskonfiguration Systemereignisse f r Sentinel5 A 17 Active Views Active View wurde erstellt DAS_Binary sendet dieses Ereignis wenn eine Active View erstellt wird Tag Wert Schweregrad 1 Ereignisname RtChartCreated Ressource RealTimeSummaryService Teilressource ChartManager Meldung Creating new Active View with filter lt filter gt and attribute lt attribute gt for users with security filter lt security filter gt Currently lt n gt Active View s Collecting Neue Active View mit Filter l
179. ennnnnnn 3 18 Ansicht Manager Hizuf gen einer Ansicht 4 4 Ansichtsoption Vortall e 2n 2er en 4 2 4 4 Anzeigen Benutzerkonten 424444nnn nn 9 31 Optionsparameter f r eine Men konfiguration ETC STE TER IT GIER TTERERTFERTENSHRNES 9 23 Volallanza sesese aaa 4 2 Anzeigen von Anlagen nuner een 4 6 Anzeigen von Partitionen Befehlszeile A A A EIER TE 10 34 Anzeigen von Partitionen GU l NRI AEE 10 4 10 6 10 7 Architektur area 1 3 archiveConfig a e 10 34 10 35 archiveData uneneneneeeeeeenenen 10 35 10 36 Archivieren von Daten 10 36 Archivieren von Partitionen GUI 10 5 10 6 Assistent neu starten hen 8 1 Index i Assitenten Host berwachen 2422444000nn nennen 8 1 Auflisten der zu importierenden Dateien RE EAE 10 38 Ausblenden von Ereignisdetails Snapshots anora Eee 3 10 visueller Navigator eeen 3 10 Ausf hren Crystal Report uersneer nennen nenn 6 2 7 1 Ereignisabfragebericht mu 6 2 in Korrelation stehender Ereignisbericht 6 3 Bearbeitung Korrelationsregeln Fenster 9 9 Beenden der Kommunikationsschicht E EEE E 11 5 11 6 Beenden einer aktiven Sitzung 9 32 Benutzer StandardSiehe Standardbenutzer Benutzerkonten ndem su E a a a a 9 31 ANZEIGEN iae auna aa ae
180. enster So minimieren Sie alle Fenster 1 Klicken Sie auf Fenster gt Alle minimieren Alle ge ffneten Fenster im rechten Bereich werden minimiert So stellen Sie alle Fenster in der urspr nglichen Gr e wieder her So stellen Sie alle Fenster in der urspr nglichen Gr e wieder her 1 Klicken Sie auf Fenster gt Alle wieder einblenden Alle ge ffneten Fenster im rechten Bereich werden in ihrer urspr nglichen Gr e wiederhergestellt So stellen Sie ein einzelnes Fenster wieder her So stellen Sie ein einzelnes Fenster wieder her 1 Klicken Sie auf das minimierte Fenster Das Fenster wird in der urspr nglichen Gr e wiederhergestellt 2 8 Sentinel Benutzerhandbuch Gleichzeitiges Schlie en aller ge ffneten Fenster So schlie en Sie alle Fenster 1 Klicken Sie auf Fenster gt Alle schlie en Speichern von Benuitzereinstellungen Sie m ssen ber die Benutzerberechtigung Arbeitsbereich speichern verf gen Die folgenden Einstellungen k nnen gespeichert werden Dauerhaft verf gbare Fenster die wiederhergestellt werden k nnen weil sie nicht von Daten abh ngen die zum Zeitpunkt ihrer Erstellung verf gbar waren Zusammenfassungsanzeigen und Active Views k nnen beispielsweise gespeichert werden Tempor re Fenster hingegen k nnen nicht gespeichert werden beispielsweise Snapshots und Schnellabfragen Alle im Admin Navigationsfenster aufgelisteten Fenster werden gespeichert Sekund re Fenster d
181. entinel Control Center als Ct2 angezeigt wurde mit dem Label City angezeigt Positionen an denen Ereigniskennungen in Sentinel Control Center aufgef hrt werden sind Filter Korrelationsregeln und Active Views Durch das Umbenennen von Kennungen wird jedoch nicht der Name der Variablen in Collector Skripts ge ndert Selbst wenn die Ereigniskennung mit dem Label Ct2 in City umbenannt wurde hei t die Variable mit der in einem Collector Skript auf dieses META Tag verwiesen werden muss s_CT2 Im Folgenden finden Sie eine Abbildung dieser Funktion vor dem Vorgang und nach dem Vorgang in einer Active View N PUBLIC High_Severity 07 07 06 19 41 48 Snapshot lalx DestinetioniP a ve Critical 17216 2107 W32Mytob AS adando 6 a 17216 2107 W32Mtytob EX Orlando o 6 172 16 2 107 W32Mytob EX Orlando o 6 172 16 2 107 Wa2iMytob GH Orlando 0 6 172 16 2 107 W32Netsky P Orlando o 6 172 16 2 107 WWEB MISC Apache Chunked Orlando 0 6 17216 2107 W32Mytob C Orlando 0 6 172 16 2 107 W321Zati D Orlando 0 6 172 16 2 107 W32Mytob BE Orlando 0 6 172 16 2 107 WS2Mytob AS Orlando 0 6 N PUBLIC High_Severity 07 07 06 19 41 48 Snapshot DestinationiP Vulnerability f Critical 172 16 2 107 Wa2Mytob AS Oreh o 6 E 17216 2107 W32Mtytob EX Orlando o 6 172 16 2 107 Wa2Mytob EX Orlando o 6 172 16 2 107 W32M
182. ents 20050110 1 Mon Jan 10 21 20 48 EST Mon Jan 10 21 50 49 EST 2005 i zl Process Close Ausf hren von Ereignisdateien f r eine Zusammenfassung ne W hlen Sie ein Zeitintervall aus Click Show Event Die erforderlichen Ereignisdateien zum Vervollst ndigen der Zusammenfassung Klicken Sie auf die Registerkarte Bericht f r Daten W hlen Sie Status aus W hlen Sie die abzufragende n Zusammenfassung en aus werden in einem Listenformat angezeigt 7 berpr fen Sie die Ereignisdateien die ausgef hrt werden sollen um die Zusammenfassung zu vervollst ndigen Mon Jan Mon Jan Mon Jan KUKUK Mon Jan Mon Jan 8 Klicken Sie auf Vorgang SDM Befehlszeile HINWEIS Wenn Ihr Computer keinen Zugriff auf DAS_Binary und DAS_Query hat kann anstelle der SDM GUI die SDM Befehlszeile verwendet werden Speichern von Verbindungseigenschaften f r Sentinel Data Manager Dieser Vorgang muss vor der Verwendung anderer Sentinel Data Manager Befehlszeilenoptionen als saveConnection ausgef hrt werden 10 28 Wenn Sie die SDM GUI ausgef hrt haben k nnen Sie die Datei sdm connect verwenden die aus der GUI erstellt wurde Diese befindet sich unter Windows im Verzeichnis ESEC_HOME sdm und unter UNIX im Verzeichnis ESEC_HOME sdm Sentinel Benutzerhandbuch Die Funktion zum Speichern von Verbindungsinformationen speich
183. enutzers wird das folgende interne Ereignis generiert Tag Wert Schweregrad 1 Ereignisname UserLoggedIn Ressource UserSessionManager Teilressource User Meldung Discovered active user lt user gt with OS name lt osName gt at lt IP gt logged in currently lt num gt active users Aktiver Benutzer lt Benutzer gt mit Betriebssystemname lt OSName gt angemeldet an lt P gt wurde erkannt zurzeit sind lt n gt aktive Benutzer vorhanden Systemereignisse f r Sentinel5 A 3 Ereignis Fehler beim Verschieben von abgeschlossener Datei Wenn eine Ereignisdatei abgeschlossen wurde wird sie in das Ausgabeverzeichnis verschoben Wenn dieser Verschiebevorgang nicht erfolgt wird das folgende interne Ereignis generiert Tag Wert Schweregrad 3 Ereignisname MoveArchiveFileFailed Ressource lt DAS Name gt Teilressource ArchiveFile Meldung Error moving completed archive file lt fname gt to lt dir gt Fehler beim Verschieben von abgeschlossener Archivdatei lt Dateiname gt nach lt Verz gt Fehler beim Einf gen von Ereignissen Wenn beim Einf gen von Ereignissen in die Datenbank Fehler auftreten wird das folgende interne Ereignis generiert Tag Wert Schweregrad 5 Ereignisname InsertEventsFailed Ressource EventSubSystem Teilressource Events Meldung Error inserting events into the Database the events may be permanently lost Please che
184. er bereitgestellt Sentinel Command Center ist eine umfassende Konsole ber die Informationen f r den Benutzer angezeigt werden Produktmodule Sentinel Control Center Sentinel Control Center bietet eine integrierte leistungsstarke Konsole zur Sicherheitsverwaltung Dank der intuitiven Gestaltung k nnen Analytiker schnell neue Trends oder Angriffe erkennen grafische Informationen in Echtzeit bearbeiten und damit interagieren sowie auf Vorf lle reagieren Zu den Schl sselfunktionen z hlen Active Views Analysefunktionen und Visualisierung in Echtzeit Vorf lle Erstellung und Verwaltung von Vorf llen Analyse Definition und Verwaltung von Korrelationsregeln iTRAC Prozessverwaltung f r Dokumentation Erzwingung und Verfolgung von Prozessen zur Vorfallsaufl sung Berichterstellung Verlaufsberichte und Metriken Sentinel Wizard Sentinel Wizard sammelt Daten von Quellger ten und stellt einen umfassenderen Ereignisdatenstrom bereit indem Taxonomie Exploit Erkennung sowie Gesch ftsrelevanz in den Datenstrom integriert werden bevor Ereignisse korreliert analysiert und an die Datenbank gesendet werden Ein umfangreicherer Ereignisstrom bedeutet dass die Daten mit dem erforderlichen Gesch ftskontext korreliert werden um interne bzw externe Bedrohungen und Richtlinienverletzungen erkennen und beheben zu k nnen In jeder Konfiguration k nnen ein oder mehrere Instanzen von Wizard bereitgestellt werden sodass d
185. er aktiven Ansicht zugewiesen ist nach dem Erstellen der aktiven Ansicht ge ndert oder gel scht wird wird die aktive Ansicht davon nicht beeinflusst Active Views Wizard x Step 1 Event Collection Parameter Setup Define the display properties by selecting the Event Attribute to use onthe Z Axis of the chart the filter to apply and whether or not to display events Event Attribute Z Axis Severity hd Filter z Display Events Yes Finish Nachdem Sie Ihre Auswahl vorgenommen haben k nnen Sie auf Weiter oder Fertig stellen klicken Wenn Sie Fertig stellen w hlen werden die folgenden Standardwerte ausgew hlt eine Anzeige und Aktualisierungsrate von 30 Sekunden eine Anzeigedauer von 15 Minuten die Y Achse als Ereignisanzahl der Diagrammtyp Gestapeltes 2D Balkendiagramm Sentinel Benutzerhandbuch 4 Wenn Sie auf Weiter klicken k nnen Sie mithilfe der Abw rtspfeile Folgendes ausw hlen Anzeige und Aktualisierungsrate die Anzahl von Sekunden nach der die Ereignisse aktualisiert werden Anzeigedauer die Dauer w hrend der das Diagramm angezeigt wird Y Achse entweder Ereignisanzahl oder Ereignisanzahl pro Sekunde Klicken Sie auf Next Weiter 5 W hlen Sie den Diagrammtyp aus Klicken Sie auf Next Weiter Diagrammtyp 3D Balkendiagramm Gestapeltes 2D Balkendiagramm Liniendiagramm oder Banddiagramm 6 Z
186. ere Benutzer Wenn ein Benutzer Daten ber das Sentinel Control Center ndern m chte wird dieser Datensatz vom data_synchronizer gesperrt Detaillierte Informationen von wem die Daten gesperrt wurden werden f r die anderen aktiven Sentinel Control Center Instanzen ver ffentlicht und diese Daten k nnen von keinem anderen Benutzer ge ndert werden Falls ein Sentinel Control Center geschlossen wird bevor zuvor gesperrte Daten wieder freigegeben werden erfolgt eine Zeit berschreitung f r die Sperre Correlation Engine Vorgang correlation_engine Der Correlation Engine Vorgang correlation_engine empf ngt Ereignisse vom Wizard Collector Manager und ver ffentlicht korrelierte Ereignisse basierend auf benutzerdefinierten Korrelationsregeln RuleLg Checker Vorgang rulelg_checker Der RuleLg Checker Vorgang rulelg_checker validiert die Syntax von Filter und Korrelationsregelausdr cken Das Sentinel Control Center verwendet diese Ergebnisse um zu ermitteln ob ein Filter oder eine Korrelationsregel gespeichert werden kann Data Access Service Vorgang DAS Beim Data Access Service DAS Vorgang handelt es sich um den Permanentservice von Sentinel Server der eine Schnittstelle zur Datenbank zur Verf gung stellt Er erm glicht den datengesteuerten Zugriff auf das Datenbank Back End DAS stellt einen aus f nf Einzelprozessen bestehenden Container dar Mit jedem Prozess werden unterschiedliche Arten von Datenbankoperationen ausg
187. eregrad 1 Ereignisname EventRouterlsRunning Ressource AgentManager Teilressource EventRouter Meldung Event router completed its initialization in lt mode gt mode Initialisierung des Ereignisrouters im Modus lt Modus gt wurde abgeschlossen A 12 Sentinel Benutzerhandbuch Ereignisrouter wird initialisiert Dieses interne Ereignis wird gesendet wenn die Initialisierung eines Ereignisrouters gestartet wird Die Initialisierung des Ereignisrouters wird gestartet wenn dieser eine Verbindung mit dem Back End DAS Query hergestellt hat Tag Wert Schweregrad 1 Ereignisname EventRouterlnitializing Ressource AgentManager Teilressource EventRouter Meldung Event router is initializing in lt mode gt mode Der Ereignisrouter wird im Modus lt Modus gt initialisiert Ereignisrouter wird angehalten Dieses Ereignis wird gesendet wenn der Ereignisrouter w hrend des Herunterfahrens eine Anforderung zum Beenden empf ngt Tag Wert Schweregrad 2 Ereignisname EventRouterStopping Ressource AgentManager Teilressource EventRouter Meldung Event router is stopping Der Ereignisrouter wird angehalten Ereignisrouter wird beendet Dieses Ereignis wird gesendet wenn der Ereignisrouter w hrend des Herunterfahrens eine Anforderung zum Beenden empf ngt Tag Wert Schweregrad 2 Ereignisname EventRouterTerminating Ressource AgentManager Teilressourc
188. ern 10 25 Aktualisieren von Zuordnungen 10 16 Aktualisieren von Zuordnungen Befehlszeile BE E A TE 10 42 Anzeigen von Partitionen 10 6 10 7 Anzeigen von Partitionen Befehlszeile 10 34 archiveConfig 2224224er nn nennen 10 35 archiveData uueesennnensennnnensnnnnne nennen 10 36 Archivieren von Daten Befehlszeile 10 36 Auflisten der zu importierenden Dateien 10 37 Dateien f r Import Befehlszeile 10 38 Datenbank Speicherplatzauslastung Befehlszeile 2 424444 HH 10 41 deleteData 22umnennnnrnennnen een 10 37 dropPantiti n a ae 10 33 Erneute Zuordnung 10 19 Hinzuf gen von Partitionen Befehlszeile EEE EEE PIERRE NER ESTEN 10 31 Importieren von Daten Befehlszeile 10 39 Konfiguration von Partitionen Befehlszeile BERNER ORT SUR A O E e E N 10 30 L schen von Daten Befehlszeile 10 37 L schen von importierten Daten Befehlszeile 4 44 10 40 L schen von Zuordnungen 10 15 partitionConfig 22s42 nennen 10 30 Speichern von Verbindungen 10 29 Umbenennen von Ereignisspalten 10 22 Verwaltung der Archivierung Befehlszeile BREITEREN E AE E 10 35 Verwaltung von Partitionen 10 30 Verwerfen von Partitionen Befehlszeile APE ATAT 10 33 Zuordnung eenzueeneesennneneennnnen aa 10 19 Daten Cont
189. erstellen und dann alle Korrelationsregeln in diesem Ordner erstellen Die Anzahl der Benutzer die auf Korrelationsregeln zugreifen k nnen ist nicht beschr nkt Wenn mehrere Benutzer dieselbe Regel gleichzeitig bearbeiten werden alle vorherigen nderungen durch die nderung des zuletzt speichernden Benutzers berschrieben In diesem Abschnitt werden folgende Themen behandelt Regelordner und Regeln Korrelationsregeltypen Correlation Engine Regelbereitstellung Importieren und Exportieren von Korrelationsregeln Funktion der Datenbank beim Speichern von Korrelationsregeln Logische Bedingungen HINWEIS Null Werte leere Werte k nnen nicht korreliert werden Regelordner und Regeln Die Beziehung zwischen Regelordnern und Regeln ist wie nachfolgend beschrieben definiert Regelordner und Regeln werden im Fenster Korrelationsregeln hierarchisch angezeigt Ein Regelordner kann leer sein oder mehrere Regeln enthalten Die Anzahl der Regelordner und Regeln ist nur durch den verf gbaren Speicherplatz beschr nkt Registerkarte Admin 9 3 Durch Doppelklicken auf einen Regelordner wird der Regeleditor f r diesen Korrelationsregeltyp angezeigt F r Regelordnernamen gilt eine L ngenbeschr nkung von 255 Zeichen f r den Pfad und 255 Zeichen f r den Regelnamen Regelordner und Regelbeschreibungen k nnen bis zu 1024 Zeichen lang sein Korrelationsregeltypen Beim Definieren v
190. ert Null leer durchf hren o Ziel IP Adressen a Quellen IP Adressen Ereignisname Nachfolgend sehen Sie eine Illustration der Zuordnung von Quellen IP Adressen zu Ziel IP Adressen Registerkarte Active Views 3 13 aox Layout anwenden fHierarcnisch z jz O q q 172 1 5 105 172 16 5 104 212 1 21 2 212 1 21 3 Untersuchen Diagrammzuordnung So erstellen Sie eine Diagrammzuordnung 1 Klicken Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot mit der rechten Maustaste auf ein oder mehrere Ereignisse und klicken Sie dann auf Untersuchen gt Visuell gt Diagramm anzeigen 3 14 Sentinel Benutzerhandbuch run 208 152 25 22 2 Show Details a Email 168 12 2 2i 168 12 24 2i Create Incident 168 12 21 1i Add To Incident 168 10 23 2i 168 1022 13 view Trigger Events 1168 11 22 E Investigate gt Show Graph 2i Analysis gt Show More N to this target a ping Show More Events from this source 2i nslookup What are the target objects of this event Nachfolgend sehen Sie eine grafische Darstellung der Zuordnung von Sensornamen zu Ereignisnamen mit einem Schweregrad von 5 in einem organischen Format Eine grafische Zuordnung kann in den folgenden Formaten angezeigt werden Rund Organisch Hierarchisch a paaa Zn ER E D Repested_ Yon Fe in a a4 Fin Failed_su N Security Zu Successful ie 3 3 5 eCommiDS01 R
191. ert die Fenster f r Echtzeitereignisse durch Beibehaltung der Datenstruktur f r jeden Sicherheitsfilter Filter verhindern dass Benutzer unautorisierte Ereignisse anzeigen und sortieren Ereignisse aus die die Benutzer nicht anzeigen m chten Filter werden auf der Registerkarte Admin im Sentinel Control Center erstellt HINWEIS Die folgenden Zeichen sind in Filternamen nicht zul ssig amp lt gt Es gibt drei Filtertypen ffentliche Filter Private Filter Globale Filter 9 14 Sentinel Benutzerhandbuch ffentliche Filter ffentliche Filter sind systemeigen ffentliche Filter k nnen als Sicherheits oder als Anzeigefilter verwendet werden Sicherheitsfilter richten sich nach den Benutzerberechtigungen Anzeigefilter bestimmen welche Ereignisse in den Echtzeit Tabellen Grafiken und Diagrammen dargestellt werden ox Fitername Ausdruckszeichenkette Operating_Syst filter e DeviceCategory OS PUBLIC IDS_Events fiter e Devicelategory DS PUBLIC Database_Events filter e DeviceCategory DB PUBLIC High_Severity fiter e Severity gt 3 PUBLIC Low_Severity titer e Severity lt 2 PUBLIC Firewall_Events fitter e Devicelategory PA PUBLIC Correlation fiter e SensorType C or e SensorType A Exploit_Detection filter e vulnerability 1 External_Events fitter e SensorType and e SensorType P PUBLIC ALL fitter 1
192. ert neben dem mit dem in configuration xml angegebenen Keystore verschl sselten Passwort die folgenden Verbindungsdaten in der angegebenen Datei F r diesen Befehl werden folgende Flags verwendet action saveConnection server lt Oracle oder MSSQL gt host lt IP Adresse des Datenbank Host oder Hostname f r Verbindung gt port lt Datenbank Portnummer f r Verbindung Standard bei Oracle 1521 Standard bei SQL Server 1433 gt database lt Datenbankname SID f r Verbindung gt user lt Datenbank Benutzername gt password lt Datenbankpasswort gt winAuth F r Windows Authentifizierung verwendet Bei Verwendung dieser Option d rfen Sie user und password nicht verwenden connectFile lt Dateiname zum Speichern der Verbindungsdetails frei w hlbarer Dateiname gt Die Anwendung speichert alle oben genannten Verbindungsdetails sowie das verschl sselte Passwort in der angegebenen Datei Diese Anwendung f hrt mithilfe der gespeicherten Verbindungsdetails die brigen Befehle aus Dieser Schritt sollte durchgef hrt werden wenn Sie die Anwendung zum ersten Mal starten und jedes Mal wenn Sie die von der Anwendung verwendeten Verbindungsdetails ndern m chten Ausf hren von saveConnection 1 F hren Sie den Befehl wie folgt aus sdm action saveConnection server lt Oracle MSSQOL gt host lt Host IP Hostname gt port lt Portnummer gt database lt Datenbankname SID gt driverProps lt Eigensc
193. ervice Teilressource ReferentialDataObjectMap Meldung Request timed out while refreshing map lt name gt lt exception gt Zeit berschreitung der Anforderung beim Aktualisieren von Zuordnung lt Name gt lt Ausnahme gt Fehler beim Aktualisieren von Zuordnung Dieses interne Ereignis wird Client seitig vom Zuordnungsservice generiert dem Service der Bestandteil des Collector Manager ist Wenn der Collector Manager eine Anweisung zum Aktualisieren der Zuordnung erh lt weil diese selbst oder deren Definition ge ndert wurde wird ein internes Ereignis gesendet Das hei t dass beim Aktualisieren einer Zuordnung ein unerwarteter nicht fl chtiger Fehler aufgetreten ist Der Collector Manager wartet 15 Minuten und versucht anschlie end erneut den Vorgang auszuf hren Wenn dieser Fehler w hrend der Initialisierung auftritt wird diese fortgesetzt und die betreffende Zuordnung wird so lange ignoriert bis sie erfolgreich geladen werden kann Tag Wert Schweregrad 4 Ereignisname ErrorRefreshingMapData Systemereignisse f r Sentinel5 A 9 Tag Wert Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Error refreshimg map lt mapName gt lt exc gt Fehler beim Aktualisieren von Zuordnung lt Zuordnung gt lt Ausnahme gt Laden von gro er Zuordnung Dieses interne Ereignis ist ein Informationsereignis das vom Zuordnungsservice gesendet
194. erwendung der Bereichszuordungsfunktion muss eine Bereichsdefinition genau eine Schl sselspalte enthalten die den Typ NumberRange aufweist Wenn andere Schl sselspalten vorhanden sind oder die Schl sselspalte einen anderen Typ aufweist wird die Zuordnung vom Zuordnungsservice nicht als Bereichszuordnung angesehen Aktive Spalten Wenn eine Spalte als aktiv gekennzeichnet ist werden die Daten in der betreffenden Spalte mithilfe von Zuordnungen auf Prozesse verteilt Alle Schl sselspalten m ssen aktiv sein Alle aktiven Nicht Schl sselspalten k nnen als Zuordnungsspalte auf der Registerkarte Ereignisse ausgew hlt werden Schl sselspalten Ein Schl ssel ist ein eindeutiger Bezeichner f r die Datenzeile in den Zuordnungsdaten Wenn mehrere Spalten als Schl sselspalten ausgew hlt wurden enth lt der Gesamtschl ssel der Zuordnung alle Spalten die als Schl sselspalten ausgew hlt wurden Spaltenfilter Eine Zeile kann explizit anhand von Suchkriterien f r eine bestimmte Spalte einbezogen bzw ausgeschlossen werden Damit k nnen Zeilen aus den Zuordnungsquelldaten ausgeschlossen werden die nicht ben tigt werden oder die Zuordnung beeintr chtigen Beim Konfigurieren der einzelnen Einstellungen und Filter wird die Datentabelle automatisch aktualisiert sodass Sie eine Vorschau der Daten erhalten und sich vergewissern k nnen dass die Daten erwartungsgem ausgewertet werden Sentinel Benutzerhandbuch
195. estellt dass die Kriterien w hrend einer Paging Transaktion des Ereignisverlaufs unver ndert bleiben Korrelations Service Der Korrelationsalgorithmus von Sentinel 5 berechnet korrelierte Ereignisse durch Analyse des Datenstroms in Echtzeit Er ver ffentlicht die korrelierten Ereignisse basierend auf den benutzerdefinierten Regeln bevor die Ereignisse bei der Datenbank eingehen Regeln in der Correlation Engine Instanz k nnen ein Muster in einem einzelnen Ereignis in einem Fenster erkennen in dem Regeln fortlaufend angezeigt werden Wird eine bereinstimmung erkannt erstellt die Correlation Engine Instanz ein korreliertes Ereignis das das erkannte Muster beschreibt Zudem wird u U ein Vorfall erstellt bzw ein Sanierungs Workflow ber iTRAC ausgel st Die Correlation Engine Instanz arbeitet mit einer Komponente zur Regel berpr fung zusammen die die Korrelationsregelausdr cke berechnet und Syntax von Filtern validiert Correlation Engine von Sentinel stellt nicht nur eine umfassende Gruppe von Korrelationsregeln bereit sondern bietet auch spezifische Vorteile gegen ber Correlation Engines deren Herzst ck eine Datenbank darstellt Dabei Correlation Engine die Verarbeitung speicherintern erfolgt und keine Einf ge und Lesevorg nge der Datenbank vorgenommen werden bietet Correlation Engine bei best ndig hoher Auslastung sowie w hrend ereignisbezogenen Spitzenzeiten in Angriffssituationen gute Leistung also in den F llen in
196. eue Zeile hinzuzuf gen 10 Zum Entfernen eines Filterausdrucks w hlen Sie einen Filterausdruck aus der Tabelle und klicken Sie auf Ausgew hlten Ausdruck entfernen 11 Klicken Sie auf Speichern Registerkarte Admin 9 19 So klonen Sie einen ffentlichen oder privaten Filter Das Klonen ist eine praktische M glichkeit zum Duplizieren eines Filters um die Konsistenz der Kriterien innerhalb einer Gruppe von Filtern oder Benutzern sicherzustellen So klonen Sie einen ffentlichen oder privaten Filter 1 ffnen Sie das Fenster Filter Manager 2 Klicken Sie auf Klonen 3 Geben Sie einen neuen Filternamen ein 4 ndern Sie die Kriterien des urspr nglichen Filters 5 Klicken Sie auf Speichern ndern eines ffentlichen oder privaten Filters So ndern Sie einen ffentlichen oder privaten Filter 1 ffnen Sie den Filter Manager 2 W hlen Sie einen Filter aus und klicken Sie auf Details 3 ndern Sie die Kriterien nach Bedarf Eigent mer ID und Filtername k nnen nicht ge ndert werden 4 Klicken Sie auf Speichern Anzeigen der Details eines ffentlichen oder privaten Filters So zeigen Sie einen ffentlichen oder privaten Filter an 1 ffnen Sie das Fenster Filter Manager 2 W hlen Sie einen Filter aus und klicken Sie auf Details L schen eines ffentlichen oder privaten Filters So l schen Sie einen ffentlichen oder privaten Filter 1 ffnen Sie das Fenster Filter
197. f gen auch ber Zeit berschreitungen Die Benutzer k nnen die Zeit berschreitungen f r alle manuellen oder automatischen Aktivit ten aktivieren bzw deaktivieren Neben den Zeit berschreitungsattributen k nnen die Benutzer bei manuellen Aktivit ten auch das Ressourcenattribut konfigurieren das den Benutzer die Funktion bestimmt der bzw die diese Aktivit t ausf hrt Bei automatischen Aktivit ten k nnen die Benutzer neben den Zeit berschreitungsattributen ber das Sentinel Aktivit ts Framework auch die automatische Aktivit t Konfigurieren Registerkarte TRACTM 5 1 Schablonen Manager iTRAC erm glicht den Benutzern das Erstellen neuer Schablonen das Bearbeiten der Vorgangs und Aktivit tsattribute einer bestehenden Schablone sowie das L schen von Schablonen ber das Schablonen Manager Fenster auf der Registerkarte iTRAC Der Schablonen Manager kann durch Klicken auf den Schablonen Manager Knoten im Navigationsbaum auf der Registerkarte iTRAC ge ffnet werden 0 Schablonen EH Novell E Konfomit t 3 HIPAA S Sarbanes Okey EH Sicherheit i gt Automatic Response SANS Incident Handlina Benutzerdefiniert Kopie erstellen R Anzeigen L schen Standardschablonen iTRAC wird mit vier Standardschablonen bereitgestellt die automatische und manuelle Aktivit ten umfassen Die Vorgangs und Aktivit tsattribute f r diese Schablonen wurden auf vordefinierte Werte eingestellt
198. f dem Computer auf dem DAS installiert ist in das folgende Verzeichnis F r UNIX SESEC_HOME sentinel config F r Windows ESEC_HOME sentinel config Dienstprogramme 11 9 2 F hren Sie mailconfig wie folgt aus F r UNIX mailconfig sh host lt SMTP Server gt from lt Quell Email Adresse gt user lt Mail Authentifizierungsbenutzer gt password F r Windows mailconfig bat host lt SMTP Server gt from lt Quell Email Adresse gt user lt Mail Authentifizierungsbenutzer gt password UNIX Beispiel mailconfig sh host 10 0 1 14 from my_name domain com user my_user_name password Windows Beispiel mailconfig bat host 10 0 1 14 from my_name domain com user my_user_name password Nach dem Eingeben dieses Befehls werden Sie zum Eingeben eines neuen Passworts aufgefordert Enter your password xx Confirm your password x x HINWEIS Wenn Sie die Passwortoption verwenden muss es sich um das letzte Argument handeln So testen Sie die Email Einstellungen in der Datei execution properties 1 Wechseln Sie auf dem Computer auf dem DAS installiert ist in das folgende Verzeichnis F r UNIX SESEC_HOME sentinel config F r Windows ESEC_HOME S sentinel config 2 F hren Sie mailconfigtest wie folgt aus F r UNIX mailconfigtest sh to lt Ziel Email Adresse gt F r Windows
199. fehlszeile Mithilfe dieser Aktion updateMapData k nnen Sie eine Quelldatei mit Zuordnungsdaten durch eine andere ersetzen Die neue Quelldatei mit Zuordnungsdaten muss dieselben Trennzeichen Schl sselspalten und aktivierten Spalten wie die fr here Zuordnung aufweisen Wenn dies nicht der Fall ist verwenden Sie die Funktion Bearbeiten der SDM GUI F r diesen Befehl werden folgende Flags verwendet action updateMapData map lt Zuordnungsname gt file lt Dateiname gt backup lt wahr falsch gt Standardwert wahr connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Mithilfe des Flags backup k nnen Sie die urspr ngliche Zuordnungsdatei im Ordner map_data sichern Die gesicherte Zuordnungsdatei wird als BAK Datei mit einigen nach dem Zufallsprinzip ausgew hlten Zahlen am Ende des Dateinamens gespeichert Beispiel threat10197 bak Aktualisieren Ersetzen einer Zuordnung 1 F hren Sie den folgenden Befehl aus sdm action updateMapData map lt Zuordnungsname gt file lt Dateiname gt backup lt true false gt DEFAULT true connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Im folgenden Beispiel werden die Zuordnungen in der Zuordnung threat durch die Zuordnungen aus der Zuordnungsdatei vuln_attacks txt ersetzt sdm action updateMapData map threat file vuln_attacks txt connect
200. fehlszeilenoptionen mit der die Versionsinformationen f r die folgenden Prozesse angezeigt werden k nnen watchdog zulelg_checker correlation_engine data_synchronizer query_manager DAS Abrufen von Sentinel Versionsinformationen UNIX 1 Wechseln Sie in das folgende Verzeichnis SESEC_HOME sentinel bin 2 Geben Sie Folgendes ein lt Prozess gt version Beispiel correlation_engine version Abrufen von Sentinel Versionsinformationen Windows 1 Wechseln Sie in das folgende Verzeichnis ESEC_HOME sentinel bin 2 Geben Sie Folgendes ein lt Prozess gt version Beispiel correlation_engine version Sentinel Versionsinformationen f r DLL und EXE Dateien Abrufen von Sentinel Versionsinformationen f r DLL und EXE Dateien 1 Wechseln Sie in das Verzeichnis ESEC_HOME 2 Klicken Sie in einem der verschiedenen Unterverzeichnisse mit der rechten Maustaste auf eine DLL Datei oder eine EXE Datei und w hlen Sie Eigenschaften aus 3 Klicken Sie auf die Registerkarte Version Dienstprogramme 11 7 4 W hlen Sie im Bereich Elementname Produktversion aus Die Versionsnummer der Datei wird im Bereich Wert angezeigt Sentinel Versionsinformationen f r JAR Dateien Abrufen von Sentinel Versionsinformationen f r JAR Dateien 1 Melden Sie sich beim Sentinel Server als user an F r UNIX esecadm Melden Si
201. fornia Copyright 2001 bis 2003 Networks Associates Technology Inc Copyright 2001 bis 2003 Cambridge Broadband Ltd Copyright 2003 Sun Microsystems Inc und Copyright 2003 bis 2004 Sparta Inc Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http net snmp sourceforge net The OpenSSL Project Copyright 1998 2004 The Open SSL Project Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www openssl org Oracle Help f r Java Copyright 1994 2006 Oracle Corporation RoboHELP Office Copyright Adobe Systems Incorporated vormals Macromedia Skin Look and Feel SkinLF Copyright 2000 2006 L2FProd com Lizenziert unter der Apache Softwarelizenz Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter https skinlf dev java net Sonic Software Corporation Copyright 2003 2004 Die SSC Software enth lt Sicherheitssoftware die von RSA Security Inc lizenziert wurde Tinyxml Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http grinninglizard com tinyxmldocs index html SecurityNexus Copyright 2003 bis 2006 SecurityNexus LLC Alle Rechte vorbehalten Xalan und Xerces jeweils von der Apache Software Foundation lizenziert Copyright 1999 2004 Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http xml apache org dist LICENSE txt yWorks C
202. g Proces fo ProcessStart WaichDogs Wachbog f ProcessStop WatchDog WatchDog o Z PortStart AgentManager AgentManager PortStop AgentManager AgentManager Z PersistentProcessDisd AgenManager AgentManager AgenManager AgentManager RealTimeSummaryService ChartManager Active Views PersistentProcessRestarted SortDependencies DbSpaceReachedTimeThrshld DbSpaceReachedPercentThrshld DbSpaceVeryLow RtChartCreated RtChartJoiningExistingData RtChartInactiveAndRemoved RtChartPermanentAndRemoved RtChartIsNowPermanent RtChartNotPermanent Sentinel Benutzerhandbuch Systemereignisse f r Sentinel 5 HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet In den unten stehenden Beschreibungstabellen werden kursiv formatierte und in lt gt eingeschlossene Begriffe in den tats chlichen Meldungen durch die relevanten Werte ersetzt Authentifizierungsereignisse Fehler bei der Authentifizierung Wenn eine Benutzerauthentifizierung nicht erfolgt wird das folgende Ereignis generiert Tag Wert Schweregrad 4 Ereignisname AuthenticationFailed Ressource UserAuthentication Teilressource Authenticate Meldung Authentication of user lt name gt with OS name lt dom ser gt from lt IP gt failed Authentifizierung von Benutzer lt Name gt mit Betriebssystemname lt DomBenutzer gt von lt
203. genservices zum Einsatz die die Zuverl ssigkeit der Kommunikation ber die Sicherheits und Leistungsaspekte der Plattform hinaus erh hen Durch eine Vielzahl tempor rer und permanenter Warteschlangen bietet das System un bertroffene Zuverl ssigkeit und Fehlertoleranz So werden beispielsweise wichtige Meldungen Nachrichten die sich im Transit befinden f r den Fall gespeichert in eine Warteschlange gestellt dass es zu einem Ausfall im Kommunikationspfad kommt Die in die Warteschlange gestellte Nachricht gelangt an ihr Ziel nachdem das System nach dem Ausfall wiederhergestellt wurde SENTINEL KORRELATION CONTROL CENTER ITRAC REPOSITORY z EREIGNIS STEUERUNG STATUS _ ANALYSIEREN NORMALISIEREN F COLLECTOR MANAGER VER FFENTLICHEN T OMIE Yi u JEHMENSRELEVANZ EXPLOIT ERKENNUNG aan COLLECTORS _ z i i i i LE mapa wg VPN o Zu m oi E Firewall Bestandsverw Patch Verw Arbeitsstationen Laptops Gesch ftsanw RDBMS E Z Hostibs a E 4 8 TR s D E7 Virenschutz MinnEitktureneen Anf lligkeit Dom nen Benutzer i amp Netzwerk IDS svorw Server Mainframe controller definierte wi i Ereignisse SICHERHEITSUMFANG REFERENZIELLE IT QUELLEN BETRIEBSSYSTEME ANWENDUNGSEREIGNISSE Kan le Die iSCALE Plattform umfasst ein datengesteuertes und ein ereignisgesteuertes Modell das abh ngig von der Arbeitsauslastung die unabh ngige Skalierung von K
204. gine Manager amp Globale Filterkonfiguration T F Korrelationsregeln anzeigen anzeigen anzeigen Men konfiguration anzeigen Filter Manager anzeigen 2 Benutzer Manager anzeigen 3 Serveransichts Manager i anzeigen Fenster Filter Manager Folgende Symbolleistenschaltfl chen sind verf gbar wenn das Fenster Filter Manager aktiv ist Neuen Filter erstellen 52 sr Ausgew hlten Filter l schen Schaltfl che ist aktiv wenn ein Filter ausgew hlt ist 2 6 Sentinel Benutzerhandbuch Fenster Men konfiguration Die folgenden Symbolleistenschaltfl chen sind verf gbar wenn das Fenster Men konfiguration aktiv und im Bearbeitungsmodus ist Neues Men element erstellen Men element l schen Men element aktivieren amp Men element deaktivieren Registerkarten In Abh ngigkeit von Ihren Benutzerberechtigungen werden im Sentinel Control Center die folgenden Registerkarten angezeigt Sie m ssen ber die entsprechenden Berechtigungen verf gen um die einzelnen Registerkarten anzeigen zu k nnen Active ViewsTM Vorf lle iTRACTM Analyse Advisor Collectors Admin Weitere Informationen zu Registerkarten finden Sie in den jeweiligen Kapiteln zu den einzelnen Registerkarten ndern des Erscheinungsbilds des Sentinel Control Center Sie k nnen das Erscheinungsbild des Sentinel Control Center wie folgt ndern Festlegen der Registerkartenposition Einblenden ode
205. gt Einstellungen speichern oder klicken Sie auf Benutzereinstellungen speichern l Senden von Nachrichten ber Ereignisse und Vorf lle per Email 3 10 Die Funktion zum Senden von Emails wird w hrend der Installation in der Datei execution properties eingerichtet Diese Datei kann nach der Installation bearbeitet werden Sie befindet sich im folgenden Verzeichnis F r Windows ESEC_HOME sentinel config F r UNIX SESEC_HOMB sentinel config Weitere Informationen finden Sie in Kapitel 11 Dienstprogramme unter Konfigurieren von Email Einstellungen unter Sentinel So senden Sie eine Ereignisnachricht per Email 1 W hlen Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot ein Ereignis oder eine Gruppe von Ereignissen aus klicken Sie mit der rechten Maustaste darauf und w hlen Sie Email Sentinel Benutzerhandbuch Email Events x Selected Events 10 Resource Message S7FF1066 2EF8 1026 gt udp drop detected FR SFFEE73A 2EFS 1026 FRWL_Res udp drop detected FR 87083324 2EF8 1026 FRWL_Res tcp drop detected FR 87DSADDE 2EF8 1026 FRWL_Res udp drop detected FR 87AE7B24 2EF8 1026 FRWL_Res tcp drop detected FR RFAFGARA FFR IN A FRW Rec udn dran deterten FR Email Composition Email Address m Email Subject Email Message 2 F llen Sie die folgenden Felder aus 3
206. h Vorfallsfelder und details Vorfallsfelder Titel der Name des Vorfalls Status Offen a Falsch positiv o Best tigt o berpr ft o Zugewiesen o Genehmigt Wird untersucht a Geschlossen Schweregrad a Keine 0 a Mittel 3 o Geringf gig 1 Hoch 4 Niedrig 2 a Schwer 5 Priorit t Niedrig 1 Dringend 4 e Mittel 2 a H chste 5 Hoch 3 Kategorie optional Texteintrag der zur weiteren Identifizierung des Vorfalls verwendet werden kann Zust ndig Das Benutzerkonto das dem Fall zugewiesen ist Beschreibung Texteintrag L sung Texteintrag Vorfallsdetails Ereignisse Ereignisse die mit dem Vorfall in Verbindung stehen Best nde Liste aller Best nde die mit dem Vorfall in Verbindung stehen Anf lligkeit Zeigt Anf lligkeiten in Verbindung mit dem Vorfall an Advisor Zeigt Angriffsinformationen in Verbindung mit dem Vorfall an Workflow Zeigt den Workflow in Verbindung mit dem Vorfall an Auf dieser Registerkarte k nnen Sie folgende Zuweisungen vornehmen Keine o HIPAA Konformit tsprozess SANS Vorfallsreaktionsprozess Sarbanes Oxley FTP Konformit tsprozess Automatische Reaktion Verlauf Vorfallsverlauf Listet alle Aktionen auf die in Verbindung mit dem Vorfall ausgef hrt wurden dazu geh ren auch Datum Zeit Benutzeraktionen und kurze Informationen Anlagen Sie k nnen beliebige Informationen Textdateien oder Dokumente ber diesen Vo
207. h bei der UNIX Box als Mitglied der Gruppe esec an Beispiel esecadm 2 Wechseln Sie in das Verzeichnis ESEC_HOME sdm 3 Geben Sie an der Befehlszeile Folgendes ein sdm F r Windows Starten der SDM GUI 1 Klicken Sie auf Start gt Programme gt Sentinel gt Sentinel Data Manager HINWEIS Informationen zum Ausf hren des SDM von der Befehlszeile finden Sie im Abschnitt SDM Befehlszeile in diesem Dokument Herstellen einer Verbindung mit der Datenbank Beim Starten des SDM m ssen Sie eine Verbindung mit der Datenbank herstellen Geben Sie im Dialogfeld Verbindung mit Datenbank die entsprechenden Werte in den einzelnen Feldern 10 2 ein Herstellen einer Verbindung mit der Datenbank 1 2 3 4 Starten Sie die SDM GUI W hlen Sie den Datenbanktyp aus Oracle bzw MSSQL Geben Sie den Datenbankinstanznamen ein z B ESEC Geben Sie den Datenbankhost an verwenden Sie den Hostnamen oder die IP Adresse Legen Sie als Port den Standardport 1521 f r Oracle bzw den Standardport 1433 f r MSSQL fest Geben Sie als Benutzernamen und Passwort Ihren Benutzernamen und Ihr Passwort eines Sentinel Datenbankadministrators ein Verwenden Sie beispielsweise esecdba HINWEIS Wenn Sie unter MS SQL und Windows MS SQL im gemischten Modus installiert haben k nnen Sie sich mithilfe der Windows Authentifizierung ODER der SQL Server Authentifizierung
208. haftendatei gt user lt Datenbankbenutzer gt password lt Datenbankpasswort gt connectFil lt Dateiname_zum_Speichern_der_Verbindung gt Im folgenden Beispiel werden Verbindungen f r einen Host mit der IP Adresse 172 16 0 36 an Port 1521 Standard f r Oracle f r SQL Server ist der Standardport 1433 gespeichert Beispiel f r Oracle sdm action saveConnection server oracle host 172 16 0 36 port 1521 databas sec user esecdba password XXXXXX connectFile sdm connect Beispiel f r SQL Server sdm action saveConnection server mssql host 172 16 0 36 port 1433 databas sec user esecdba password XXXXXX connectFile sdm connect Sentinel Data Manager 10 29 Im folgenden Beispiel werden Verbindungen f r einen Host mit der IP Adresse 172 16 0 36 und Port 1433 mit dem Datenbanknamen esec_51 f r die Windows Authentifizierung gespeichert Beispiel f r SQL Server Windows Authentifizierung sdm action saveConnection server mssql host 172 16 1 3 port 1433 database esec_51l winAuth connectFile ESEC_HOME sdm sdm connect Dadurch werden die Verbindungsdetails in der Datei sdm connect gespeichert Die restlichen Befehle verwenden diesen Dateinamen als Eingabe um die Verbindung mit der designierten Datenbank herzustellen und ihre Aktionen auszuf hren Verwaltung von Partitionen Partitionskonfiguration 10 30 Dieser Abschnitt bezieht sich
209. he AbNAngIOKE I iseer reitora reen e nner Es KEET EEEE ARRE EEEE ETEEN Ea A 17 RANGLISTE WS a a a e a A a E Ee A a S aa EA A 18 Active View wurde erstellt n444444RRRRHHannnnnnnannnnnnnnannnnnnnannnnnnnannnnnnnannnnnnnnannnnnnanen A 18 Verbindung mit Active View hergestellt 04nennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn nnnnn A 18 Inaktive Active View entfernt snseensnsnnsnnnnnnnnonnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnn nenn A 19 Inaktive permanente Active View entfernt nssnsennnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn A 19 Active View ist nun permanent uuersnnesennnnennnennnnnnnennnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnennennnenn A 20 Active View ist nicht mehr permanent 40 nneennnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenannannn A 20 Zusammenfassung se an mar Hin EI RD A 21 Inhalt 7 8 Sentinel Benutzerhandbuch Einf hrung in Sentinel HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Sentinel 5 ist die f hrende L sung im Bereich Sicherheitsinformationsverwaltung und berwachung der Einhaltung von Bestimmungen die in Echtzeit aus vielen verschiedenen Quellen eines Unternehmens gesammelte Informationen empf ngt diese standardisiert sowie nach Priorit t ordnet und Korrelationen durchf hrt Sentinel sammelt von vielen auf dem Markt erh ltlichen Sicherheitsprodukte
210. hlossener Vorg nge der zur Revision von Vorfallsreaktionen herangezogen werden kann Ereignisanzeige 1 22 Active Views die interaktive grafische Benutzeroberfl che zur Ereignisanzeige bietet eine integrierte Konsole zur Sicherheitsverwaltung mit einer umfassenden Gruppe von Werkzeugen f r die Echtzeitanzeige und die Analyse mit der Bedrohungen erkannt und analysiert werden k nnen Benutzer k nnen Ereignisse in Echtzeit berwachen und umgehend Details zu Ereignissen anzeigen seit denen Sekunden oder Stunden vergangen sind Zahlreiche Anzeigediagramme und Werkzeuge erm glichen die berwachung von Informationen in Form eines 3D Balkendiagramms eines gestapelten 2D Diagramms eines Liniendiagramms eines Banddiagramms und andere Formate Zus tzliche wertvolle Informationen k nnen ber die Active Views Konsole angezeigt werden beispielsweise Benachrichtigungen zu Ausnutzungsversuchen von Best nden Exploit Erkennung Zudem k nnen Bestandsinformationen sowie grafische Verkn pfungen zwischen entsprechenden Quell IPs und Ziel IPs angezeigt werden Da in Active Views die I1SCALE Architektur zum Einsatz kommt k nnen Analytiker zur weiteren Analyse schnell Details anzeigen da Active Views den direkten Zugriff auf die im Echtzeitspeicher befindlichen Ereignisdaten erm glicht dieser Speicher kann problemlos Tausende Ereignisse pro Sekunde verarbeiten ohne dass es zu Leistungseinbu en kommt Die Daten verbleiben im Speicher und
211. hriftsm ig ausgef llt werden z B WEB PHP Mambo uploadimage php access Der Advisor Feed wird an die Datenbank und dann an den Exploit Erkennungsservice gesendet Der Exploit Erkennungsservice erstellt eine oder zwei Dateien je nachdem welche Art von Daten aktualisiert wurden Advisor Feed Warnungs Feed Datenbank Pe 1 Anf lligkeits Ereignisrouter Collector Informationen zu Advisor und Anf lligkeits Absuchvorgang Angriffs Feed Zuordnung hat Ereigniskonfiguration sich ge ndert Register ruft IDS Collector Zuordnung ab Exploit Erkennungs service DAS Exploit Erkennungszuordnungsdateien i Exploit Erkennung Zuordnungsservice Bu GUI Ereignisse EN Zuordnungsservice DAS Datenbank p Collector Manager Firewall Collector Info Ereignisse Die Exploit Erkennungszuordnungsdateien werden vom Zuordnungsservice verwendet um Angriffe Ausnutzungsversuchen Exploits von Anf lligkeiten zuzuordnen Anf lligkeits Absuchprogramme suchen auf anf llige Bereiche des Systems Bestands ab IDS erkennen etwaige Angriffe auf diese anf lligen Bereiche Firewalls erkennen ob Datenverkehr auf diese anf lligen Bereiche ausgerichtet ist Wenn ein Angriff mit einer Anf lligkeit im Zusammenhang steht kam es zur Ausnutzung des Bestands Der Exploit Erkennungsservice stellen in folgendem Verzeichnis zwei Dateie
212. htigungen gew hrt wurden Globale Symbolleiste Die folgenden f nf globalen Symbolleistenschaltfl chen sind verf gbar Sentinel Hilfe anzeigen Navigationsfenster 5 anzeigen ausblenden Alle Display Fenster Alle Display Fenster berlappend nebeneinander a Benutzereinstellungen z kA speichern Registerkarte Active Views Folgende Symbolleistenschaltfl chen sind verf gbar wenn die Registerkarte Active Views aktiv ist fe Aktive Ansichten oy Ereignisabfrage starten Fenster Ereignisanzahl pro Sekunde Folgende Symbolleistenschaltfl chen sind verf gbar wenn das Fenster Ereignisanzahl pro Sekunde aktiv ist Snapshot einer Tabelle f r Br Spalten einer Tabelle f r die s a die Ereignisz hlung pro r Ereignisz hlung pro Zeitraum Zeitraum verwalten Diagramm Ereignisanzahl pro Sekunde Folgende Symbolleistenschaltfl chen sind im Diagramm verf gbar wenn das Diagramm Ereignisanzahl pro Sekunde aktiv ist Diagramm sperren Diagrammsperre aufheben Anzeigeintervall vergr ern Anzeigeintervall verkleinern Anzeigedauer vergr ern Anzeigedauer verkleinern 2 4 Sentinel Benutzerhandbuch Wenn Sie auf die Schaltfl che zum Sperren klicken sind die folgenden Schaltfl chen verf gbar Diagramm sperren Diagrammsperre aufheben Anzeigeintervall vergr ern Anzeigeintervall verkleinern Anzeigedauer vergr ern Anzeigedauer verkleinern
213. ichen SOAP Simple Object Access Protocol f higen externen Systemen von der umfassenden Integration des Sentinel Systems zu profitieren Die Uhrzeit eines Ereignisses ist f r seine Verarbeitung von ausgesprochen gro er Bedeutung Sie spielt f r Berichterstellung und Revision sowie f r die Echtzeitverarbeitung eine wichtige Rolle In Correlation Engine werden nach Uhrzeit geordnete Ereignisdatenstr me verarbeitet und Muster in Ereignissen sowie Zeitmuster im Datenstrom erkannt Dem Ger t das das Ereignis erstellt ist der Echtzeiterstellungszeitpunkt des Ereignisses m glicherweise nicht bekannt Aus diesem Grund stehen in Sentinel zwei Optionen f r die Verarbeitung von Warnmeldungen von Sicherheitsger ten zur Verf gung Entweder wird die vom Ger t gemeldete Uhrzeit bernommen und als Uhrzeit des Ereignisses verwendet oder anstelle der vom Ger t angegebenen Uhrzeit wird das Ereignis bei der erstmaligen Verarbeitung durch Sentinel den Collector mit einem Zeitstempel versehen Sentinel ist ein verteiltes System und umfasst mehrere Vorg nge die sich in unterschiedlichen Teilen des Netzwerks befinden k nnen Zudem kann es durch das Ger t zu einer gewissen Verz gerung kommen Aus diesem Grund ordnen die Sentinel Vorg nge die Ereignisse vor der Verarbeitung nach der Uhrzeit neu an In der nachfolgenden Abbildung wird das Sentinel Zeitkonzept erl utert Sentinel Einf hrung 1 11 A wenn die Ereigniszeit mehr als 5 Minut
214. ichern klicken 5 Klicken Sie auf Speichern HINWEIS Wenn Sie auf Speichern klicken werden die nderungen auf dem Server gespeichert Mithilfe der Funktion Speichern werden alle durch Auswahl von Anwenden im tempor ren Puffer gespeicherten nderungen auf dem Server gespeichert 6 Damit die nderungen im Sentinel Control Center sichtbar werden m ssen ausgef hrte Sentinel Control Centers geschlossen und erneut ge ffnet werden Registerkarte Bericht f r Daten HINWEIS Damit Sie die Registerkarte Bericht f r Daten verwenden k nnen muss die Datei configuration xml auf einen Kommunikationsserver verweisen mit dem DAS_Binary und DAS_Query ebenfalls verbunden sind Dies ist in der Standardeinstellung der Fall sofern der Kommunikationsserver und DAS Prozesse ausgef hrt werden Die Registerkarte Bericht f r Daten stellt eine Schnittstelle zur Verwaltung von Zusammenfassungen f r Sentinel dar Mithilfe dieser Registerkarte k nnen Sie Zusammenfassungen aktivieren und deaktivieren Durch das Aktivieren einer Zusammenfassung kann die Aggregation mit dem Berechnen der Z hlungen f r die betreffende Zusammenfassung beginnen Eine Zusammenfassung ist eine definierte Menge von Attributen aus denen sich der Schl ssel zusammensetzt f r den die Anzahl der eindeutigen Vorkommen Anzahl der Ereignisse pro Stunde Ereigniszeitraum berechnet werden soll Im Fall von EventSevDestPortSummary wird bei e
215. ichtigen Wenn dies der Fall ist muss der Administrator mithilfe von SDM weitere Partitionen hinzuf gen damit die Leistung nicht beeintr chtigt wird Tag Wert Schweregrad 5 Ereignisname InsertIntoOverflowPartition Ressource EventSubSystem Teilressource Events Meldung Error currently inserting into the overflow partitions P_MAX add more partitions Fehler Zurzeit wird auf die berlaufpartitionen P_MAX geschrieben f gen Sie weitere Partitionen hinzu Einf gen von Ereignissen ist gesperrt Wenn DAS auf die berlaufpartition schreibt und der Benutzer versucht Partitionen hinzuzuf gen sendet SDM eine Anforderung an DAS dass das Einf gen von Ereignissen in die Datenbank vor bergehend unterbrochen werden soll Wenn dies der Fall ist sendet DAS bei jedem Versuch Ereignisse in die Datenbank einzuf gen interne Ereignisse Tag Wert Schweregrad 4 Ereignisname EventInsertionlsBlocked Ressource EventSubSystem Teilressource Events Meldung Event insertion is blocked waiting lt num gt sec Einf gen von Ereignissen ist gesperrt warten Sie lt n gt Sekunden Systemereignisse f r Sentinel5 A 5 Einf gen von Ereignissen wird fortgesetzt Wenn nach einer vor bergehenden Unterbrechung mit dem Einf gen von Ereignissen fortgefahren wird wird das folgende Ereignis gesendet Tag Wert Schweregrad 2 Ereignisname EventInsertionResumed Res
216. ichts 6 2 So erstellen Sie einen Ereignisabfragebericht 1 2 3 4 Klicken Sie auf die Registerkarte Analyse ffnen Sie den Ordner Verlaufsberichte im Analysennavigator Klicken Sie auf Ereignisabfrage Klicken Sie auf Analyse gt Bericht erstellen oder klicken Sie auf Bericht erstellen q Ein Ereignisabfragefenster wird ge ffnet Legen Sie Folgendes fest Zeitrahmen Filter Schweregrad Stapelgr e Dies ist die Anzahl der angezeigten Ereignisse ltere Ereignisse werden vor neueren Ereignissen angezeigt Klicken Sie auf Abfrage aktualisieren Klicken Sie zum Anzeigen des n chsten Ereignisstapels auf Weitere Optionen Ordnen Sie die Spalten neu an indem Sie diese ziehen und ablegen und ndern Sie die Sortierreihenfolge indem Sie auf die Spalten berschrift klicken Wenn Ihre Abfrage fertig ist wird sie im Navigator der Liste der Schnellabfragen hinzugef gt Sentinel Benutzerhandbuch Ausf hren eines in Korrelation stehenden Ereignisberichts So erstellen Sie einen in Korrelation stehenden Ereignisbericht 1 2 3 4 Klicken Sie auf die Registerkarte Analyse ffnen Sie den Ordner Verlaufsberichte im Analysennavigator Klicken Sie auf In Korrelation stehende Ereignisse Klicken Sie auf Analyse gt Bericht erstellen oder klicken Sie auf Bericht erstellen q Ein in Korrelation stehender Ereignisbericht wird ge ffnet Evert Id Correlation rule Batch size
217. icken Sie auf Hinzuf gen 4 W hlen Sie eine Eigent mer ID ffentlich oder privat im Besitz des Benutzers Sentinel Benutzerhandbuch E Klonen L schen Details 5 6 8 9 PIE Freiform Editor verwenden rFiltereigenschaften Eigent mer ID PUBL G rAbgleichen wenn Alle Bedingungen sind erf llt und Eine oder mehrere Bedingungen sind erf llt oder Ausdruckszeichenkette Speichern Abbrechen Geben Sie einen Filternamen ein Der Tabellen Editor ist die Standardauswahl f r das Bearbeiten von Inhalten HINWEIS Optional Sie k nnen auch auf Freiform Editor verwenden klicken um einen Freiform Editor anzuzeigen Der Freiform Editor erm glicht Ihnen das Erstellen komplexer Ausdr cke die im Tabellen Editor nicht erstellt werden k nnen Nachdem der Ausdruck mit dem Freiform Editor ge ndert wurde kann der Tabellen Editor jedoch nicht mehr daf r verwendet werden W hlen Sie die Kriterien f r die folgenden Spalten aus Eigenschaft Operator Wertspalten Ihre Auswahl wird im Feld Ausdruckszeichenkette angezeigt Klicken Sie im Feld Abgleichen wenn auf eine der folgenden Optionen Alle Bedingungen sind erf llt und Eine oder mehrere Bedingungen sind erf llt oder Zum Erstellen eines anderen Filterausdrucks klicken Sie auf Neuen Filterausdruck erstellen um der Filterausdruckstabelle eine n
218. ie Kunden die M glichkeit erhalten Produktkomponenten auf der Grundlage ihrer Netzwerktopologie in ihrer Infrastruktur bereitzustellen Sentinel Advisor Sentinel Advisor ein optionales Modul erstellt Querverweise zwischen Echtzeit Alarmdaten von Sentinel und Informationen ber bekannte Anf lligkeiten und Sanierungsma nahmen Sentinel Einf hrung 1 25 Inhalt Diese Handbuch enth lt Folgendes Kapitel 1 Einf hrung in Sentinel Kapitel 2 Navigation im Sentinel Control Center Kapitel 3 Registerkarte Active ViewsTM Kapitel 4 Registerkarte Vorf lle Kapitel 5 Registerkarte iTRACTM Kapitel 6 Registerkarte Analyse Kapitel 7 Registerkarte Advisor Kapitel 8 Registerkarte Collectors Kapitel 9 Registerkarte Admin Kapitel 10 Sentinel Data Manager Kapitel 11 Dienstprogramme Kapitel 12 Schnellstart Anhang A Systemereignisse Verwendete Konventionen Hinweise und Warnhinweise Befehle HINWEIS Hinweise stellen zus tzliche Informationen bereit die sich als hilfreich erweisen k nnen ACHTUNG Warnhinweise stellen zus tzliche Informationen bereit mit denen sich Besch digungen des Systems bzw Datenverluste u U vermeiden lassen Befehle sind in Courier Schriftart angegeben Beispiel useradd g dba d export home oracle m s bin csh oracle Weitere Novell Referenzen Folgende Handb cher sind auf den Sentinel Installations C
219. ie auf Ausw hlen Geben Sie den relevanten Zeitraum ein und klicken Sie auf Suchen Lupensymbol Die Ergebnisse Ihrer Abfrage werden angezeigt Filter From O To To Batch size hs2201 z 5f 09 37 01 fioo z gt x SourcelP 2005 05 03 09 25 24 EDT 189 168 10 22 189 168 10 23 Attempted_telnet a K 2005 05 03 09 25 22 EDT 189 168 10 22 189 168 10 23 Attempted_telnet 0 189 168 10 22 189 168 10 23 Attempted_telnet m 189 168 10 22 i89 3 _ Attempted_telnet io 2005 189 168 10 22 p 2005 05 03 09 25 14 EDT 189 168 10 22 189 168 10 23 Attempted_telnet 0 12005 05 03 09 25 12 EDT 189 168 10 22 189 168 10 23 ttempted_telnet o 2005 05 03 09 25 10 EDT 189 168 10 22 189 168 10 23 Attempted_telnet 0 2005 05 03 09 25 08 EDT 189 168 10 22 1189 168 10 23 Attempted_telnet 0 2005 05 03 09 25 06 EDT 189 168 10 22 189 168 10 23 Attempted_telnet or gt Batch received click More for additional results Complete through 5 3 05 9 25 24 1 22 Count 100 Wenn Sie sehen m chten wie oft dieser Benutzer im Allgemeinen einen Telnet Versuch unternimmt entfernen Sie DestinationIP SensorType und Schweregrad aus Ihrem Filter oder erstellen Sie einen neuen Filter Die Ergebnisse zeigen alle Ziel IPs an zu denen dieser Benutzer einen Telnet Versuch unternommen hat Wenn es sich bei manchen Ereignissen um korrelierte Ereignisse
220. ie durch Doppelklicken auf eine Auswahl in einem dieser Fenster ge ffnet werden werden jedoch nicht gespeichert Fensterpositionen Fenstergr en einschlie lich der Gr e des Anwendungsfensters Registerkartenpositionen Angedocktes bzw nicht verankertes und eingeblendetes bzw ausgeblendetes Navigatorfenster So speichern Sie Ihre Einstellungen 1 Klicken Sie auf Datei gt Einstellungen speichern oder klicken Sie auf Einstellungen speichern wl Navigation im Sentinel Control Center 2 9 ndern des Sentinel Control Center Passworts HINWEIS Um die strengen Sicherheitskonfigurationen zu erf llen die von Common Criteria Certification gefordert werden ben tigt Novell ein starkes Passwort mit folgenden Eigenschaften 1 W hlen Sie Passw rter aus die mindestens 8 Zeichen umfassen und mindestens einen Gro buchstaben einen Kleinbuchstaben ein Sonderzeichen amp 0_ und eine Zahl 0 9 enthalten 2 Das Passwort darf nicht Ihren Email Namen oder einen Teil Ihres vollst ndigen Namens enthalten 3 Bei Ihrem Passwort sollte es sich nicht um ein bliches Wort handeln z B kein Wort das im W rterbuch steht oder ein allgemein gebr uchliches umgangssprachliches Wort 4 Ihr Passwort sollte keine W rter aus irgendeiner Sprache enthalten da es zahlreiche Programme zum Knacken von Passw rtern gibt die in wenigen Sekunden Millionen m glicher Wortkombinationen durchgehen k nnen 5 Sie sollten
221. ie entweder Lokale Datei oder Ferndatei aus Lokale Datei Hiermit k nnen Sie nach einer Datei im lokalen Dateisystem suchen auf dem Computer auf dem SDM gestartet wurde Ferndatei Hiermit k nnen Sie aus vorhandenen Quelldateien mit Zuordnungsdaten auf dem Server ausw hlen auf dem DAS ausgef hrt wird M glicherweise sind bereits zwei Dateien auf dem Server vorhanden wenn Advisor installiert ist und Vulnerability Daten heraufgeladen wurden attackNormalization csv und exploitDetection csv Die Ferndatei verweist auf ESEC_HOME sentinel bin map_data Windows oder auf ESEC_HOME sentinel bin map_data UNIX Sentinel Benutzerhandbuch 5 New Map Definition E x Source Data File File Name Remote Filesfasset csw Local File Remote File r Data Preview JNKNOWN UNKNOWN UNKNOWN UNKN amp 1192 168 0 1 04 23 A3 44 65 78 UNKNOWN DESKTOP JNKNOW N UN devbox02 04 2 44 6 i IKNOWN UNKA I UNKNOWN UN ey KNOWN UNKA 192 0 3 3A UNKNOWN UN devbox04 04 23 A3 44 655 81 UNKN i OF UNKNOWN UNKNOWN UNKA 192 168 0 4 04 23 A3 44 65 81 UNKNOWN DESKTOP UNKNOWN UNKNOWN UN devbox05 04 23 A3 44 b NIKI Ov NKNOWN UNKN 1192 168 0 5 0 UNKNOWN UN NKNOWIN UNKR 1
222. ie sich bereit s mtliche Exportbestimmungen einzuhalten und ggf die erforderlichen Lizenzen oder Berechtigungen f r den Export die Wiederausfuhr oder den Import einzuholen Sie erkl ren sich bereit keinen Export oder keine Wiederausfuhr an nat rliche oder juristische Personen zu t tigen die zurzeit auf den Exportausschlusslisten der USA aufgef hrt sind oder in L nder die einem Embargo unterliegen oder die den US Exportbestimmungen zufolge den Terrorismus unterst tzen Sie erkl ren sich bereit die Lieferbestandteile nicht f r die Endnutzung in verbotenen nuklearen chemischen oder biologischen Waffen oder Raketen einzusetzen Weitere Informationen zum Export von Novell Software finden Sie unter www novell com info exports Novell bernimmt keinerlei Verantwortung wenn Sie es vers umen die erforderlichen Exportgenehmigungen einzuholen Copyright 1999 2006 Novell Inc Alle Rechte vorbehalten Ohne ausdr ckliche schriftliche Genehmigung des Herausgebers darf kein Teil dieser Ver ffentlichung reproduziert fotokopiert bertragen oder in einem Speichersystem verarbeitet werden Novell Inc besitzt Rechte an geistigem Eigentum f r die Technologie die in das in dieser Dokumentation beschriebene Produkt integriert ist Diese Rechte an geistigem Eigentum umfassen im Besonderen eines oder mehrere der unter http www novell com company legal patents aufgelisteten Patente sowie ein oder mehrere andere Patente oder Patentanmeldungen
223. ierungen f r Zuordnung lt Zuordnung gt ID lt ID gt Version lt Version gt Eine Aktualisierung f r die Zuordnung wird neu geplant Systemereignisse f r Sentinel5 A 11 OutOfSyncDetected Dieses Ereignis wird gesendet wenn der Zuordnungsservice feststellt dass eine Zuordnung veraltet ist Der Zuordnungsservice plant automatisch eine Aktualisierung Tag Wert Schweregrad 2 Ereignisname OutOfSyncDetected Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Map lt mapName gt detected the map data is out of sync probably due to a missed update notification scheduling a refresh Zuordnung lt Zuordnung gt mit nicht synchronisierten Zuordnungsdaten festgestellt evtl aufgrund fehlender Aktualisierungsbenachrichtigung eine Aktualisierung wird geplant Ereignisrouter Ereignisrouter wird ausgef hrt Der Ereignisrouter ist die Hauptkomponente des Collector Manager die Komponente die die Zuordnungen durchf hrt globale Filter anwendet und die Ereignisse ver ffentlicht Dieses interne Ereignis wird gesendet wenn der Ereignisrouter w hrend der Initialisierung bereit ist Bei einem Neustart des Collector Manager wird ein weiteres Ereignis gesendet um seine Bereitschaft anzuzeigen Dieses Ereignis wird erst dann gesendet wenn der Ereignisrouter alle globalen Filter und alle Zuordnungsinformationen erfolgreich geladen hat Tag Wert Schw
224. iguration von Partitionen Befehlszeile OE E E EA A E nennen 10 30 L schen einer Zuordnung 10 15 L schen von Daten Befehlszeile 10 37 L schen von importierten Daten Befehlszeile nnen 10 40 L schen von Partitionen GUI10 5 10 6 partitionConfig 2 4044nen nennen 10 30 sdm connett ueesseeeeeeeeesennnnnennneeeeenennn 10 28 Sentinel Benutzerhandbuch Speichern von Verbindungseigenschaften in der Datenbank een 10 29 Speicherplatzauslastung Befehlszeile 10 41 Starten UNIX 220r22sensneensnnensnnennnnennnn 10 2 Starten Windows 2u4s0n nennen 10 2 Umbenennen einer Ereignisspalte 10 22 updateMapData uur2224ue nennen 10 42 Verwaltung der Archivierung Befehlszeile Van aaa E shake ae nr lau AAT 10 35 Verwerfen von Partitionen Befehlszeile 10 33 viewPartition 44444en nennen 10 34 Zuordn ng urn se eher 10 19 Zuordnungsdefinition 10 8 10 14 Sentinel Server Beenden UNIX uunsrsssnnnensnnnnnnnnnenen nenn 11 1 Beenden Windows eeen 11 3 Starten UNIX een 11 1 11 4 Starten Windows 11 2 11 3 Sentinel Container Neustarten UNIX eeen 11 6 Neustarten Windows seee 11 6 Sentinel Kommunikationsschicht Beenden UNIX 11 5 11 6 Beenden Windows eee 11 5 Entfernen der Sperrdatei UNIX 11 4 Entfernen der Sper
225. im Abschnitt Korrelationsregeltypen Klicken Sie auf Fertig stellen L schen eines Korrelationsregelordners oder einer Regel L schen eines Korrelationsregelordners oder einer Regel u a Se ze ffnen Sie das Fenster Korrelationsregeln W hlen Sie den Regelordner oder die Regel aus den bzw die Sie l schen m chten Klicken Sie mit der rechten Maustaste und klicken Sie dann auf L schen Ein Best tigungsfenster wird angezeigt Ja Beim L schen eines Regelordners werden die Regeln in diesem Regelordner ebenfalls gel scht Eine gel schte Regel kann nicht wiederhergestellt werden nachdem Sie auf OK geklickt haben Nein Sie kehren zum Fenster Korrelationsregeln zur ck Importieren oder Exportieren eines Korrelationsregelordners Importieren oder Exportieren eines Korrelationsregelordners 1 2 3 ffnen Sie das Fenster Korrelationsregeln W hlen Sie einen Regelordner aus Klicken Sie mit der rechten Maustaste und w hlen Sie Regelordner importieren oder Regelordner exportieren Importieren Ein Dateibrowser wird ge ffnet Wechseln Sie zum Regelordner den Sie importieren m chten und klicken Sie auf OK Exportieren Ein Dateibrowser wird ge ffnet Wechseln Sie zum Zielger t auf dem der Regelordner gespeichert werden soll und klicken Sie auf OK Der Regelordner wird als CRF Datei exportiert Bearbeitung im Fenster Korrelationsregeln Bearbeitung im Fenster Korre
226. iner Einstellung von Aktiv die Anzahl der Ereignisse f r jede eindeutige Kombination von Zielport und Schweregrad f r einen Zeitraum von einer Stunde gespeichert Diese gespeicherten Berechnungen der Ereignisdaten erm glichen das schnellere Erstellen und Abfragen von Zusammenfassungsberichten Diese Berichte werden von Crystal Reports verwendet Weitere Informationen erhalten Sie in den Kapiteln zum Installieren von Crystal Reports im Sentinel Installationshandbuch Bestimmte Zusammenfassungen m ssen aktiv sein damit Zusammenfassungsberichte genau sind Sentinel Data Manager 10 23 Die Aggregation ist der Prozess bei dem die laufende Anzahl f r alle aktiven Zusammenfassungen als Ereignisfluss im gesamten System berechnet wird Diese laufenden Z hlungen werden in der Datenbank in den entsprechenden Zusammenfassungstabellen gespeichert Vorteile von Zusammenfassungen Stark reduzierte Menge von Ereignisdaten Angepasste Dimensionen die Drill down Rollup und Drill across V org nge f r Ereignisdaten erm glichen Wesentlich schnellere Ausf hrung von Zusammenfassungsberichten mit vorab berechneten Zusammenfassungen Vorteile der Aggregation Nur aktive Zusammenfassungen werden verarbeitet Es gibt keine Auswirkungen auf das Einf gen von Ereignissen in die Echtzeit Datenbank Auf der Registerkarte Bericht f r Daten k nnen Sie folgende Vorg nge ausf hren Aktivieren bzw Deaktivieren vordefinierter
227. ingabeverzeichnis an aus dem die archivierten Daten gelesen werden Klicken Sie auf Importieren So geben Sie importierte Partitionen frei 1 W hlen Sie die Registerkarte Release f r Partitionen aus 2 W hlen Sie in der Tabelle Segmente die Partition aus die freigegeben werden soll 3 Klicken Sie auf Release Tabellenbereiche Mithilfe der Registerkarte Tabellenbereiche im SDM k nnen Benutzer die aktuelle Datenbank Speicherplatzauslastung anzeigen lassen So zeigen Sie die Tabellenbereiche in der GUI an 1 10 6 Klicken Sie auf die Registerkarte Tabellenbereiche amp Sentinel Database Manager i joj xj Datei Anzeigen Datenbank info Partitionen Tabellenbereiche Zuordnung Ereignisse Bericht f r Daten Verwendung des Tabellenbereichs der Datenbank Tabellenbereiche Gesamt Belegt Frei Verwendung Eos 100M 7M SM 17 Eesento 10000M 39m SM 0 El esento2 500M 4M 498M Wows E EsenTx 4000M 5M 3994M A 0 E esenn2 500M oM 499M Wos E PRIMaRY 200M 7M 1923m 13 EIsent_aov s 200M1 om sem iow EIsent_aovis 100m om sem lo E sent_smRyvD 2000m om 1999M EE o E senTsmRYxX 1000M om sgagm Box LEGENDE E Freier Pistz Aktualisieren Gernutzter Speicher r HE verbundenmiesec Sentinel Benutzerhandbuch In der Tabelle Verwendung des Tabellenbereichs der Datenbank wird der Gesamtspeicherplatz angezeigt der den einzelnen Tabellenbereichen zugewiesen ist Zudem wird
228. ird ausgef hrt Der Correlation Engine Prozess kann vom Benutzer in den Bereitschaftszustand versetzt werden Der Ausf hrungszustand bestimmt ob Ereignisse vom aktiven Prozess verarbeitet werden oder nicht Der Prozess startet im Bereitschaftszustand im angehaltenen Zustand und wartet darauf dass seine Konfiguration von der Datenbank abgerufen werden kann Dieses Ereignis wird gesendet wenn die Correlation Engine vom angehaltenen in den ausgef hrten Zustand wechselt Systemereignisse f r Sentinel5 A 13 Tag Wert Schweregrad 1 Ereignisname EngineRunning Ressource CorrelationEngine Teilressource CorrelationEngine Meldung Correlation Engine is processing events Die Correlation Engine verarbeitet Ereignisse Correlation Engine wird angehalten Dieses Ereignis wird gesendet wenn die Correlation Engine vom ausgef hrten in den angehaltenen Zustand wechselt Tag Wert Schweregrad 1 Ereignisname EngineStopped Ressource CorrelationEngine Teilressource CorrelationEngine Meldung Correlation Engine has stopped processing events Die Correlation Engine hat das Verarbeiten von Ereignissen eingestellt Regelbereitstellung wurde gestartet Dieses Ereignis wird gesendet wenn eine Engine erfolgreich eine Regelbereitstellung l dt Diese Meldung wird ungeachtet des Ausf hrungszustands der Engine gesendet Tag Wert Schweregrad 1 Ereignisname DeploymentStarted
229. itsvisualisierung 24s4s0044nn0annnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 3 18 Drittanbieter Integration dee AEEA EEKEREN E E EAEEREN EAEEREN AESA ERKEN TE 3 23 Verwenden von benutzerdefinierten Men optionen mit Ereignissen 3 23 Verwalten der Spalten in einem Snapshot oder visuellen Navigatorfenster 3 24 Erstellen eines Snapshot eines visuellen Navigatorfensters us00nen nennen 3 25 Sortieren der Spalten in einem Snapshot 20u44440srsnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 3 26 Schlie en eines Snapshot oder visuellen Navigatorfensters 2 0220042400nnnnenn nennen 3 26 L schen eines Snapshot oder visuellen Navigatorfensters ssunnneennnnnnnnnennnnnnn 3 26 Hinzuf gen von Ereignissen zu einem Vorfall sssrsnsunnnnnnnnnnnnnnnnnnnnnnnannnnnnn nn 3 26 4 Registerkarte Vorf lle 4 1 Registerkarte Vorfall Beschreibung s44s4s400nnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnannnnnnn nn 4 1 Beziehung zwischen Ereignissen und Vorf llen u 20us2200nn40nnnnnnnnnnnnnnnnnnnnnn nenn 4 2 Anzeigen eines Vorfalls 02s00442400nnnnnnnnannnnnnnnnnenannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 4 2 Hinzuf gen einer Vorfallsansicht 40u0240nnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn en 4 4 Vorfallsfelder und details 0 0000000nnn
230. iviert Spalte den Wert O und in der zugeh rigen Status Spalte wird NOT_INITIALIZED angezeigt W ALL GROUP BY SERVER HOSTNAME olx as jaestas Startti stete Upmime version LJ Processes Health k i 3 4 k E deski Communication Server Correlation Engine 2 DAS_Aggregation DaS_Binary 9 DAS_Query DAS_RT DAS_iTRaC 0 Query Manager RuleLg Checker 1 Sonic Lock Remover a NOT_INITIALIZED 51 2 0 04 17 2006 11 43 3 18h 45 53 5 1 2 0 04 17 2006 11 43 1 Runnine 18h 46 14 5 1 2 0 ish as 14 5 1 2 0 tsh 46 14 5 1 2 0 2 18h 46 14 5 1 2 0 18h 45 54 5 1 2 0 Ds DR RUNO 18h 45 54 5 1 2 0 04 17 2006 11 43 1 Running 18h 46 15 5 1 2 0 Refresh 7 Options Refreshed At Tue Apr 18 06 29 34 EDT 2006 Sielisisisisists ajaj Prozesse starten stoppen oder neu starten Wenn Sie diese Aktion f r einen Prozess ausf hren m chten klicken Sie mit der rechten Maustaste auf den Prozesseintrag HINWEIS Die durch Klicken mit der rechten Maustaste zu aktivierenden Aktionen f r den Communication Server Prozess sind nicht aktiviert da durch das Stoppen des Communication Server Prozesses also des Kommunikationsservers der Kontakt mit allen Prozessen unterbrochen w rde Im Kontext der Serveransicht sind die Begriffe Starten und Automatische Neustarts wie folgt definiert Starten Gibt an wie oft
231. kt verf gbar Verwenden Sie zur Nutzung der vollen Wizard Funktionalit t den Collector Builder Auf der Registerkarte Collectors k nnen Sie einen Assistenten Host berwachen einen Collector berwachen Collectors starten und stoppen Collector Manager f r einen ausgew hlten Host EEE Rate empfangener Ereignisse Anzahl empfangener Erreignisse Aktivzeit WJ Collectors Heat Ei simon_ger 1a2 30 2 212 off 4 sendonevent lo 1 5945 3 sdm lo 1 7033 on I demoevent lo 1 8448 I demovalun 0 1 8108 I sendmultiplevents 0 1781s 4d noise 0 1 9228 J demoasset 0 1 9388 Bereit e Aktualisieren 7 Optionen Aktualisiert am 06 07 06 20 42 20 Layout Das linke Feld auf der Registerkarte Collectors enth lt einen Baum mit verschiedenen Ansichten Im Stamm des Baums befinden sich standardm ig zwei untergeordnete Objekte Collector Manager Ansichten und Collector Ansicht Im rechten Feld werden die Ansichten in Tabellenform angezeigt Jede Ansicht im rechten Feld verf gt ber einen Eintrag im Baum auf der linken Seite Im rechten Feld werden vier Ansichten angezeigt Collector Ansicht a Collector Ansichts Manager Collector Manager Ansicht Ansichts Manager f r Collector Manager Die Collector Ansicht zeigt Informationen zu Collectors und die Collector Manager Ansicht zeigt Informationen zu Collector Managern an J
232. l ssel ist ein eindeutiger Bezeichner f r die Datenzeile in den Zuordnungsdaten Key Configuration Map Key Field Event Tag Normalized ttackId 7 Klicken Sie auf Apply Anwenden HINWEIS Wenn Sie auf Anwenden klicken werden die an der zurzeit ausgew hlten Ereignisspalte vorgenommenen nderungen in einem tempor ren Puffer gespeichert Wenn Sie nicht auf Anwenden klicken und eine andere Ereignisspalte ausw hlen gehen die nderungen an der zuvor ausgew hlten Ereignisspalte verloren Die nderungen werden erst dann auf dem Server gespeichert wenn Sie auf Speichern klicken Sentinel Data Manager 10 21 8 Wenn Sie die Ereigniszuordnung einer anderen Ereignisspalte bearbeiten m chten wiederholen Sie die obigen Schritte Achten Sie darauf dass Sie nach dem Bearbeiten der Ereigniszuordnung der einzelnen Ereignisspalten immer auf Anwenden klicken 9 Klicken Sie auf Speichern HINWEIS Wenn Sie auf Speichern klicken werden die nderungen auf dem Server gespeichert Mithilfe der Funktion Speichern werden alle durch Auswahl von Anwenden im tempor ren Puffer gespeicherten nderungen auf dem Server gespeichert Umbenennen von Kennungen 10 22 Auf der Registerkarte Ereignisse k nnen Sie auch Labeln von vorhandenen Ereigniskennungen Namen zuweisen Sie k nnen beispielsweise das Label f r Ereigniskennung Ct2 in City umbenennen Dadurch wird die Ereigniskennung die zuvor in S
233. lSecure Guard Snort Sourcefire Symantec ManHunt Symantec Intruder Alert McAfee IntruShield Der IDS Collector f llt das Feld Device AttackName rtl eines Ereignisses Advisor verwendet diese Informationen zum Generieren von Angriffs und Anf lligkeitsinformationen Beispiele f r Anf lligkeiten sind wh00t backdoor nt telnet FINGER execution attempt tellurian tftpdnt filename bo FTP MKD Stack Overflow Klicken Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot mit der rechten Maustaste auf ein Ereignis oder auf eine Reihe ausgew hlter Ereignisse und klicken Sie dann auf Analyse gt Advisor Daten Wenn das Feld DeviceAttackName ordnungsgem ausgef llt wird wird ein hnlicher Bericht wie unten aufgef hrt angezeigt Dies ist ein Beispiel f r einen WEB MISC Amazon 1 Click Cookie Diebstahl Sentinel Benutzerhandbuch Advisor Summary WEB MISC amazon 1 click cookie theft 3991272 _ 1087 1194 8835 9010 WEB MISC amazon 1 click cookie theft 3992801 1194 8835 9010 Advisor Report Microsoft Excel contains a flaw that may allow a malicious user to rui warning the user The issue is triggered when a malicious user creat Excel macro commands and embed commands in a spreadsheet that launch the macro without asking the user for permission If may be p user to persuade the user to launch the file containing embedded ma loss of integrity and or availability of data 3 4 Urgency Severit
234. lationsregeln 1 2 3 ffnen Sie das Fenster Korrelationsregeln Klicken Sie mit der rechten Maustaste und klicken Sie dann auf Bearbeiten Bearbeiten Sie die Regel und klicken Sie auf Fertig stellen Registerkarte Admin 9 9 Aktivieren oder Deaktivieren einer Correlation Engine Aktivieren oder Deaktivieren einer Correlation Engine 1 ffnen Sie das Fenster Correlation Engine Manager 2 Markieren und klicken Sie mit der rechten Maustaste auf eine Correlation Engine und klicken Sie dann auf Engine aktivieren oder Engine deaktivieren Deactivate Engine Deploy Rules New Folder Rename Delete Bereitstellen von Korrelationsregeln Bereitstellen von Korrelationsregeln 1 ffnen Sie das Fenster Correlation Engine Manager Jolxl E jkorrelations Engines 0866417 A EF17 1028 BF03 001372134734 Beschreibung 2 Klicken Sie mit der rechten Maustaste auf einen beliebigen Ordner im Fenster oder markieren Sie die Engine um die Regel dort bereitzustellen und klicken Sie dann auf Bereitstellungsregeln 3 Platzieren Sie ein H kchen neben den Regeln die Sie bereitstellen m chten Klicken Sie auf OK 9 10 Sentinel Benutzerhandbuch 4 5 Deploy Rules Ea rCorrelation Rules M A Correlation Rules I H e Security Provided Rules E 17 u Security N N Application I C SANS Microsoft I DI SANS Unix HM N General M ButferOverflow V B Denial of
235. lay Interval fo Second v Line Chart Refresh Rate fo Second hi Ribbon Chart Total Display Time fs minute 7 Properties Bar 3D Chart Axis Values Y Aris Event Count v Auf der Registerkarte Parameter k nnen Sie Folgendes festlegen Anzeigeintervall die Zeit zwischen den einzelnen Intervallen Aktualisierungsrate die Anzahl von Sekunden nach der die Ereignisrate aktualisiert wird Gesamtanzeigedauer die Dauer w hrend der das Diagramm angezeigt wird Y Achse entweder Freignisanzahl oder Ereignisanzahl pro Sekunde Auf der Registerkarte Diagrammtypen k nnen Sie den Typ Ihres Diagramms auf 3D Balkendiagramm Gestapeltes 2D Balkendiagramm Liniendiagramm oder Banddiagramm einstellen Active Yiews Properties Parameters Chart Types Refine Event Table Chart Property Type Stackea Bar 2D di Auf der Registerkarte Ereignistabelle berarbeiten k nnen Sie einen Filter f r das Ereignisfeld in Ihrer aktiven Ansicht festlegen Registerkarte Active Views 3 7 Active Views Wizard x Step 4 Event Table Refinement Setup Refine the set of events displayed in the event table Show items that match these criteria lt Add criteria from below to this list gt Remove Value r Define more criteria Field Condition attack c r is exactly Ad
236. lecting Inaktive Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt wurde entfernt Zurzeit wird die Erfassung f r lt n gt Active View s ausgef hrt Inaktive permanente Active View entfernt DAS_Binary sendet dieses Ereignis wenn eine permanente Active View wegen Inaktivit t entfernt wird Permanente Active Views sind in den Benutzereinstellungen gespeichert und in der Standardeinstellung tritt nach mehreren Tagen der Inaktivit t eine Zeit berschreitung auf Tag Wert Schweregrad 1 Ereignisname RtPermanentChartRemoved Ressource RealTimeSummarysService Teilressource ChartManager Meldung Removed idle permanent Active View with filter lt filter gt and attribute lt attribute gt for users with security filter lt security filter gt Currently lt n gt Active View s Collecting Inaktive permanente Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt wurde entfernt Zurzeit wird die Erfassung f r lt n gt Active View s ausgef hrt Systemereignisse f r Sentinel5 A 19 Active View ist nun permanent DAS_Binary sendet dieses Ereignis wenn festgestellt wird dass eine Active View nun als permanent festgelegt ist Eine solche berpr fung wird regelm ig ausgef hrt daher kann dieses Ereignis wenige Minuten nach dem Speichern
237. lter Sie wenden benutzerdefinierte Tags an um die Ereignisinformationen zu erweitern ber Services f r Gesch ftsrelevanz und Taxonomiezuordnung und steuern die Daten Collectors ber Steuerservices Taxonomie Nahezu alle Sicherheitsprodukte generieren Ereignisse in unterschiedlichen Formaten und mit abweichendem Inhalt Ein Fehler bei der Anmeldung wird unter Windows und Solaris beispielsweise unterschiedlich gemeldet Die Taxonomie von Sentinel bersetzt ungleichartige Produktdaten in aussagekr ftige Begriffe und erm glicht so die gleichartige Echtzeitansicht der gesamten Netzwerksicherheit Die Sentinel Taxonomie formatiert und filtert unverarbeitete Sicherheitsereignisse bevor der Datenstrom um Ereigniskontext erg nzt wird Bei diesem Vorgang werden s mtliche Sicherheitsdaten in die f r die Verarbeitung durch Sentinel Correlation Engine optimale Struktur gebracht siehe nachfolgendes Diagramm Sentinel Benutzerhandbuch ISystemActivat CEE flow to serv Soap eontent JFFISMEI Sue degih 5 conieat 126 1 ES conterd 5e Copii S natasa dsiame Beer datanet 0 withirci E m man C Den 0 zum w hn 1 byte stit DRONU 01 00000000090 dD e BEDROHUNG 46 distant sort reference cye EEMO Chase tn Gesch ftsrelevanz Sentinel 5 f gt gesch ftsrelevante kontextbezogene Daten direkt in den Ereignisdatenstrom ein Es stehen bis zu 135 individuell anpassbare Felder zur Verf gung ber die Be
238. m globalen Filter entsprechen Wenn ein Ereignis keinem der aktiven globalen Filter entspricht bestimmt die Standardaktion wie mit dem Ereignis verfahren wird Das Feld Standardaktion kann die folgenden Einstellungen aufweisen Verwerfen Die Ereignisse werden nicht an das Sentinel Control Center oder die Sentinel Server Datenbank weitergeleitet Sentinel Benutzerhandbuch Datenbank Die Ereignisse werden direkt an die Datenbank gesendet Das Sentinel Control Center wird umgangen Datenbank und GUI Die Ereignisse werden an das Sentinel Control Center und die Sentinel Server Datenbank gesendet 8 Fahren Sie mit dem Hinzuf gen von Filtern fort bis Sie fertig sind 9 Klicken Sie auf Speichern Neuanordnen globaler Filter Neuanordnen globaler Filter 1 Klicken Sie im Fenster Globale Filterkonfiguration auf Bearbeiten 2 W hlen Sie einen Filter aus und klicken Sie auf Nach oben oder Nach unten um ihn in der Liste an eine andere Position zu verschieben 3 Klicken Sie auf Speichern L schen eines globalen Filters HINWEIS Beim L schen eines globalen Filters wird keine Best tigungsmeldung angezeigt So l schen Sie einen globalen Filter 1 Klicken Sie im Fenster Globale Filterkonfiguration auf Bearbeiten 2 W hlen Sie einen Filter aus der Liste und klicken Sie auf L schen 3 Klicken Sie auf Speichern Konfigurieren ffentlicher und privater Filter Beim Konfigurieren ffentlicher u
239. mehrere Spalten als Schl ssel festlegen wenn die Zuordnung keine Bereichszuordnung sein soll Bereichszuordnungen k nnen nur eine Schl sselspalte enthalten und der Spaltentyp muss auf NumberRange festgelegt sein Beispielsweise weist die AttackId Kennung den Namen DeviceName auf Name des Sicherheitsger ts wenn der Spaltentyp auf String festgelegt ist die DeviceAttackName Spalten sind als Schl ssel festgelegt und die Spalte NormalizedAttackID in der Zuordnung AttackNormalization wird als Wert verwendet In einer Zeile in der die DeviceName Ereigniskennung den Daten in der Zuordnungsspalte Device entspricht und der DeviceAttackName den Daten in der Zuordnungsspalte AttackSignature entspricht ist der Wert f r AttackId der Wert in der Spalte NormalizedAttackID Die soeben beschriebene Ereigniszuordnung ist wie folgt konfiguriert Reservedvar26 Data Source Reservedvar27 C External Reservedyar28 Reservedvar29 Referenced from Map s Map Name AttackSignatureitormalization x DeviceName DeviceCategory Map Column NormalizedAttack d z EventContext SourceThreatlevel Key Configuration SourcellserContext Map Key Field Event Tag DataContext Device Devicehame SourceFunction AttackSignature DeviceAttackNiame Sai vraf nar atinnalantavk Key Key Attackld entry AttackSignature Normalized ttackld Backi robe TCP 1234 3 Troj
240. mit den Daten aus dem Zeitraum zwischen 09 25 2003 00 00 00 25 September Mitternacht und 09 26 2003 00 00 00 26 September Mitternacht aus dem Verzeichnis tmp in die oben aufgef hrten Tabellen importiert Beispiel f r Oracle sdm action importData dirPath tmp startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFile sdm connect Sentinel Data Manager 10 39 Beispiel f r SQL Server sdm action importData dirPath c tmp startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFile sdm connect Im folgenden Beispiel werden die archivierten Dateien mit den Daten aus dem Zeitraum zwischen 09 25 2003 08 30 00 25 September 08 30 Uhr und 09 26 2003 20 00 00 26 September 20 00 Uhr aus dem Verzeichnis tmp in die oben aufgef hrten Tabellen importiert Beispiel f r Oracle sdm action importData dirPath tmp startDate 09 25 2003 08 00 00 endDate 09 26 2003 20 00 00 connectFile sdm connect Beispiel f r SQL Server sdm action importData dirPath c tmp startDate 09 25 2003 08 00 00 endDate 09 26 2003 20 00 00 connectFile sdm connect L schen von importierten Daten 10 40 Mit dieser Aktion dropImported werden die importierten Daten aus dem angegebenen Zeitraum aus den unterst tzten Tabellen gel scht Oracle HIST_EVENTS a HIST_CORRELATED_EVENTS SOL Server HIST_EVENTS a HIST_CORRELATED_EVENTS
241. mit der Datenbank sssssssssssssrssssrrsssirrssrirnssrinnnnsrnnnnnrennnns 10 2 P rtiti nenz 24 ee AT AE E dere A 10 4 Tabellenbereicher u 2s4Hu reelle el AAEE 10 6 Registerkarte Zuordnung areas EAEE a EREA EENE EERE ERAS 10 7 Registerkarte Ereignisse inisin deae aa rana neama aae AA Eae Aeara aa AA Ea asihan aiia Rain 10 17 Registerkarte Bericht f r Daten uu nunnsennsnensnsnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnn 10 23 SDOM Betehlszele ern arien Ra iE RE aR E A O RE a A AEREE A a ARTA a RENE A RRES 10 28 Speichern von Verbindungseigenschaften f r Sentinel Data Manager 10 28 Verwaltung von Partitionen seseksesk 220 24 10 30 Verwaltung der Archivierung 24000044440RRHnnnnnannnnnnnnannnnnnnannnnnnnannnnnnnannnnnnnnannnnnnnannnn 10 34 Imp rtverw ltungisszersrses ie sale ker eiineikosedn 10 37 Verwaltung von Tabellenbereichen 444nn nenn nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 10 41 Aktualisieren von Zuordnungen Befehlszeile 0sn40rsnnnnnnnnnnnnnnnnnnnnnn nn 10 42 Verwenden des von Novell bereitgestellten Skripts f r die automatische Verwaltung nur Windows s2s0srsnsunssnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnn 10 42 Einrichten der Datei Manage_data bat f r das Archivieren von Daten und das Hinzuf gen von Partitionen 40srs40unnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 10 43 Planen
242. n Sentinel Benutzerhandbuch ESEC_HOME sentinel bin map_data Bei diesen beiden Dateien handelt es sich um attackNormalization csv und exploitDetection csv Die Datei attackNormalization csv wird erstellt im Anschluss an Advisor Feed DAS Start wenn in das_query xml aktiviert standardm ig deaktiviert Die Datei exploitDetection csv wird im Anschluss an einen der nachfolgenden Schritte erstellt Advisor Feed Anf lligkeits Absuchvorgang Sentinel Server Start wenn in das_query xml aktiviert standardm ig deaktiviert Standardm ig werden zwei konfigurierte Ereignisspalten f r die Exploit Erkennung verwendet der Verweis auf sie erfolgt von einer Zuordnung alle zugeordneten Tags sind mit dem Schriftrollensymbol versehen Vulnerability Attackld Severity Yulnerability f Attackld sp p o Wenn das Feld f r die Anf lligkeit vul 1 entspricht wird der Bestand bzw das Zielger t ausgenutzt Wenn das Feld f r die Anf lligkeit 0 entspricht wird der Bestand bzw das Zielger t nicht ausgenutzt In Sentinel sind die nachfolgend angegebenen Zuordnungsnamen vorkonfiguriert die mit attackNormalization csv und exploitDetection csv verkn pft sind Zuordnungsname Name der csv Datei _AttackSignatureNormalization______________ _attackNormalization csv______________ IsExploitWatchlist exploitDetection csv Es gibt zwei Typen von Datenquellen
243. n ffnet ein Browserfenster Regelordner exportieren ffnet ein Browserfenster zum Exportieren des Regelordners als XML Datei Bearbeiten Erm glicht das Bearbeiten der Regel und Ordnereigenschaften sowie das Anzeigen in einer Vorschau ffnen des Fensters Korrelationsregeln 1 Klicken Sie auf die Registerkarte Admin 2 Klicken Sie im Admin Navigator auf Korrelationsregeln Kopieren und Erstellen eines Regelordners oder einer Regel 9 8 Erstellen eines Regelordners 1 ffnen Sie das Fenster Korrelationsregeln 2 W hlen Sie den bergeordneten Ordner aus in dem der neue Ordner erstellt werden soll 3 Klicken Sie mit der rechten Maustaste und klicken Sie dann auf Neuer Ordner Geben Sie f r den Regelordner einen Namen mit maximal 255 Zeichen und ohne Punkte ein Die Gro und Kleinschreibung muss beachtet werden 5 Optional Geben Sie f r die Regel eine Beschreibung mit maximal 1024 Zeichen ein 6 Klicken Sie auf OK Erstellen einer Regel 1 W hlen Sie den bergeordneten Ordner aus in dem die neue Regel erstellt werden soll 2 Klicken Sie mit der rechten Maustaste und klicken Sie dann auf Neue Regel Sentinel Benutzerhandbuch 4 Der Regelassistent wird ge ffnet W hlen Sie einen der folgenden Regeltypen aus Beobachtungsliste Grundlegende Korrelation Erweiterte Korrelation Ohne Formatvorgabe HINWEIS Beschreibungen der Regeltypen finden Sie
244. n SDM_ log protokolliert Einrichten der Datei Manage_data bat f r das Archivieren von Daten und das Hinzuf gen von Partitionen Vorkonfiguration Vor dem Konfigurieren der automatischen Ausf hrung des Archivierens von Daten und des Hinzuf gens von Partitionen m ssen Sie folgende Aufgaben ausf hren Speichern von Verbindungseigenschaften Festlegen von Archivierungsparametern HINWEIS Wenn Sie eine Verbindungsdatei an einem anderen Speicherort oder mit einem anderen Dateinamen als der Standardeinstellung ESEC_HOME sdm sdm connect gespeichert haben m ssen Sie die Datei manage_data bat so bearbeiten dass der Pfad zur Verbindungsdatei aktualisiert wird Festlegen von Archivierungsparametern Dieser Vorgang kann ber die Befehlszeile ausgef hrt werden Mithilfe dieser Aktion archiveConfig wird die Archivierung konfiguriert Diese Konfiguration steuert wie die Daten aus den Sentinel Tabellen archiviert werden F r diese Aktion werden folgende Flags verwendet action archiveConfig dirPath lt g ltiger Verzeichnispfad in den die archivierten Dateien geschrieben werden sollen gt keepDays lt Beibehaltungsdauer in Tagen gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Erstellen von Archivierungsparametern ber die Befehlszeile 1 Erstellen Sie im Stammverzeichnis ein Ausgabeverzeichnis f r das Archiv mit der Bezeichung S
245. n Form von Arbeitselementen an die zugewiesene Ressource Wenn es sich bei der zugewiesenen Ressource um einen Benutzer handelt wird das Arbeitselement nur an diesen Benutzer gesendet Wenn die Aktivit t hingegen einer Funktion zugewiesen wurde wird an alle Benutzer dieser Funktion ein Arbeitselement gesendet Der iTRAC Server wartet dann bis der Benutzer das Arbeitselement abgeschlossen hat bevor er mit der n chsten Aktivit t fortf hrt Arbeitslisten 5 6 Die Arbeitselemente werden dem Benutzer ber eine Arbeitsliste angezeigt die Details zu allen Arbeitselementen enth lt die diesem Benutzer zugewiesen sind Dies ist die Aufgabenliste f r den Benutzer Sentinel Benutzerhandbuch a Work Items 01 9 Work items EHA HIPAA 0 ESY AssignUser 0 port scan C3 port scan Die Arbeitsliste kann ber jede Registerkarte der Sentinel Benutzeroberfl che angezeigt werden Die Arbeitselemente sind nach Vorgang und Aktivit t gruppiert Fett formatierte Arbeitselemente sind jene Arbeitselemente die noch nicht vom Benutzer akzeptiert wurden Die Arbeitsliste erm glicht den Benutzern die Interaktion mit den einzelnen Arbeitselementen Die Benutzer k nnen doppelklicken oder mit der rechten Maustaste klicken und dann Details w hlen um Arbeitselementdetails anzuzeigen Die Benutzer k nnen mit der rechten Maustaste klicken und dann nicht akzeptierte Arbeitselemente akzeptieren Die Be
246. n Attacke Datenfeed in das folgende Verzeichnis F r Windows lt Bei der Installation festgelegtes Verzeichnis f r Advisor Datendateien gt attack oder F r UNIX lt Bei der Installation festgelegtes Verzeichnis f r Advisor Datendateien gt attack Entpacken Sie die ZIP Dateien f r den Warnungs Datenfeed in das folgende Verzeichnis F r Windows lt Bei der Installation festgelegtes Verzeichnis f r Advisor Datendateien gt alert oder F r UNIX lt Bei der Installation festgelegtes Verzeichnis f r Advisor Datendateien gt alert Wechseln Sie zu folgendem Verzeichnis F r Windows ao ESEC_HOME sentinel bin F r UNIX SESEC_HOME sentinel bin Sentinel Benutzerhandbuch 8 F hren Sie den folgenden Befehl aus F r Windows advisor bat F r UNIX advisor sh HINWEIS Die Dateien advisor sh und advisor bat aktualisieren die Datenbank und l schen dann die Attacke und Warnungsdateien die in die Verzeichnisse attack und alert entpackt wurden Direktes Herunterladen vom Internet Manuelle Aktualisierung von Advisor Manuelle Aktualisierung des Advisor Feed 1 Wechseln Sie zu folgendem Verzeichnis F r Windows ESEC_HOM F r UNIX E sentinel bin SESEC_HOME sentinel bin 2 F hren Sie den folgenden Befehl aus F r Windows advisor bat F r UNIX advisor sh HI
247. n Daten und bietet die Flexibilit t Daten gem der Entwicklung auf dem Softwaremarkt und sich ndernder gesch ftlicher Anforderungen von neuen Technologien und Produkten zu sammeln Viele der Funktionen in Sentinel 5 sind das Ergebnis einer strukturellen Umgestaltung von Sentinel 4 0 und von den Anforderungen der Kunden von Novell beeinflusst Aufgrund der zunehmenden Sicherheitsbedrohungen und des steigenden Drucks durch Bestimmungen suchen Unternehmen nach einer L sung mit der sie folgende Punkte abdecken k nnen die Sichtbarkeit und den Einblick gewinnen die erforderlich sind um eine gr ere Kosteneffektivit t der Sicherheitsumgebung zu erreichen die Einhaltung interner Richtlinien und rechtlicher Vorschriften z B Sarbanes Oxley HIPAA GLBA FISMA NISPOM DCID 6 3 und DITSCAP fortlaufend berwachen Vorf lle schneller und mit gesteigerter Kosteneffektivit t mittels zentralisierter und automatisierter Sammlung und Aufl sung von Daten zu Bedrohungen und Richtlinien ermitteln und l sen Betriebs und Exekutivmetriken bereitstellen um fortw hrend die Position hinsichtlich Sicherheit und Einhaltung von Bestimmungen zu bewerten und um sowohl taktische als auch strategische Ziele zu verfolgen betriebliche Kosten verringern die mit der berwachung der Sicherheit und der Einhaltung von Bestimmungen sowie der Ermittlung und Sanierung von Vorf llen verbunden sind Sentinel Einf hrung 1 1 DARSTELLUNG
248. n Sie auf die Registerkarte iTRAC 2 Klicken Sie auf die Schaltfl che Ansichtsoptions Manager 3 4 Doppelklicken Sie auf eine der Standardansichten oder erstellen Sie eine neue Ansicht Die Standardansichten sind Alle Vorg nge Vorg nge nach Vorfall Vorg nge nach Status Markieren Sie im aktiven Vorgangs Manager einen Vorgang und doppelklicken Sie darauf site incidentommer ineidentd LastUpdeteTime GY Processes 7 HIPAA running 02 2005 01 18 running 2005 01 18 09 05 00 EST 1 55 NID_AttackID Hy SANS Incident Response Refresh Refreshed At Tue Jan 18 09 23 33 EST 2005 Sentinel Benutzerhandbuch Process Monitor Tue Jan 18 09 07 57 EST HIPAA InstancelD 3_iTrac_HIPAA EvertType process_created Tue Jan 18 09 07 57 EST SP HIPAA 3_iTrac_HIPAA process_context_changed H containmentOutput p Tue Jan 18 09 07 58 EST F HIPAA 3_iTrac_HIPAA process_context_changed HId AId 102 Tue Jan 18 09 07 59 EST SP HIPAA 3_iTrac_HIPAA process_context_changed userName null userName null Tue Jan 18 09 07 59 EST 2 HIPAA 3_iTrac_HIPAA process_state_changed IX not_started gt running Ready E Refresh Created State running So legen Sie eine Vorgangs Manager Option fest Starten ode
249. n Sie im Navigator auf iTRAC Verwaltung gt Schablonen Manager 3 Markieren Sie eine vorhandene Schablone klicken Sie mit der rechten Maustaste und klicken Sie dann auf Anzeigen Klicken Sie im Schablonenfenster auf die Schaltfl che Vorgangsdetails 2 4 Im Dialogfeld Vorgangsanpassung k nnen Sie Folgendes bearbeiten Name Dauer Minuten Sekunden Stunden oder Tage Zeit berschreitung Ist diese Option aktiviert m ssen Sie eine Email Adresse und eine Zeit eingeben Beschreibung N Vorgangsanpassung E E x Ep Name sans Incident Handling Dauer Minuten v Email I Zeit berschreitung Begrenzung Beschreibung ANS Incident Handling OK Abbrechen ndern manueller Aktivit ten Sie k nnen die Ressource Benutzer Funktion die Zeit berschreitung und die Beschreibung manueller Aktivit ten bearbeiten 1 Klicken Sie auf die Registerkarte iTRAC 2 Klicken Sie im Navigator auf iTRAC Verwaltung gt Schablonen Manager Registerkarte TRACTM 5 3 5 4 3 Markieren Sie eine vorhandene Schablone klicken Sie mit der rechten Maustaste und klicken Sie dann auf Anzeigen 4 Die Schablone wird in einem separaten Fenster angezeigt 5 Zum Bearbeiten doppelklicken Sie auf eines der Symbole f r eine manuelle Aktivit t in der Schablone und nehmen Sie die gew nschten nderungen vor HINWEIS Die folgenden manuellen Aktivit ten in der vorhanden
250. n der Browsereinstellungen f r die Men konfiguration uueesennnee 9 24 DAS STAUSUK re nee en 9 26 Ereignisdatelelnfe 22 areas ir see AAR 9 27 BEnulzErkonfiguralionen aaanniin A RER 9 28 ffnen des Fensters Benutzer Manager 40sn40nsnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 9 29 Erstellen eines Benulzerkonl s u La nanmanna nanne ente 9 29 ndern eines Benutzerkontos un een nennen 9 31 Anzeigen von Benutzerkontodetails uusrnnsennnnnnnennnnnnnnennnnnnnnnnnnnnnennnnnnnennn nn 9 31 Klonen eines Benutzerkontos 444ss4snnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnennennnnnnnnnnnnennn nn 9 31 L schen eines Benutzerkontos u 422444Hnsnnnnnnnnnnnennnnnnnnnnnennnnnnnnnnnnennennnnnnnn nn nn nn 9 31 Beenden einer aktiven Sitzung ersnsusssnennnnnnennnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnn 9 32 Hinzuf gen einer ITRAC Funktion uursssesssesnssnennsnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 9 32 L schen einer ITRAC Funktion 22 24404n40nsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 9 32 Anzeigen von Funktionsdetails usernesennnnnnnennnnnnnnnnnnnnnnennnnnnnnnnnnnnennnnnnnennnn nenn 9 32 4 Sentinel Benutzerhandbuch 10 Sentinel Data Manager 10 1 instaleren des SDM eieiei aeii 2 nenn ea AE e EEA 10 1 Starten der SDM GUl u 22 hE EIE E EEREN AE E AE A E Ea 10 2 Herstellen einer Verbindung
251. n f r eine Zusammenfassung neeznnnnersennnn nennen 10 28 Deaktivieren von Zusammenfassungen 10 25 G ltigkeit einer Zusammenfassung 10 26 Aktive Ansicht anzeigen 12er 3 4 Diagrammtypen ndern 3 6 Echtzeitereignistabelle filtern 3 6 Eigenschaften 22244444244 HH nn 3 3 Ereignistabelle anpassen 3 6 Erstellen eines Snapshot 3 25 Parameter zur cksetzen eee 3 6 visueller Navigator 3 4 Aktivieren Men option f r die Men konfiguration 9 24 Aktivit t ndem 5 2 a a a 5 13 erstellen 222u000nnneeeennneesnnnnennnnnnee 5 12 EXPOrtieren neuneensnnesnnsnnennennnennnannennenaneen 5 14 IMpPorlieren 22 2244044HHnnBn nn nnnannen essen 5 14 mit der rechten Maustaste klicken 5 8 5 9 Aktualisieren des Lizenzschl ssels Host ID UNIX ueueeneneeneneeneneenenneneneenen 11 11 Host ID Windows seese 11 11 Analysenbericht URL konfigurieren 9 2 ndern Benutzerkonten 2222444ssnn nen 9 31 Collector Ansicht 24000 nennen 8 4 Men option f r die Men konfiguration 9 23 ffentlicher Filter 9 20 privater Filter uu4444n nennen 9 20 VOolalaesseen EAA 4 8 Anf lligkeit Advisor Daten 2400usnnneennnennn 3 16 Pr fens sn 3 22 SmartViews uacessnssensennnennsnnnnnnnnn
252. n und leitet diese ber DAS an die Datenbank weiter Die Anforderungen von Sentinel Control Center definieren die erforderlichen Ereignisse mithilfe eines Filters falls ein Filter verwendet wird empf ngt der Abfrage Manager die Filterdefinition und konvertiert den Filter in ein XML Kriterium Der Abfrage Manager sendet die Anforderung anschlie end an DAS Nicht alle Filter k nnen vollst ndig in Abfragen umgewandelt werden die die Datenbank verarbeiten kann Falls der Filter vollst ndig konvertiert wurde weist der Abfrage Manager DAS an die Antwort direkt an das Sentinel Control Center zu senden Wenn der Filter regul re Ausdr cke enth lt die nicht in SQL Structured Query Language umgewandelt werden k nnen wandelt der Abfrage Manager den enstprechenden Teil um und erstellt ein konservatives XML Kriterium das einen bergeordneten Satz der erforderlichen Ereignisse zur ckgibt In diesem Fall wird DAS vom Abfrage Manager angewiesen das Ergebnis an ihn zur ckzugeben Wenn die Antwort an den Abfrage Manager zur ckgegeben wird wird sie im Arbeitsspeicher gefiltert und die Ereignisse die den Filter passieren werden an das Sentinel Control Center gesendet Logische Architektur 1 16 Sentinel 5 besteht aus drei logischen Schichten Sammel und Erweiterungsschicht Gesch ftslogikschicht Darstellungsschicht In der Sammel Erweiterungsschicht werden die Ereignisse von externen Datenquellen aggregiert die ger tespezifischen
253. nalyse Aktuelle Anf lligkeit Fragt die Datenbank nach Anf lligkeiten ab die zum aktuellen Zeitpunkt aktiv wirksam sind Ereigniszeitanf lligkeit Fragt die Datenbank nach Anf lligkeiten ab die zum Zeitpunkt des ausgew hlten Ereignisses aktiv wirksam waren 170 100 1 1 EventName Email Create Incident Add To Incident view Trigger Events Investigate Analysis gt ping Advisor Data Asset Data Current Yulnerabilty R Event Time Yulnerabilty nslookup tracert Sentinel Benutzerhandbuch 2 Klicken Sie am unteren Rand des Fensters Anf lligkeitsergebnisse auf eine der folgenden Optionen Diagramm Ereignis Anf lligkeit Anf lligkeitsbericht 3 F r Diagramm Ereignis Anf lligkeit Innerhalb der Anzeige k nnen Sie Knoten und ihre Kennungen verschieben einen von vier verschiedenen Layoutalgorithmen zum Anzeigen des Diagramms verwenden alle Knoten oder nur jene Knoten anzeigen denen Ereignisse zugeordnet sind eine Filterung im Baum durchf hren wenn eine gro e Anzahl von Ressourcen als anf llig zur ckgegeben wurde ausgew hlte Bereiche vergr ern und verkleinern Drittanbieter Integration Die Drittanbieter Integration erm glicht Ihnen das Senden von Ereignissen aus jeder beliebigen Anzeige einschlie lich Vorf llen und der zugeh rigen Objekte an eines der folgenden Programme HP Se
254. nd privater Filter k nnen Sie Einen Filter hinzuf gen Filterdetails anzeigen Einen Filter klonen Einen Filter l schen Einen Filter ndern Registerkarte Admin 9 17 PUBLIC PUBLIC Filtername Operating_Syst IDS_Events N Finermonoger A_icixi Ausdruckszeichenkette fiter e Devicelategory OS fitter e Devicelategory DS PUBLIC PUBLIC Database_Events High_Severity fiter e DeviceCategory DB fitter e Severity gt 3 PUBLIC Low_Severity fiter e Severity lt 2 PUBLIC PUBLIC Firewall_Events Correlation fiter e Devicelategory PAN fitter e SensorType C or e SensorType A PUBLIC PUBLIC PUBLIC PUBLIC PUBLIC Exploit_Detection External_Events ALL Scan_Events Severe_Internal fiter e vulnerability 1 fitter e SensorType l and e SensorType P fiter 1 1 fiter e Devicelategory SCAN fiter e SensorType l and e Severity gt 3 PUBLIC Internal_Events Filterkonfiguration verwalten fiter e SensorType l Hinzuf gen eines Filters 9 18 So f gen Sie einen ffentlichen oder privaten Filter hinzu 1 Klicken Sie auf die Registerkarte Admin 2 Klicken Sie auf Admin gt Filter Manager oder w hlen Sie Filter Manager unter dem Ordner Filterkonfiguration im Navigator 3 Kl
255. ne neue Ansicht Ein Wizard Host Fenster wird angezeigt Ei Collector View Manager R A iojxi 7 ALL COLLECTORS Status EventsReceivedRate ManagerName Ascending s E COLLECTORS BY MANAGER Rate empfangener Ereignisse Name des Managers Ascendin None 7 COLLECTORS BY STATUS Status Rate empfangener Erelg Status Ascending Beret Aktualisieren Anwenden Ansicht hinzuf gen Erstellen einer Collector Ansicht Erstellen einer Collector Ansicht 1 Klicken Sie auf die Registerkarte Collectors 2 Klicken Sie auf Ansichts Manager f r Collector Manager 3 Klicken Sie auf Ansicht hinzuf gen um eine neue Ansicht zu erstellen Geben Sie Ihren Optionsnamen ein Klicken Sie auf Felder um festzulegen welche Felder angezeigt werden sollen Klicken Sie auf die Schaltfl che Gruppieren nach um verschiedene Titel zu gruppieren Klicken Sie auf Sortieren um eine Sortierung nach Titeln vorzunehmen Klicken Sie auf die Schaltfl che Filter um einen Filter anzuwenden Nachfolgend sehen Sie eine Ansicht f r die Gruppieren nach auf ManagerUUID eingestellt ist und die nach Version sortiert ist inter leixi Collector Anzahl der Datenbankereignisse Rate der Datebankereignisse WJ Collectors Health EHO 2E34351C EF34 1028 A1C7 00137213473A EQ 5130 EHC 2E34351C EF34 1028 41C8 001372134734 2 5130 EHC 2E34351C EF34 1028 41C9 001372134734 J 51
256. nen von Ereignismen optionen So verschieben Sie eine Ereignismen option nach oben oder unten 1 ffnen Sie das Fenster Men konfiguration 2 W hlen Sie eine Men option und klicken Sie auf Nach oben oder Nach unten L schen einer Men option f r die Men konfiguration So l schen Sie eine Men option f r die Men konfiguration 1 ffnen Sie das Fenster Men konfiguration 2 W hlen Sie eine Men option aus und klicken Sie auf L schen Klicken Sie auf Ja um die Men option zu l schen Klicken Sie auf Nein um die Men option beizubehalten Bearbeiten der Browsereinstellungen f r die Men konfiguration Diese Option erm glicht Ihnen das Senden der Ausgabe Ihrer Men konfigurationsoption an einen externen Browser Der externe Browser kann eine beliebige Anwendung sein Es k nnen nicht nur Internetbrowser verwendet werden Durch nderung der Dateierweiterung k nnen Sie jede beliebige Anwendung starten die mit dieser Erweiterung verkn pft ist Die Erweiterung TXT beispielsweise ist in der Regel mit dem Editor verkn pft Sie k nnen jedoch auch angeben dass ein bestimmtes Programm gestartet werden soll Beispielsweise k nnen Sie TXT Dateien von Wordpad oder einem anderen Texteditor ffnen lassen 9 24 Bearbeiten der Browsereinstellungen f r die Men konfiguration 1 ffnen Sie das Fenster Men konfiguration 2 Klicken Sie auf Browser Sentinel Benutzerhandbuch N Men konfigurati
257. nennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn A 9 Zeit berschreitung beim Aktualisieren von Zuordnung 244rs44enssnnnnnnnnnnnnnnnnnnnnn A 9 Fehler beim Aktualisieren von Zuordnung 2 2440444440nnnnonnnnnnnnnnnnnnnnnnnnnnnnnnn manner nn A 9 Laden von gro er Zuordnung 2444s4ssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn anne A 10 Langes Laden von Zuordnung 2444444s44HRnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn nennen A 10 TimedoutWaitingForCallback r244404sn0nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannenn nn A 11 EroigMS OUE KSRTERRETERSEHPERLTRRLHFLEESELSEFTETRLHEFETTRTERTEEFSELERTTERTHETERSEHEFFTREIERTEFLTERCHETERSEHEFFURRGTRTTERGETFTERSEN A 12 Ereignisrouter wird ausgef hrt 0rsnssssnennnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn A 12 Ereignisrouter wird initialisiert 444444444Hn nn nnnnnnnennnnnnnennnnnnnnennnnnnnennnennnnnnnennn nenn A 13 Ereignisrouter wird angehalten 24 s44444444n Rn nnnnnnnnnnnnnnnennnnnnnennnnennennnnnnnnn nn ennn nenn A 13 Ereignisrouter wird beendet 44ssssnannnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn A 13 amp rrelation Endinen ga Heiner E ren a EEE HoRIEE OE A 13 Correlation Engine wird ausgef htt uusrssussseensssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn A 13 6 Sentinel Benutzerhandbuch Correlation
258. net TCP 23 talnet TEP 25 smtp TCP 25 smtp TCP 25 smtp TCP 587 submission TCP 587 submission TCP 587 submission TCP 124 nessus TCP 1241 nessus TCP 336 mysql TCP 121071 43 OJJFTEP O ZTEP 21 ftp TCP 21 fp TCP 22 ssh TCP 23 telnat TCP 23 talnet TCP 23 telnat TCP 25 srntp TCP 25 smtp TCP 25 srmtpl STOP 25 smtp TCP 25lsrmtp TCP 25larmntp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP dnsix TCP 90 dnsiz TCP X dnsix TCP I0 dnsir TCP Widnsix TCP 90 dnsik TCP Widnsix TCP 90 dnsit TCP 111 sunrpc TCP 111 sunrpc TCP 161 snmp UDP 512 axec TCP 513 login TCP 514 shell TCP 587 subrnlssian s TCP 587 submlsslan TCP S Tisubrisslan TCP S 7isubmisslon TCP 587 submission TCP 587 subrission TCP 587 subrnisston J TCP 587 submilsslan STCP 587 subrmisslan TCP S87 submisslon TCP 6000 x11 TCP 7100 font servlc TCP IZrrSlsometimes rpei 3 TCP 32779 sometirnes rpr21 TCP 32779 sometimes rpc21 TCP 32773 sometimes rpc21 TCP Die grafische Anzeige ist eine Darstellung der Anf lligkeiten die diese ber allgemeine Ports mit einem Ereignis verbinden Nachfolgend sehen Sie vier Beispiele f r verf gbare Ansichten Registerkarte Active Views 3 19 ftp 21 TCP 190 165 12 24 telnet 199 168 110 23 TCP 199 168 10 25 er dnsix 189 168 10 22 Ha amp can en SOTCP EL E d
259. ngezeigt werden So erstellen Sie einen Vorfall 1 W hlen Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot ein Ereignis oder eine Gruppe von Ereignissen aus klicken Sie mit der rechten Maustaste darauf und w hlen Sie Vorfall erstellen Show Details Add To Incident Email View Trigger Events ping Das Fenster Neuer Vorfall enth lt die folgenden Registerkarten Ereignisse Zeigt aus welchen Ereignissen der Vorfall besteht Best nde Zeigt betroffene Best nde an Anf lligkeit Zeigt verwandte Bestandsanf lligkeiten an Advisor Enth lt Informationen zu Bestandsangriffen und Warnmeldungen Workflow Auf dieser Registerkarte K nnen Sie einen WorkFlow iTrac zuweisen Verlauf Zeigt den Vorfallsverlauf an Anlagen Sie k nnen jedes Dokument oder jede Textdatei mit Informationen ber diesen Vorfall beif gen Geben Sie in das Dialogfeld Vorfall erstellen Folgendes ein Titel Status Schweregrad Priorit t Kategorie Zust ndig Das Benutzerkonto das dem Fall zugewiesen ist Beschreibung L sung Klicken Sie auf Speichern Der Vorfall wird auf der Registerkarte Vorf lle im Sentinel Control Center hinzugef gt Sentinel Benutzerhandbuch Anzeigen von Ereignissen die ein korreliertes Ereignis ausgel st haben Sie m ssen mit der rechten Maustaste auf ein korreliertes Ereignis klicken um die Ereignisse a
260. nnen diese Daten einen Umfang von Hunderten Megabyte aufweisen Die Algorithmen von iSCALE Map Service verarbeiten umfangreiche referenzielle Datengruppen in einem Produktionssystem in dem gro e Echtzeitdatenvolumen verarbeitet werden Diese Algorithmen erkennen und analysieren Aktualisierungen und bermitteln per Push Vorgang gezielt nur die nderungen bzw Deltadatengruppen aus dem Repository an den Rand den Umkreis des Systems Streaming von Zuordnungen Bei Map Service kommt ein Modell zur dynamischen Aktualisierung zum Einsatz und die Zuordnungen werden per Streaming von einen Punkt an den anderen bertragen Auf diese Weise wird verhindert dass sich gro e statische Zuordnungen im dynamischen Speicher ansammeln Der Wert dieser Streaming Funktion erweist sich inbesondere in einem f r das Unternehmen essenziellen Echtzeitsystem wie Sentinel in dem Datenbewegungen zuverl ssig pr diktiv und flexibel erfolgen m ssen unabh ngig von einer m glichen tempor ren Auslastung des Systems Exploit Erkennung Zuordnungsservice In Sentinel k nnen Querverweise zwischen Ereignisdatensignaturen und Daten von Anf lligkeits Absuchprogrammen erstellt werden Benutzer werden automatisch und umgehend benachrichtigt wenn ein anf lliges System durch einen Angriff ausgenutzt zu werden droht Hier kommt Folgendes zum Einsatz Advisor Feed Intrusion Detection Anf lligkeits Absuchvorg nge Firewalls Advisor stellt einen Quer
261. nnneennnnnnnennnnnnnennnnnnnnennnnnnnennnnnnnnnnennnnnnnennnnannennnn 4 5 Erstellen eines Vorfalls 4 1 22 aka ei N elsfeneinlifusnkeilauldel 4 6 2 Sentinel Benutzerhandbuch Anzeigen und Speichern von Anlagen nuuunsnnseenseennnnnnnnnnnnennnennnnn nennen nnnnn nennen nn nn 4 6 Senden eines Vorfalls per Email ursssssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 4 8 ndern eines Volfallde aan ausdehnen ee earth 4 8 L schen eines Vorfalls 2 2200444440nnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnen 4 9 5 Registerkarte ITRACTM 5 1 Schablonen Vorgangsdefinition uersssrsnsnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 5 1 Schablonen Manager sa aea ara annaas aaea aAa aaa aa arne aa nie 5 2 StandardschabloneN wte etii isore saara a a aa aaa aS aaa a a a aaa 5 2 Vorgangsausf hr ng aee ee tratan e ama eaaa a aa naa Ta anaE AA aa Aaa aaa Aaaa a aa a airada 5 5 Instanziieren eines Vorgangs sot sisera sekanta Anra oke AKE RERE RANS E ea TERENS 5 6 Ausf hrung automatischer Aktivit ten ssseesseesseeeseeesnresrrsrnernnrnssrnssrnssrnnsnnssrnssrnssnnnsens 5 6 Ausf hrung manueller Aktivit ten ursnsunnsennnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnannnnnnnnnnnnn 5 6 Arbeitslisten arte EAEE EEE A A I EEEE lese ea 5 6 Arbeitselemente 822 SEER REE anA SR EREN A EGAT TAERE EE S EEEE KETGUR 5 7 Akzeptieren eines Arb
262. nnnnnnnnnnnnnnnnennnnnnn nennen 3 2 Neukonfigurieren der maximalen Anzahl von Ereignissen und des Cache Werts in aktiven Ansichten nn er Aal IR IH 3 3 So zeigen Sie Echtzeitereignisse an uunnessessnnennennnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 3 4 So setzen Sie die Parameter den Diagrammtyp oder die Ereignistabelle einer aktiven ANSICHT ZUFUCK na a ea ee IH 3 6 Rotieren eines 3D Balkendiagramms oder eines Banddiagramms en 3 8 Ein und Ausblenden von Ereignisdetails 0 4444004 2snnHonnnnnnennennnnennnnenneenneenn nennen 3 9 Senden von Nachrichten ber Ereignisse und Vorf lle per Email en 3 10 Erstellen eines V orfallsves te e een ehe lieelenunieniadhulhd 3 12 Anzeigen von Ereignissen die ein korreliertes Ereignis ausgel st haben 3 13 Untersuchen eines Ereignisses oder von Ereignissen 240rsnn0ennnnnnnnnnnannnnnnnnnnnnnnn 3 13 Untersuchen Diagrammzuordnung 22444ss4ssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn ann 3 14 Untersuchen Ereignisabfrage 2urs40nnsennnnnnennnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnannnnnnnnnann 3 16 Analyse Anzeigen von Advisor Daten 44snnnnnnnnennnnnnnennnnnnnennnnnnnnnnnnnnnennnnnnnennnn nn 3 16 Analyse Anzeigen von Bestandsdaten 24ssrnnnnsnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnnnnnnnnnnnnn nn 3 17 Analyse Anf lligke
263. nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen 1 27 2 Navigation im Sentinel Control Center 2 1 Starten des Sentinel Control Center nunsesssssssnsssnsnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 2 2 Starten des Sentinel Control Center unter Windows uuueessssssssnsnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen 2 2 Starten des Sentinel Control Center unter UNIX uuususssssssnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 2 2 Men leiste a a a a aeg 2 2 Men Dater 02 2 e a ae i en ee a 2 2 Menu Optone M sa aea en n a a a a FETTE TE a E a E TERSTETH ENTE 2 2 Men Fenster 4 2 He ar a ee 2 3 Active Views N ee ee 2 3 Vorf lle a le Eee een ehe need 2 3 IRAC M ee ae ee een enge 2 3 Analyse oe ai oiia e an EHRE 2 3 AAVISOT a eni n a E a en ee ee ee 2 3 GollEctors 2 2 e a elle e EE A a O A a 2 3 AAMIN ee ae er a ea ee 2 3 en 5 RE EE E E NER ERETTA AAE LEHE ETIE EEE EIE EEN FEN AA OOA ERES 2 3 Symbolleiste nii ieia iiidid i er ne 2 4 Globale Symbolleiste cirining ar ira han 2 4 Registerkarte Active Viows M nassen nai Rien ASEE ORARE AEE ENS AE DAEN KE SAREN E EKERN 2 4 Registerkarte Vorf lle 2 3 naandaa aanere a Ae araa aaea eE aa aapa anaa iaa 2 5 aT AAEN ATA EAEE AEE NEATE NAE EA E NT PA AAEE AN ALAAN EA TEEN PEETI 2 5 Inhalt 1 Registerkarte Analyse und Registerkarte Advisor eessnseseensnneenennnnnnnennnnnnnnnnnnnnnnnnnn 2 6 Registerkarte G llectors 2 4 2
264. nnnnnnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nen 1 3 ISGALE Pl ttform ra 2er ee ee el 1 4 Sentinel Ereighiszz4n ee nenne ren Teriheein eat E Teen 1 6 Times a ee ee ee ee 1 11 Interne Ereignisse oder Systemereignisse uersnsenssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 1 12 Voorganger en Rn I Rs Las Sika 1 13 Logische Architekt r 2 2 422222 u na lieg 1 16 Sammel und Erweiterungsschicht 444444044nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnn nn 1 17 Gesch ftslogikschicht 0 sea 1 20 D rstellungsschicht 2 20 nennen 1 25 Produktmodule 2 1 22 28a 1 25 Sentinel Control Center uuuennnnsenenunensnnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 1 25 SentinelWizard n 2 ara Hahn a a a e 1 25 Sentinel Advisor amp c 2 2 nenne un na N 1 25 Inhaltissct rs tee an ran neue EA EAAS TAAA nl a A a a at a 1 26 Verwendete Konventionen uueessssesssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 1 26 Hinweise und Warnhinweise uuueannnnneunensnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnnnnnn 1 26 Befehlen ur a re en aan an a a a ea Aa na a I a En et tn 1 26 Weitere Novell Referenzen uuuuesnnnnnnenenenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 1 26 Kontaktaufnahme mit Novell uuuuuunsennnnnnnnnnnnnnnnnnnn
265. nsix 187 168 10 23 IO TCP 190 168 42 21 sometimes rpc21 EH 32779 TCP ftp 21 TCP Organisch A c nner 9 198 10 22 139 168 10 23 190 188 12 21 55 10 22 199 188 10 25 CH CF EF EF E H dnsix sometimes rpc21 ftp dnsix ftp telnet dnsix 90 TCP 32779 TCP 21 TCP 90 TCP 214 TCP 23 TCP S0 TCP 3 20 Sentinel Benutzerhandbuch Hierarchisch dn g0TGP G F Jina EEx 23 TCP sometimes Ei 190 168112 24 32779 TCP N Resa E 189 168 N g G Q 8 m gi 199 168 11 22 dnsix p gOTCP g 189 168 10 22 Fl 3 1991091032 dnsix 90TCP 190 168 12 21 GF m 21 TCP fip 21 TCP Rund CH g D gt Er ne 189 1 ue dnsix 189 16 10 23 sometimes rpc21 IOICP 90 TCP 32779 TCP Ej I Er f fte 199 188 10 22 Er 21 TCP telnet 199 168 10 25 dnsix 190 168 12 24 23 TCP IOTCP 199 168 11 22 f HQ Scanner 01 190 16 Er ftp 21 TCP Rechtwinklig Die grafische Anzeige enth lt vier Felder Hierbei handelt es sich um das Diagrammfeld das Baumfeld die Systemsteuerung das Detail Ereignisfeld Registerkarte Active ViewsTM 3 21 3 22 Die Diagrammfeldanzeige verkn pft Anf lligkeiten mit einer Port Protokoll Kombination einer Ressource IP Adresse Wenn eine Ressource beispielsweise ber f nf eindeutige Port Protokoll Kombinationen verf gt die anf llig sind werden f nf Knoten mit dieser Ressource verbunden Die Ressourcen werden unter dem Scanner gruppiert der die Ressourcen abgesucht und die Anf
266. ntinel config das_binary xml Anzeigen von Informationen f r eine Zusammenfassung 1 Klicken Sie auf die Registerkarte Bericht f r Daten 2 Klicken Sie auf die Schaltfl che mit den drei Punkten in der Spalte Attribute um die Attribute anzuzeigen aus denen sich eine Zusammenfassung zusammensetzt Sentinel Data Manager 10 25 10 26 Attributes Summary Attributes x Summary Name jEventDestSummary Attribute Type CUST_ID attribute RSRC_ID attribute DEST_EYT_ASSET_ID attribute DEST_IP attribute DEST_PORT attribute DEST_USR_ID attribute TSNMY_ID attribute SEY attribute AGENT_ID attribute EYT_NAME_ID attribute PRTCL_ID attribute EYT_TIME attribute ES berpr fen der G ltigkeit einer Zusammenfassung 1 Klicken Sie auf die Registerkarte Bericht f r Daten 2 W hlen Sie Status aus 3 W hlen Sie die abzufragende n Zusammenfassung en aus Summary Status x o S Summary Name S O iv F Eve mary EventSevDestTxnmy Summary EventSevDestEvtSummary EventSevDestPortSummary EventSevSummary EventSrcDestSummary Time Interval Between oOo y E j Show Event Show Graph Cancel 4 W hlen Sie ein Zeitintervall aus 5 Klicken Sie auf Diagramm anzeigen 6 Die gr nen Balken verweisen darauf dass die Zusammenfassung f r den betreffenden Zeitrahmen vollst ndig ist Die roten Bereiche geben an dass in
267. ntinel scripts 3 Geben Sie Folgendes ein start_broker sh Beenden des Kommunikationsservers im Konsolenmodus Diese Skripts beenden den Kommunikationsserver in der Befehlszeile im Konsolenmodus Diese Skripts sind hilfreich beim Debuggen des Kommunikationsservers wobei Sie nicht die brigen Teile von Sentinel Server beenden m ssen Es wird davon abgeraten diese Skripts w hrend des normalen Betriebs zu verwenden befolgen Sie stattdessen die Anweisungen unter Beenden des UNIX Sentinel Server bzw Beenden des Sentinel Server f r Windows Beenden des Kommunikationsservers Windows 1 Navigieren Sie in Windows Explorer bzw mit dem Befehl cd in das folgende Verzeichnis ESEC_HOME sentinel scripts 2 F hren Sie die folgende Datei aus bzw doppelklicken Sie in Windows Explorer auf die folgende Datei stop_broker bat Dienstprogramme 11 5 Beenden des Kommunikationsservers UNIX 1 Melden Sie sich als Benutzer esecadm an 2 Wechseln Sie in das folgende Verzeichnis ESEC_HOME sentinel scripts 3 Geben Sie Folgendes ein stop_broker sh Neustarten von Sentinel Containern 11 6 Diese Skripts starten die unten aufgelisteten Container neu Das Skript sendet eine Meldung an den angegebenen Dienst in der dieser zum Herunterfahren angewiesen wird Der Dienst wird anschlie end durch den Sentinel Watchdog neu gestartet Die bevorzugte Methode zum Beenden
268. nutzer bestandsspezifische Informationen hinzuf gen k nnen beispielsweise Unternehmenseinheit Eigent mer Bestandswert und Geografie Nachdem diese Informationen dem System hinzugef gt wurden k nnen alle anderen Komponenten von dem zus tzlichen Kontext profitieren OPERATING SERVER REGULATION LOCATION DEPARTMENT ENVIRONMENT Ei a a g g g ASSET VALUE REGULATORY BUSINESS OWNER RATI SYSTEM Exploit Erkennung Durch die Exploit Erkennung kann eine sofortige prozessf hige Benachrichtigung zu Angriffen auf anf llige Systeme erfolgen Sie stellt eine Echtzeitverkn pfung zwischen IDS Signaturen und den Ergebnissen von Anf lligkeitsabsuchvorg ngen bereit Auf diese Weise werden Benutzer sofort und automatisch benachrichtigt wenn versucht wird ein anf lliges System durch einen Angriff auszunutzen Hierdurch werden Effizienz und Effektivit t der Vorfallsreaktion deutlich gesteigert Die Exploit Erkennung stellt Benutzern Aktualisierungen hinsichtlich von Zuordnungen zwischen dem Intrusion Detection System IDS und Signaturen des Anf lligkeitsabsuchprogramms zur Verf gung Zu den Zuordnungen z hlt eine umfassende Liste mit IDS und Anf lligkeitsabsuchprogrammen Die Benutzer k nnen Ergebnisse der Anf lligkeitsabsuche problemlos in Sentinel heraufladen Die Exploit Erkennung analysiert sie automatisch und aktualisiert die entsprechenden IDS Collectors Mithilfe eingebetteter Informationen zum Anf lligkeitsstatus wird die
269. nutzer k nnen mit der rechten Maustaste klicken und dann Details zum verkn pften Vorfall anzeigen 9 Work items Orig EHN HIPAA 212 ESY Acceptincident 2 2 A HID_AttackiD L Res j ccepl Details Display Associated Incident Arbeitselemente Ein Arbeitselement stellt die Aufgabe dar die der Benutzer f r die aktuell ausgef hrte manuelle Aktivit t in einem iTRAC Vorgang ausf hren muss F r die Kontrolle und den Fortschritt des Arbeitselements ist der Benutzer verantwortlich Der iTRAC Server wartet bis der Benutzer die Aufgabe abgeschlossen hat bevor er mit der n chsten Aktivit t in der Vorgangsinstanz fortf hrt Registerkarte TRACTM 5 7 Details Variable Status LJ Accepted namen z E variables Time Tue Jan 18 09 07 59 EST 2005 userName Duration 4 s Id 102 Incident Name port scan DataObjectT Incident Incident ID 102 Activity Process AssignUser HIPAA ssim a user or role to process IPAA this Incident N Complete Cancel Das oben abgebildete Dialogfeld mit Arbeitselementdetails enth lt die folgenden Informationen Arbeitselementdetails Arbeitselementvariablen Aktivit tsbeschreibung Vorgangsbeschreibung Die Interaktion mit einem Arbeitselement umfasst drei Schritte Akzeptieren eines Arbeitselements Aktualisieren der Variablen im Arbeitselement Abschlie en des Arbeitselements Akzeptieren eines Arbeits
270. nutzerkonto 1 ffnen Sie das Fenster Benutzer Manager 2 Klicken Sie auf Neuen Benutzer hinzuf gen A adTanen User oder markieren Sie einen Benutzer klicken Sie mit der rechten Maustaste und w hlen Sie Benutzer hinzuf gen Registerkarte Admin 9 29 N Benutzer Manager j Benutzer hinzuf gen Benutzer klonen Benutzer l schen Benutzerdetails Benutzer sperren Benutzersperre aufheben 3 Geben Sie unter Autorisierung Folgendes ein Benutzername Passwort Passwort best tigen Sicherheitsfilter Klicken Sie auf den Abw rtspfeil um einen Filter auszuw hlen Das Fenster Filterauswahl wird ge ffnet Markieren Sie einen Filter oder klicken Sie auf Hinzuf gen um einen Filter f r dieses Benutzerkonto zu erstellen HINWEIS Wenn Sie einem Benutzer einen Sicherheitsfilter zugewiesen haben k nnen Sie diesen Filter nicht l schen Klicken Sie auf Ausw hlen HINWEIS Als optimales Verfahren wird eine Passwort Mindestl nge von 8 Zeichen dringend empfohlen wobei das Passwort alphanumerische Zeichen enthalten sollte Optional Geben Sie unter Details Folgendes ein Vorname Nachname Department Telefon Email 4 Klicken Sie auf die Registerkarte Berechtigungen und weisen Sie Benutzerberechtigungen zu 5 Klicken Sie auf die Registerkarte Funktionen und w hlen Sie die Funktion f r den Benutzer aus 6 Klicken Sie auf OK
271. nzuzeigen die das korrelierte Ereignis ausgel st haben Suchen Sie in der Zusammenfassungsansicht auf der rechten Seite der Ereignistabelle aus der Sie das Ereignis ausw hlen nach einem Ereignis mit einer SensorType Eigenschaft mit dem Wert C C korreliertes Ereignis oder W W Beobachtungsliste So zeigen Sie Ereignisse an die ein korreliertes Ereignis ausgel st haben 1 Klicken Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot oder in einer Ereignisabfragetabelle mit der rechten Maustaste auf ein korreliertes Ereignis und w hlen Sie Ausl seereignisse anzeigen Die Ereignisse die die Regel ausgel st haben und der Name der Korrelationsregel werden in einem neuen Fenster angezeigt N In Korrelation stehende Ereignisse f r YFBIFE2C 4630 1026 BEOF lag Eregn ID Korreintionsregel Te fers re2c 4630 1026 3E0F 080020ADB488 rs foo 2004 02 26 1 08 38 53 EST 3 Password expired 206 158 21 6 192 168 10 1 ol Suche abgeschlossen Anzaht 1 Untersuchen eines Ereignisses oder von Ereignissen Mithilfe dieser Funktion k nnen Sie Die Quellenfelder IP Port Ereignis Sensortyp Collector Name grafisch anzeigen die Zielfeldern IP Port Ereignis Sensortyp Collector Name ausgew hlter Ereignisse zugeordnet sind Eine Ereignisabfrage f r die letzte Stunde eines einzelnen Ereignisses durchf hren f r HINWEIS Sie k nnen keine Abfrage f r ein Feld mit dem W
272. omponenten f r das gesamte System erm glicht Hieraus ergibt sich ein Modell f r die flexible Bereitstellung f r die unterschiedlichen Systemumgebungen beim Kunden An einem Standort sind m glicherweise zahlreiche Ger te mit geringem Ereignisvolumen vorhanden an einem anderen weniger Ger te mit ausgesprochen hohem Ereignisvolumen Die Ereignisdichte also die Ereignisaggregation und das Ereignis Multiplexing Muster beim Transport von den Sammelpunkten ist in diesen F llen unterschiedlich und der Nachrichtenbus erm glicht die konsistente Skalierung bei ungleich ausfallender Arbeitsauslastung Sentinel Einf hrung 1 5 iSCALE nutzt die Vorteile einer unabh ngigen Umgebung mit mehreren Kan len auf diese Weise werden Konflikte nahezu ausgeschlossen und die Parallelverarbeitung von Ereignissen wird gef rdert Diese Kan le und Teilkan le k nnen nicht nur f r den Ereignisdatentransport verwendet werden sie erm glichen auch die pr zise Vorgangssteuerung f r Skalierung und Lastenausgleich bei unterschiedlichen Auslastungen Durch unabh ngige Servicekan le beispielsweise Steuerkan le und Statuskan le die neben dem Hauptereigniskanal zum Einsatz kommen kann die ereignisgesteuerte Architektur auf hohem Niveau und kosteneffizient skaliert werden Sentinel Ereignis Sentinel erh lt Informationen von Ger ten normalisiert diese Informationen in eine als Sentinel Ereignis kurz Ereignis bezeichnete Struktur und sendet das Ereignis zu
273. on Ereignissen die ein korreliertes Ereignis ausgel st haben 3 13 Beziehung zu Vorf llen uusrs22sue nenn 4 2 untersuchen 224mrrnennnennnsnnnenennnennnn 3 13 Ereignisspalten Alia S 2 2 2ER 10 22 Erneute Zuordnung 10 19 Umbenennen 22224444244444 Hr HHR nn nenHn nennen 10 22 Zuordnung umsehen 10 19 Ereigniszuordnung 10 8 10 14 10 17 Erstellen Advisor Bericht seeen 7 1 Analysenbericht 4s4 4 6 2 Benutzerkonten uunrsssnneeseneneneennnne nennen 9 29 Collector Ansicht unnenn 8 3 globaler Filter 9 16 Regel unse lest 9 8 Regelordner 244m444404H nennen 9 8 Vorfall eine 4 6 Vorf lle otiia lea 3 12 Erweiterte Korrelation Definito e na ande 9 5 eSecurity Service Siehe Watchdog EVENT aaa a a AEE 1 2 eXeCuUt On properties i 4 8 Exploit Erkennung sasesseeerreserrrnsnn 1 7 Exportieren Korrelationsregelordner uur222444 HH 9 9 filesTolmpott en 10 37 10 38 RE PA AAAA E E A A 9 14 glob l penine ee 9 15 ffentlich EEEE E E T 9 15 SIE E A TT 9 15 FreeForm RuleLg Korrelation Definition e 9 6 Funktionsdetails aAnNZEJE Tipare ieoa e iaa E aaia 9 32 Globale Filter Datenbank kin 9 17 ETLE AE DEAA N OEE E EEA 9 16 Globaler Filter 9 15 Datenbank und GUl sssesererrrirrrrrrrrrrrnn 9 17 erstellen tin 9 16 l SChEN 2 rn anne 9 17 neu anordnen ee
274. on Regeln stehen Ihnen vier Korrelationsregeltypen zur Auswahl Hierbei handelt es sich um Beobachtungsliste Grundlegende Korrelation Erweiterte Korrelation FreeForm RuleLg ACHTUNG Sie sollten mit der RuleLg Sprache f r die Definition von Korrelationsregeln vertraut sein bevor Sie diesen Korrelationsregeltyp verwenden Falls Sie ein Tag umbenannt haben sollte dar ber hinaus zum Erstellen einer Korrelationsregel nicht der urspr ngliche Name verwendet werden Beobachtungsliste Es kann aus vier unterschiedlichen Filtertypen ausgew hlt werden Hierbei handelt es sich um Alle zulassen L sst alle Ereignisse durch Muster Alle regul ren Ausdr cke mit einer Grep Syntax Filter Manager Eine Dropdown Liste die den Filter Manager anzeigt um einen neuen Filter auszuw hlen oder zu erstellen PR Fittername Ausdruckszeichenkette Operating_Syst fiter e DeviceCategory OS IDS_Events fiter e DeviceCategory DS Database_Events fiter e DeviceCategory DB High_Severity fiter e Severity gt 3 Low_Severity fitter e Severity lt 2 Firewall_Events fitter e Devicelategory PA Correlation fiter e SensorType C or e SensorType A Exploit_Detection fiter e vulnerability 1 External_Events filter e SensorType l and e SensorType P fitter 1 1 Scan_Events fiter e DeviceClategory SCAN Severe_lnternal fitter e SensorType l and
275. on des Benutzers beispielsweise ber den Status einer Aktivit t die ID eines Vorfalls usw Aktualisierbare Variablen dienen zur Annahme von Benutzereingaben Zurzeit gibt es in ITRAC zwei Arten von aktualisierbaren Variablen Benutzervariablen und Boolesche Variablen Variable variable El Misc El Misc El variables y fesecadm Y esecadm Dd Kl Aktualisieren von Variablen 1 Doppelklicken oder klicken Sie mit der rechten Maustaste auf das Arbeitselement um das Dialogfeld Details anzuzeigen 2 Nur aktualisierbare Variablen befinden sich im Bearbeitungsmodus Schreibgesch tzte Variablen k nnen nicht bearbeitet werden 3 Klicken Sie auf das Kombinationsfeld und w hlen Sie den passenden Wert aus Abschlie en des Arbeitselements Durch Abschlie en des Arbeitselements signalisieren Sie dem iTRAC Server dass die Aufgabe ausgef hrt wurde Die aktualisierbaren Variablen aus dem Arbeitselement werden vom Server verarbeitet um auf der Grundlage bestimmter Kriterien zur n chsten Aktivit t zu wechseln Das Arbeitselement wird aus der Arbeitsliste des Benutzers entfernt Ein Arbeitselement muss akzeptiert werden bevor es abgeschlossen werden kann Abschlie en von Arbeitselementen 1 Klicken Sie mit der rechten Maustaste oder doppelklicken Sie auf das Arbeitselement das m Dialogfeld Details angezeigt werden soll 2 Klicken Sie im Dialogfeld auf Abgeschloss
276. on i xj ee Standardkrowyser verwenden C Yersvenden Sie zum Starter eines Browvsers die folgender Befehle Durchsuchen OK Abbrechen Hilfe Wenn Sie beim Einrichten einer Men konfigurationsoption Browser verwenden w hlen und die Browserfunktion auf die Standardeinstellung eingestellt ist wie oben reagiert die Men konfigurationsoption so als ob das Feld Browser verwenden nicht aktiviert w re Standarderweiterung frtm Wenn Sie das Kontrollk stchen Externen Browser verwenden aktivieren k nnen Sie eine der folgenden Optionen w hlen Standardbrowser verwenden Verwendet den Standardbrowser Anwendung der mit der Dateierweiterung verkn pft ist die im Feld Dateierweiterung festgelegt ist Verwenden Sie zum Starten eines Browsers die folgenden Befehle Erm glicht Ihnen das Angeben einer bestimmten Anwendung die gestartet werden soll Wenn Sie anstelle des Standardbrowsers einen anderen Browser verwenden muss Ihre Befehlszeile mit URL enden Beispiel C Programme Internet Explorer IEXPLORE EXE URL Nachfolgend sehen Sie ein Beispiel bei dem die Ausgabe der Men option im Editor notepad exe erfolgt N Men konfiguration x IV Externen Browser verwenden Standardbrowser verwenden Verwenden Sie zum Starten eines Browsers die folgenden Befehle Durchsuchen Testen Standarderweiterung tmi OK Abbrechen Hilfe 3 Klicken Si
277. onfig festgelegten Wert archiviert Wenn der im Beispiel aus dem Abschnitt Verwaltung der Archivierung festgelegte Wert verwendet wird werden Daten archiviert die lter als 13 Tage sind sdm action archiveData connectFile sdm connect Beispiel f r SQL Server Im folgenden Beispiel werden Ereignisse und korrelierte Ereignisse entsprechend dem Wert archiviert der in der Archivierungskonfiguration archiveConfig festgelegt ist Wenn der im Beispiel aus dem Abschnitt Verwaltung der Archivierung festgelegte Wert verwendet wird werden Daten archiviert die lter als 13 Tage sind sdm action archiveData connectFile sdm connect L schen von Daten 10 36 Mit dieser Aktion deleteData werden die Daten aus der angegebenen Tabelle gel scht die lter sind als in keepDays festgelegt ist Daten werden aus den folgenden Tabellen gel scht Oracle 2 EVENTS a CORRELATED_EVENTS 2 EVT_DEST_EVT_NAME_SMRY_1 2 EVT_DEST_SMRY_I1 2 EVT_DEST_TXNMY_SMRY_I1 2 EVT_PORT_SMRY_I1 2 EVT_SEV_SMRY_I1 2 EVT_SRC_SMRY_I1 SQL Server EVENTS a CORRELATED_EVENTS EVT_DEST_EVT_NAME_SMRY_I EVT_DEST_SMRY_I EVT_DEST_TXNMY_SMRY_I EVT_PORT_SMRY_I EVT_SEV_SMRY_I a EVT_SRC_SMRY_I je je je je Sentinel Benutzerhandbuch Bei dieser Aktion werden keine Partitionen verworfen die nicht archiviert wurden Wenn Sie nicht archivierte Partitionen l schen m chten muss die optionale Flagge forceD
278. opyright 2003 bis 2006 yWorks HINWEIS Zum Zeitpunkt der Ver ffentlichung dieser Dokumentation waren die oben stehenden Links aktiv Sollten Sie feststellen dass einer der oben angegebenen Links unterbrochen oder die verlinkten Webseiten inaktiv sind wenden Sie sich an Novell Inc 404 Wyman Street Suite 500 Waltham MA 02451 U S A Vorwort Bei der technischen Dokumentation von Sentinel handelt es sich um allgemeine zweckorientierte Handb cher f r den Betrieb und zur Referenz Diese Dokumentation ist f r Mitarbeiter des Bereichs Informationssicherheit konzipiert Der Text in dieser Dokumentation gilt als Referenzquelle zum Enterprise Security Management System von Sentinel Im Novell Webportal steht weitere Dokumentation zur Verf gung Die Technische Dokumentation von Sentinel umfasst f nf einzelne Ausgaben Dazu geh ren Band I SentinelTM 5 Installationshandbuch Band II SentinelTM 5 Benutzerhandbuch Band III SentinelTM 5 Wizard Benutzerhandbuch Band IV SentinelTM 5 Referenzhandbuch f r Benutzer Band V Sentinel M Handbuch f r Drittanbieter Integration Band Sentinel Installationshandbuch In diesem Handbuch wird die Installation folgender Komponenten erl utert Sentinel Server Wizard Collector Builder Sentinel Console Wizard Collector Manager Sentinel Correlation Engine Advisor Sentinel Crystal Reports Band Il Sentinel Benutzerhandbuch In diesem Handbuch werden
279. or Manager im System ohne Gruppierung an berwachen eines Collectors 8 2 Im Fenster Wizard Hosts k nnen Sie standardm ig Folgendes berwachen Ansichts Manager f r Collector Manager StartTime Zeitpunkt zu dem der Collector Manager gestartet wurde angegeben in mmi tt jj hh mm ss und Zeitzone UpTime Dauer der Ausf hrung des Collector Managers angegeben in Tagen Stunden Minuten und Sekunden EventReceivedCount Anzahl der Ereignisse die der Collector Manager seit seinem Start von allen Collectors erhalten hat EventReceivedRate Durchschnittliche Ereignisrate pro Sekunde die der Collector Manager in der letzten Minute erhalten hat Collector Ansichts Manager Status Ein oder Aus EventsReceivedRate Durchschnittliche Ereignisrate pro Sekunde die der Collector Port in der letzten Minute erhalten hat EventsReceivedCount Anzahl der Ereignisse die der Collector Port seit seinem Start erhalten hat UpTime Dauer der Ausf hrung des Collector Ports angegeben in Stunden Minuten und Sekunden Sie k nnen eigene Ansichten erstellen die zus tzliche oder weniger Felder aufweisen Sentinel Benutzerhandbuch berwachen eines Wizard Host berwachen eines Wizard Hostt 1 Klicken Sie auf die Registerkarte Collectors 2 Klicken Sie auf Ansichts Manager f r Collector Manager 3 W hlen Sie eine Ansichtsoption durch Doppelklicken auf eine Ansicht aus oder erstellen Sie ei
280. or more 06 07 06 20 01 20 information The error 06 07 06 20 01 20 06 07 06 20 01 19 java lang RuntimeE xception Error 06 07 06 20 01 19 saving events 06 07 06 20 01 19 cause 06 07 06 20 01 19 java sql BatchUpda 06 07 06 20 01 19 teException 06 07 06 20 01 19 186 45 34 122 Cannot insert the 06 07 06 20 01 18 value NULL into 06 07 06 20 01 18 column 06 07 06 20 01 18 89 62 44 56 TXNM Y_ID table ESEC dbo EVENTS 06 07 06 20 01 17 06 07 06 20 01 16 34 55 7412 _P_200607071500 06 07 06 20 01 16 00 column does 06 07 06 20 01 16 not allow nulls INSERT fails 06 07 06 20 01 16 06 07 06 20 01 16 Registerkarte Active Views 3 9 2 Falls Details angezeigt werden sollen wenn Sie das Sentinel Control Center das n chste Mal ffnen klicken Sie auf Datei gt Einstellungen speichern oder klicken Sie auf Benutzereinstellungen speichern al So blenden Sie Ereignisdetails aus 1 Klicken Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot in der im linken Feld Ereignisdetails angezeigt werden mit der rechten Maustaste auf ein Ereignis und klicken Sie dann auf Details anzeigen Das Ereignisdetailfenster wird geschlossen 2 Falls keine Details angezeigt werden sollen wenn Sie das Sentinel Control Center das n chste Mal ffnen klicken Sie auf Datei
281. ormalerweise nicht erforderlich da diese i d R beim Start von Sentinel Server automatisch entfernt wird Wenn diese Dateien manuell entfernt werden m ssen sind dazu die typischen Befehle des UNIX Dateisystems auszuf hren beispielsweise rm 11 4 Sentinel Benutzerhandbuch Starten des Kommunikationsservers im Konsolenmodus Diese Skripts starten den Kommunikationsserver in der Befehlszeile im Konsolenmodus Diese Skripts sind hilfreich beim Debuggen des Kommunikationsservers wobei Sie nicht die brigen Teile von Sentinel Server ausf hren m ssen Es wird davon abgeraten diese Skripts w hrend des normalen Betriebs zu verwenden befolgen Sie stattdessen die Anweisungen unter Starten des UNIX Sentinel Server bzw Starten des Sentinel Server f r Windows Starten des Kommunikationsservers Windows HINWEIS Wenn Sie dieses Skript in Windows starten wird es im Fenster Dienste nicht als gestartet aufgef hrt Es wird nur ausgef hrt wenn die Befehlseingabeaufforderung ge ffnet bleibt 1 Navigieren Sie in Windows Explorer bzw mit dem Befehl cd in das folgende Verzeichnis ESEC_HOME sentinel scripts 2 F hren Sie die folgende Datei aus bzw doppelklicken Sie in Windows Explorer auf die folgende Datei start_broker bat Startem des Kommunikationsservers UNIX 1 Melden Sie sich als Benutzer esecadm an 2 Wechseln Sie in das folgende Verzeichnis ESEC_HOME se
282. ource AgentManager Meldung Persistent Process on port lt port id gt has restarted Permanenter Prozess an Port lt Port ID gt wurde neu gestartet Event Service Zyklische Abh ngigkeit Der Event Service sendet dieses Ereignis wenn er einen Zyklus in der Ereignisdefinition feststellt in Abh ngigkeiten zwischen Tags aufgrund referenzieller Zuordnungen berpr fen Sie die Ereigniskonfiguration in SDM und korrigieren Sie die Abh ngigkeit Tag Wert Schweregrad 3 Ereignisname CyclicalDependency Ressource EventService Teilressource Object AttrInfos Meldung Cyclical dependency detected in event transformations Check event configuration Zyklische Abh ngigkeit in Ereignistransformationen festgestellt berpr fen Sie die Ereigniskonfiguration Systemereignisse f r Sentinel5 A 17 Active Views Active View wurde erstellt DAS_Binary sendet dieses Ereignis wenn eine Active View erstellt wird Tag Wert Schweregrad 1 Ereignisname RtChartCreated Ressource RealTimeSummaryService Teilressource ChartManager Meldung Creating new Active View with filter lt filter gt and attribute lt attribute gt for users with security filter lt security filter gt Currently lt n gt Active View s Collecting Neue Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt wird erstellt Zurzeit wird
283. owserfunktion 9 24 KONEN en 9 23 Aa a EPEA E E E E sang 9 24 verschieben 9 24 ffentliche Filter 9 15 ffentlicher Filter Anden oaa a einen 9 20 Bleit ESE E EE E E 9 20 hinzuf gen nenne 9 18 KIONEN ns a renden 9 20 l schen een 9 20 ffnen Benutzer Manager Fenster 9 29 Korrelationsregeln Fenster 9 8 Optimale Verfahren Archivieren von Daten 10 43 Hinzuf gen von Partitionen 10 43 Optionsparameter f r eine Men konfiguration anzeigen 9 23 partitionConfig nnnn 10 30 Passwort Sentinel Control Center eunneeeeeeeeeeeeeennn 2 10 Per Email senden Vorfall uuueeeseseseeeeeeeeesnnnnsnnnenesennnnnnnnnneenen 4 8 Privater Filter uuuusesenseeneeneneeeeennen 9 15 ndern uueneeeeennnnnnnnnnesennnnnnnnnnnnnennnnnnnn 9 20 Detalls ae ra eao e 9 20 RINZU QEM iige eniin Rn nnHn nennen 9 18 1A LON ANE aD AENEA A EEE EE E 9 20 l schen anni ei 9 20 Quick Start Ative VIEW dnne ae 12 1 Regel erstellen ana 9 8 Regeln 28 2 He 9 3 Regelordner r2200um nennen 9 3 erstellen 2220000002nneenenenesennnnnnneneeenenn 9 8 Registerkartenposition Sentinel Control Center 2 7 Remegy reerd e EARR AREER REEE E E 3 23 Rotieren 3D BalkendiagrammM eener 3 8 3D Banddiagramm eeen 3 8 RuleLg Checker 1 15 rulelg_checker
284. p _Reject o 4 66 34 2 34 07216510 Reject o 7 66 34 234 h72162405 Reject o r 99 132 44 58 172 16 2 107 Reject o 6 39132 4456 17216 2 106 Reject o r _107 07 0619 2212 99 132 44 56 17216 2106 Reject o hig _ 07 07 06 14 22 11 89 132 44 58 17218 7 105 Reject o ja 07 07 06 19 22 10 99132 4455 hr2165 105 Reject In nz ne aa m na laaan 11 ae Araaaa ne IReiart 55 as X 4 281 von 281 Aktualisieren 07 07 06 19 22 30 Empfangen 15 von15 Anzeige 15 HINWEIS Eigenschaften der aktiven Ansicht Ereignistabelle berarbeiten hat keine Auswirkungen auf die grafische Darstellung Registerkarte Active Views 3 5 Die f nf Schaltfl chen auf der linken Seite des Diagramms f hren die folgenden Funktionen aus gt SeA s z x 9 Diagramm sperren Diagrammsperre aufheben Wird beim Durchf hren eines Drilldown beim Vergr ern und Verkleinern des Diagramms beim Vergr ern einer Auswahl und beim Speichern eines Diagramms als HTML Datei verwendet Anzeigeintervall vergr ern Vergr ert das Anzeigeintervall f r eingehende Ereignisse Anzeigeintervall verkleinern Verkleinert das Anzeigeintervall f r eingehende Ereignisse Anzeigedauer vergr ern Vergr ert das Zeitintervall entlang der x Achse Anzeigedauer verkleinern Verkleinert das Zeitintervall entlang der x Achse Wenn Sie auf die Schaltfl che Sperre klicken sind zus tzlich die folgenden
285. p_broker sh Befehlszeile im Konsolenmodus Dienstprogramme 11 3 stop_container bat Dieses Skript startet die folgenden Container neu stop_container sh DAS_Aggregation DAS_RT DAS_TRAC DAS_Binary sentinel sh Dieses Skript beendet bzw startet den Sentinel Server Weitere Informationen finden Sie unter Starten des UNIX Sentinel Server bzw Beenden des UNIX Sentinel Server Entfernen der Kommunikationsserver Sperrdateien Bei einem nicht ordnungsgem en Herunterfahren kann der Kommunikationsserver gesperrt werden Nach dem Entfernen der Sperrdateien m ssen Sie den Kommunikationsserver neu starten Diese Dateien befinden sich an folgenden Speicherorten F r Windows ESEC_HOMES 3rdparty SonicMO MO6 1 esecDomain data _MFSys tem lock ESEC_HOME 3rdparty SonicMQO MO6 1 SonicMOStore db lIck F r UNIX SESEC_HOME 3rdparty SonicMO MO6 1 esecDomain data _MFSyst em lock SESEC_HOME 3rdparty SonicMOQO MQ6 1 SonicMOStore db lck Entfernen der Kommunikationsserver Sperrdatei Windows 1 Navigieren Sie in Windows Explorer bzw mit dem Befehl cd in das folgende Verzeichnis ESEC_HOME sentinel scripts 2 F hren Sie die folgende Datei aus bzw doppelklicken Sie in Windows Explorer auf die folgende Datei remove_sonic_lock bat Entfernen der Kommunikationsserver Sperrdatei UNIX Das Entfernen der Sperrdatei ist unter UNIX n
286. peichern Markieren Sie Ihren Filter und klicken Sie auf Ausw hlen Klicken Sie auf Weiter geben Sie f r Wenn Bedingung erf llt ist den Wert 4 und in den Bereich Schwellenwert und Gruppierungskriterien den Wert 10 Sekunden ein Klicken Sie auf Weiter ndern Sie im Bereich In Korrelation stehende Ereignisse und Aktionen den Schweregrad in 2 klicken Sie auf den Abw rtspfeil Klicken Sie auf Fertig stellen Zur Bereitstellung dieser Regel markieren Sie den Correlation Engine Manager im Navigationsbereich markieren Sie eine Correlation Engine und klicken Sie mit der rechten Maustaste auf Bereitstellungsregeln Suchen Sie im Bereich Bereitstellungsregeln nach Ihrer Regel und aktivieren Sie diese Klicken Sie auf OK Hinzuf gen Stellen Sie sicher dass die Correlation Engine und Ihre Korrelationsregel mit einem gr nen H kchen gekennzeichnet aktiviert sind Sie k nnen hierf r mit der rechten Maustaste klicken Es gibt verschiedene Methoden um zu pr fen ob korrelierte Ereignisse vorhanden sind Einige Methoden sind Erstellen Sie ein Ereignisfenster mit aktiven Ansichten unter Verwendung des von Ihnen erstellten Korrelationsfilters Erstellen Sie ein Ereignisfenster mit aktiven Ansichten unter Verwendung des bereitgestellten Korrelationsfilters Erstellen Sie ein Ereignisfenster mit aktiven Ansichten unter Verwendung des bereitgestellten Filters Alle erstellen Sie einen Snapshot und nehmen Si
287. planten Task ein beispielsweise SDM_Archive W hlen Sie unter Task ausf hren die Option T glich Klicken Sie auf Weiter 6 W hlen Sie eine Uhrzeit f r die Ausf hrung des Tasks aus Klicken Sie auf Weiter 7 Geben Sie das gew nschte Datum und die gew nschte Uhrzeit ein Klicken Sie auf Weiter Sentinel Data Manager 10 45 Scheduled Task Wizard x Select the time and day you want this task to start Start time E42amM Perform this task Every Day C Weekdays C Every re das Start date 741372005 7 n 8 Geben Sie einen Benutzer ein f r den der Task ausgef hrt werden soll Bei dem Benutzer kann es sich nicht um ein lokales Systemkonto handeln Er muss als bestimmter Benutzer ausgef hrt werden Klicken Sie auf Weiter 9 Klicken Sie auf Fertig stellen um den Vorgang als geplanten Task fertig zu stellen 10 46 Sentinel Benutzerhandbuch 1 1 Dienstprogramme Starten und Beenden des Sentinel Server und des Collector Manager UNIX HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Starten des UNIX Sentinel Server Beim Starten des Sentinel Server unter UNIX wird auch der Kommunikationsserver gestartet Starten des UNIX Sentinel Server 1 Wechseln Sie als Benutzer esecadm in das Verzeichnis ESEC_HOME sentinel scripts 2 F hren Sie den folgenden Befehl aus
288. r Aktivit t 1 2 3 O En Klicken Sie auf die Registerkarte iTRAC Klicken Sie im Navigator auf iTRAC Verwaltung gt Aktivit tsverwaltung Klicken Sie mit der rechten Maustaste auf iTRAC Aktivit ten gt Import Export Aktivit t W hlen Sie Aktivit t exportieren und klicken Sie auf die Schaltfl che Durchsuchen Wechseln Sie zum Verzeichnis in dem Sie die exportierte Datei speichern m chten Benennen Sie die Datei und klicken Sie auf Exportieren Klicken Sie auf Next Weiter W hlen Sie ein oder mehrere Aktivit ten zum Exportieren aus Klicken Sie auf Weiter und dann auf Fertig stellen Importieren einer Aktivit t 1 2 3 Klicken Sie auf die Registerkarte iTRAC Klicken Sie im Navigator auf iTRAC Verwaltung gt Aktivit tsverwaltung Klicken Sie mit der rechten Maustaste auf iTRAC Aktivit ten gt Import Export Aktivit t W hlen Sie Aktivit t importieren und klicken Sie auf die Schaltfl che Durchsuchen Wechseln Sie zu Ihrer Importdatei Klicken Sie auf Importieren Klicken Sie auf Next Weiter Klicken Sie auf Weiter und dann auf Fertig stellen Sentinel Benutzerhandbuch Registerkarte Analyse HINWEIS Die Begriffe Agent und Collector sind austauschbar Im Folgenden werden Agenten als Collectors bezeichnet Sie m ssen ber die entsprechende Berechtigung verf gen um die Registerkarte Analyse verwenden zu k nnen Wenn Ihnen diese
289. r Ausblenden des Navigationsfensters Andocken oder Aufheben der Verankerung des Navigationsfensters Anordnen von Fenstern Anordnen von Fenstern nebeneinander Minimieren und Wiederherstellen aller Fenster Schlie en aller ge ffneten Fenster Festlegen der Registerkartenposition So legen Sie die Registerkartenposition fest 1 2 Klicken Sie auf Optionen gt Position der Registerkarte W hlen Sie entweder Oben oder Unten aus Navigation im Sentinel Control Center 2 7 Einblenden oder Ausblenden des Navigationsfensters So blenden Sie das Navigationsfenster ein bzw aus 1 Klicken Sie auf Optionen gt aktivieren bzw deaktivieren Sie Navigationsfenster anzeigen Andocken oder Aufheben der Verankerung des Navigationsfensters So docken Sie das Navigationsfenster an bzw so heben Sie dessen Verankerung auf 1 Klicken Sie auf Optionen gt aktivieren bzw deaktivieren Sie Navigationsfenster andocken berlappendes Anordnen von Fenstern So ordnen Sie Fenster berlappend an 1 Klicken Sie auf Fenster gt Alle berlappend Alle ge ffneten Fenster im rechten Bereich werden berlappend angeordnet Anordnen von Fenstern nebeneinander So ordnen Sie Fenster nebeneinander an 1 Klicken Sie auf Fenster gt Alle nebeneinander 2 Zeigen Sie auf eine der folgenden Optionen Optimal anpassen Nebeneinander Untereinander Minimieren und Wiederherstellen aller F
290. r Beenden eines Vorgangs Klicken Sie auf die Registerkarte iTRAC Doppelklicken Sie auf einen der Vorg nge Klicken Sie auf die Schaltfl che Optionen In diesem Fenster k nnen Sie auch Folgendes festlegen Felder Gruppieren nach Sortieren Filter Baumansicht Klicken Sie auf Anwenden und dann auf Speichern Nachfolgend sehen Sie eine Ansicht f r die Baumansicht auf Status eingestellt ist l uft und nicht gestartet se ran Last pdstetime g Processes me HIPAA EgF7 SANS_Incident_Response a running 43 not started i running _ 2005 01 19 09 38 58 EST SANS Incident H not_started 2005 01 18 08 52 59 EST SANS Incident H Ready Refresh E Options Refreshed At Fri Jan 21 13 04 40 EST 2005 Starten oder Beenden eines Vorgangs 1 2 Klicken Sie auf die Registerkarte iTRAC Klicken Sie auf die Schaltfl che Ansichtsoptions Manager Doppelklicken Sie auf eine der Standardansichten oder erstellen Sie eine neue Ansicht Die Standardansichten sind Alle Vorg nge Vorg nge nach Vorfall Vorg nge nach Status Registerkarte ITRACTM 5 11 4 Markieren Sie im Ansichtsoptions Manager einen Vorgang klicken Sie mit der rechten Maustaste und w hlen Sie Vorgang starten oder Vorgang beenden Erstellen einer Aktivit t unter Verwendung des Aktivit
291. r Funktion m ssen Sie ber die Benutzerberechtigung zum ndern und Zuweisen von Vorf llen verf gen So f gen Sie einem Vorfall Ereignisse hinzu 1 W hlen Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot ein Ereignis oder eine Gruppe von Ereignissen aus klicken Sie mit der rechten Maustaste darauf und klicken Sie dann auf Zum Vorfall hinzuf gen 2 Klicken Sie im Dialogfeld Zum Vorfall hinzuf gen auf die Schaltfl che Durchsuchen 3 26 Sentinel Benutzerhandbuch 8 2006 04 17 13 51 25 EDT 10 0 20 5 Klicken Sie auf Durchsuchen um die verf gbaren Vorf lle aufzulisten HINWEIS Sie k nnen eigene Kriterien definieren um besser nach einem bestimmten Vorfall oder mehreren Vorf llen zu suchen Klicken Sie auf Suchen um eine Liste mit Vorf llen anzuzeigen Registerkarte Active Views 3 27 r Select Data DateCrested Priority Medium 04 17 2006 None 04 17 2006 None Severity Rat Criticality Ra Add Cancel r Show items that match these criteria lt Add criteria from below to this list gt Remove r Define more criteria Relations None ii Field Condition value None z None z Add to List 5 Markieren Sie einen Vorfall und klicken Sie auf Hinzuf gen 6 Klicken Sie auf OK Hinzuf gen Das bzw die ausgew hlten Ereignisse werden im Vorfallsnavigator zum Vorfall
292. r f r Oracle Beachten Sie dass Sie f r die Kommunikation des SDM mit Oracle Datenbanken den Oracle JDBC Treiber 9 2 0 4 bzw 9 2 0 5 manuell herunterladen und die heruntergeladene JAR Datei in das Verzeichnis ESEC_HOME lib am selben Speicherort kopieren m ssen an dem der SDM bzw ESEC_HOME lib installiert ist wenn eine Installation des SDM unter Windows ausgef hrt wird Der JDBC Treiber kann unter der folgenden URL heruntergeladen werden HINWEIS Auf einem UNIX Computer mit installierter DAS Komponente wird der JDBC Treiber automatisch vom Installationsprogramm am richtigen Speicherort abgelegt Daher ist in diesem Fall kein manuelles Herunterladen erforderlich http otn oracle com software tech java sqlj_jdbc index html Diese JAR Datei hei t i d R ojdbc14 jar HINWEIS Zum Zeitpunkt der Ver ffentlichung des vorliegenden Handbuchs war der oben aufgef hrte Link zur Website korrekt Sentinel Data Manager 10 1 HINWEIS SDM f r Oracle erfordert dass Oracle Enterprise mit Partitionierung installiert ist Starten der SDM GUI HINWEIS Damit Sie die SDM GUI verwenden k nnen muss die Datei configuration xml auf einen Kommunikationsserver verweisen mit dem DAS_Binary und DAS_Query ebenfalls verbunden sind Dies ist in der Standardeinstellung der Fall sofern der Kommunikationsserver und DAS Prozesse ausgef hrt werden F r UNIX Starten der SDM GUI 1 Melden Sie sic
293. rCallback Wenn der Collector Manager eine Zuordnung aktualisieren muss sendet er eine Anforderung an das Back End Diese Anforderung enth lt einen R ckruf Das Back End generiert die Zuordnung und sendet diese anschlie end mithilfe des R ckrufs an den Collector Manager Wenn der Eingang der Antwort zu lange dauert l nger als 10 Minuten sendet der Collector Manager eine zweite Anforderung und die erste Anforderung wird als verloren gegangen angesehen Wenn dies der Fall ist wird das folgende interne Ereignis generiert Tag Wert Schweregrad 2 Ereignisname TimedoutWaitingForCallback Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Map lt name gt timed out waiting for callback with new map data retrying Zeit berschreitung f r Zuordnung lt Name gt beim Warten auf R ckruf mit neuen Zuordnungsdaten neuer Versuch ErrorApplyingincrementalUpdate Dieses Ereignis wird gesendet wenn beim bernehmen einer Aktualisierung auf eine vorhandene Clientzuordnung durch den Zuordnungsservice ein Fehler auftritt Tag Wert Schweregrad 4 Ereignisname ErrorApplyingIncrementalUlpdate Ressource MappingService Teilressource ReferentialDataObjectMap Meldung The error lt error gt occurred while applying updates to map lt mapName gt ID lt mapld gt v lt version gt Rescheduling a refresh to complete map update Fehler lt Fehler gt beim bernehmen von Aktualis
294. ration Map Key Field Event Tag DestinationIP Wenn ein Ereignis eine Ziel IP von 10 0 1 14 entspricht einem numerischen Wert von 167772430 enth lt ist die Ausgabe f r Spalte CustomerVar89 im Ereignis BBB Sentinel unterst tzt die folgenden Zahlenbereiche Bereich von negativer Zahl zu negativer Zahl z B 234 34 Bereich von negativer Zahl zu positiver Zahl z B 234 34 Bereich von positiver Zahl zu positiver Zahl z B 234 236 Bereich mit einer einzigen Zahl negativ z B 234 In diesem Fall ist sowohl das Minimum als auch das Maximum 234 Bereich mit einer einzigen Zahl positiv z B 234 In diesem Fall ist sowohl das Minimum als auch das Maximum 234 Bereich von negativer Zahl zu maximaler Zahl z B 234 In diesem Fall ist das Minimum 234 und das Maximum ist 263 1 Bereich von positiver Zahl zu maximaler Zahl z B 234 In diesem Fall ist das Minimum 234 und das Maximum ist 263 1 HINWEIS In allen F llen muss das Minimum kleiner als das oder gleich dem Maximum sein beispielsweise ist 234 235 NICHT g ltig Bearbeiten von Zuordnungsdefinitionen 10 14 So bearbeiten Sie eine Zuordnungsdefinition 1 Klicken Sie auf die Registerkarte Zuordnung 2 Erweitern Sie den gew nschten Ordner 3 Markieren Sie eine Zuordnungsdefinition und klicken Sie auf Bearbeiten HINWEIS Die Bearbeit
295. rce UserSessionManager Teilressource User Meldung Discovered active user lt user gt with OS name lt osName gt at lt IP gt logged in currently lt num gt active users Aktiver Benutzer lt Benutzer gt mit Betriebssystemname lt OSName gt angemeldet an lt P gt wurde erkannt zurzeit sind lt n gt aktive Benutzer vorhanden Systemereignisse f r Sentinel5 A 3 Ereignis Fehler beim Verschieben von abgeschlossener Datei Wenn eine Ereignisdatei abgeschlossen wurde wird sie in das Ausgabeverzeichnis verschoben Wenn dieser Verschiebevorgang nicht erfolgt wird das folgende interne Ereignis generiert Tag Wert Schweregrad 3 Ereignisname MoveArchiveFileFailed Ressource lt DAS Name gt Teilressource ArchiveFile Meldung Error moving completed archive file lt fname gt to lt dir gt Fehler beim Verschieben von abgeschlossener Archivdatei lt Dateiname gt nach lt Verz gt Fehler beim Einf gen von Ereignissen Wenn beim Einf gen von Ereignissen in die Datenbank Fehler auftreten wird das folgende interne Ereignis generiert Tag Wert Schweregrad 5 Ereignisname InsertEventsFailed Ressource EventSubSystem Teilressource Events Meldung Error inserting events into the Database the events may be permanently lost Please check the Database and backend server logs lt Exception gt Fehler beim Einf gen von Ereignissen in die Datenbank die Ereignisse
296. rdatei Windows 11 4 Starten Windows 20rssn nennen 11 5 Sentinel Version DEL D teien 2 233422 32 HR 11 7 EXE Dateien 2222244snnnnnnnnnnnn 11 7 JAR Dateien 24440nnnnnn 11 8 Sentinel Version UNIX 11 7 Sentinel Version Windows 11 7 Skriptdatei 00002440 nennen 11 3 agent manager sh 11 1 11 2 remove_sonic_lock bat 11 3 remove_sonic_lock sh 2 11 3 sentinel Shi aran oneri 11 1 11 4 start_broker bat sssesesennnnennneneneneernenene 11 3 start_broker sh unnesesesenenenenennnnnnnnnnnnnnn 11 3 stop_broker bat ceecee 11 3 stop_broker sh unnseneneessnnnnnneennnnn nennen 11 3 stop_container bat uenesenennenn 11 4 stop_container sh nenn 11 4 Snapshot Echtzeitereignistabelle 3 25 Ereignisdetails 2444400 ereen 3 9 Ereignisdetails ausblenden 3 10 l schen 2 ask 3 26 Schlie en snakes eier 3 26 Tola a EEEE E TT 3 26 Spalten anordnen een 3 24 Speichern von Anlagen 4 6 Speichern von Einstellungen 2 9 Sperrdatei Entfernen une 11 4 Standardbenutzer ESEC GORR 322 ee 9 28 BSEC dm ea 9 28 BSECapp een ee 9 28 esecdba nel 9 28 STS n o E
297. re Products Advisor asp Der Advisor Datenfeed umfasst zwei Teile Warnungsdaten Informationen zu bekannten Sicherheitsanf lligkeiten und Bedrohungen Angriffsdaten Normalisierung von Intrusion Detection Signaturen und Plugins f r Anf lligkeits Absuchvorg nge HINWEIS W hrend der Installation und bis zum ersten Datenfeed von SecurityNexus ist die Kontextmen funktion bei Ereignissen mit ausgef lltem rt1 Feld f r Advisor Daten nicht voll funktionsf hig Ausf hren von Advisor Berichten So erstellen Sie einen Advisor Bericht 1 Klicken Sie auf die Registerkarte Advisor 2 Klicken Sie im Advisor Navigator auf eine Berichtsschablone 3 Klicken Sie auf Advisor gt Bericht erstellen 4 Geben Sie die Informationen in die Schablone ein und klicken Sie auf Bericht anzeigen Registerkarte Advisor 7 1 Eigenst ndige Installation Manuelle Aktualisierung von Advisor 7 2 Manuelle Aktualisierung des Advisor Feed 1 Wechseln Sie zur URL advisor esecurityinc com advisordata Geben Sie Ihren Benutzernamen und Ihr Passwort ein Wechseln Sie in den Ordnern attack und alert jeweils zum neuesten Monat und laden Sie die ZIP Dateien herunter Speichern Sie die neuen Warnungs und Attacke Datenfeed Dateien im ZIP Format auf Ihrem Computer HINWEIS Speichern Sie die ZIP Dateien nicht in den Verzeichnissen attack und alert Entpacken Sie die ZIP Dateien f r de
298. reignisse weiter verbessert wird Sentinel Control Center verwendet Vorg nge im Hintergrund um Ergebnisse in Echzeit und Zusammenfassungen von Ergebnissen Active ViewsTM Vorf lle Verlaufsberichte Analyse und Advisor Berichte anzuzeigen Sentinel Benutzerhandbuch Ereignisse besonderer Wichtigkeit k nnen zu einem Objekt gruppiert werden das als Vorfall bezeichnet wird Vorf lle k nnen manuell vom Benutzer oder automatisch von der Correlation Engine erstellt werden Vorf lle k nnen zus tzliche Informationen enthalten beispielsweise Informationen zu den angegriffenen Best nden den Anf lligkeiten dieser Best nde und Informationen zum Angriff der von der Sentinel Advisor Komponente empfangen wird Dar ber hinaus k nnen weitere Informationen als Anlage angef gt werden In diesem Handbuch wird davon ausgegangen dass Sie mit den grundlegenden Aspekten der Netzwerksicherheit der Datenbankverwaltung sowie den Umgebungen der Windows und UNIX Betriebssysteme vertraut sind In diesem Kapitel wird die funktionelle und logische Architektur von Sentinel 5 gefolgt von dessen wichtigsten Produktmodulen beschrieben Funktionelle Architektur Sentinel 5 besteht aus drei Komponentenuntersystemen die den Kern der funktionellen Architektur bilden 1iSCALE Plattform ein ereignisorientiertes skalierbares System Data Source Integration ein erweiterbares Collector System Application Integration ein erweiterbares Anwendung
299. ren Sie Partitionen HINWEIS Aggregationstabellen werden nicht archiviert 1 W hlen Sie die Registerkarte Archivieren f r Partitionen aus 2 Geben Sie die Anzahl der Tage an f r die ltere Partitionen archiviert werden sollen sowie das Verzeichnis in dem das Archiv gespeichert werden soll HINWEIS Unter UNIX k nnen Partitionen nicht in root archiviert werden 3 Klicken Sie auf Archivieren HINWEIS Achten Sie beim Archivieren darauf dass Sie einen g ltigen Pfad auf dem Datenbankserver mit den entsprechenden Berechtigungen eingeben HINWEIS Die Registerkarte Archivieren unterscheidet sich f r MSSQL und Oracle Unter Oracle k nnen Sie die maximal zul ssige Gr e f r die Archivdatei festlegen Registerkarte Archivieren f r Partitionen unter Oracle Add Delete Archive Import Release Archive data partitions older than ji v day s as follows Output directory Max file size fio me z Save Archive Sentinel Data Manager 10 5 Registerkarte Archivieren f r Partitionen unter MSSQL Add Delete Archive Import Release Archive data partitions older than N d days as follows Output directory Save Archive So importieren Sie Partitionen 4 W hlen Sie die Registerkarte Importieren f r Partitionen aus W hlen Sie in der Tabelle Segmente die Partition aus in die die Daten importiert werden sollen Geben Sie das E
300. rfall beif gen Externe Daten HINWEIS Wenn einem Vorfall Ereignisse hinzugef gt werden werden die Registerkarten Best nde Anf lligkeit und Advisor durch eine Liste aller Bestands Anf lligkeits oder Advisor Daten zu den DIP Destination Host Namen der zugeh rigen Ereignisse erg nzt HINWEIS Die Schaltfl chen Hinzuf gen und Entfernen auf den Registerkarten Best nde Anf lligkeit und Advisor erm glichen den Benutzern das manuelle Hinzuf gen oder Entfernen von Bestands Anf lligkeits oder Advisor Daten Registerkarte Vorf lle 4 5 Erstellen eines Vorfalls Erstellen eines Vorfalls 1 Klicken Sie auf die Registerkarte Vorfall 2 Klicken Sie auf Vorf lle gt Vorfall erstellen oder klicken Sie auf die Schaltfl che Neuen Vorfall erstellen B Fie Actions Options ajajaja Incident ID NEW Events Assets Yulnerability Advisor ITRAC History Atta 1 x Title O Associated Events _ u u Severty DateTime State OPEN Severity None 0 x Priority Noem x Categoy Originator esecadm Responsible Id Description Resolution l Create Cancel Geben Sie Ihre Informationen in die leeren Felder im Dialogfeld Vorfall erstellen ein 3 Klicken Sie auf Speichern Anzeigen und Speichern von Anlagen 4 6 So zeigen Sie eine Anlage an 1 Klicken Sie mit der rechten Maustaste auf eine Anlage und dann
301. rheitsfilter gt wurde entfernt Zurzeit wird die Erfassung f r lt n gt Active View s ausgef hrt Inaktive permanente Active View entfernt DAS_Binary sendet dieses Ereignis wenn eine permanente Active View wegen Inaktivit t entfernt wird Permanente Active Views sind in den Benutzereinstellungen gespeichert und in der Standardeinstellung tritt nach mehreren Tagen der Inaktivit t eine Zeit berschreitung auf Tag Wert Schweregrad 1 Ereignisname RtPermanentChartRemoved Ressource RealTimeSummarysService Teilressource ChartManager Meldung Removed idle permanent Active View with filter lt filter gt and attribute lt attribute gt for users with security filter lt security filter gt Currently lt n gt Active View s Collecting Inaktive permanente Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt wurde entfernt Zurzeit wird die Erfassung f r lt n gt Active View s ausgef hrt Systemereignisse f r Sentinel5 A 19 Active View ist nun permanent DAS_Binary sendet dieses Ereignis wenn festgestellt wird dass eine Active View nun als permanent festgelegt ist Eine solche berpr fung wird regelm ig ausgef hrt daher kann dieses Ereignis wenige Minuten nach dem Speichern einer Active View in den Einstellungen generiert werden Tag Wert Schweregrad 1 Ereignisname RtChartIsNowPerm
302. roja Backdoor SubSeven 3 Trojan Backdoor SubSeven 4 Syn Microsystems Solaris rwall Elevated F Pun Microsystems Solaris rwall Elevated F Bun Microsystems Solaris rwall Elevated F etr Microsoft Exchange Server Arbitrary Code RealSecure E E 12 Microsoft Exchange Server Arbitrary Code Das Anf lligkeits Tag weist den Spalteneintrag _EXIST_ auf das bedeutet dass der Zuordnungsergebniswert 1 ist wenn sich der Schl ssel in IsExploitWatchlist Datei exploitDetection csv befindet andernfalls ist er 0 Die Schl sselspalten f r das Anf lligkeits Tag sind IP und NormalizedAttackId Wenn ein eingehendes Ereignis mit einem DestinationIP Ereignis Tag das mit dem Eintrag in der IP Spalte und ein AttackId Ereignis Tag gefunden wird das mit dem Eintrag in der NormalizedAttackId Spalte in derselben Zeile bereinstimmt lautet das Ergebnis eins 1 Wenn keine bereinstimmung in einer gemeinsamen Zeile gefunden wird lautet das Ergebnis null 0 mamng vul Label vulnerability Description f he vulnerability of the asset identified in this event Data Source C External Referenced from Map Map Name tsExploitwetchlist Map Column LExIST_ Key Configuration Map Key Field Event Tag IP SourceHostName SourcePort Martin afinnHnetklame NormalizedAttackId Sentinel Benutzerhandbuch Data Source Integration Die Verwendung einer anpass
303. roller Siehe Datensynchronisierung Datenfeed Zeit andem 2 ETTET 7 5 Datensynchronisierung 1 15 dbst ls a al 10 41 Deaktivieren Men option f r die Men konfiguration 9 24 deleteData 10 36 10 44 Details ffentlicher Filter 9 20 privater Filter uueeznssersennneeneneneen ernennen 9 20 Diagrammzuordnung 3 13 3 14 Drittanbieter Integration HP Service Desk uunnnsensnensnnennnnnnnn 3 23 Remedy 3 2 a aan 3 23 droplmported 10 33 10 40 dropPartition nsrerseeeneennnene ne 10 32 Echtzeitereignistabelle Erstellen eines Snapshot 3 25 Einstellungen Speichern u ie 2 9 Email execution properties iien 4 8 Vorfall airi ene releases 4 8 Email Konfiguration 3 10 11 8 Ereignisabfrage nennn 3 16 Ausf hren eines Berichts gt 6 2 Ereignisdetails EET aLe 110 EEN ETE AET 3 9 visueller Navigator eeen 3 9 Ereignisechtzeit anzeigen elle 3 4 Caching Dauer ssseeseeeeeeieeeeeeeeeeeeeee 3 3 maximale Anzahl von Ereignissen 3 3 visueller Navigator eerren 3 4 Ereigniskonfiguration u 10 22 Beschreibung 22444224444 nn nRn ernennen 10 22 Ereignisnachricht per Emall 2 bee 3 10 Ereignisregeln u0 444e nennen 9 3 Ereignisse Anzeigen v
304. rtition pro Tag 1 DAY 1 10 hinzugef gt sdm action partitionConfig freq 1D days 10 connectFile sdm connect Im folgenden Beispiel wird vom System eine Partition eine Partition in sieben Tagen 7 days 1 10 7 hinzugef gt sdm action partitionConfig size 1W days 10 connectFile sdm connect Hinzuf gen von Partitionen Mit dieser Aktion addPartitions wird die erforderliche Anzahl von Partitionen entsprechend der Partitionskonfiguration in den folgenden Tabellen hinzugef gt Oracle EVENTS a CORRELATED_EVENTS a EVT_DEST_EVT_NAME_SMRY_I a EVT_DEST_SMRY_I a EVT_DEST_TXNMY_SMRY_I a EVT_PORT_SMRY_I a EVT_SEV_SMRY_I a EVT_SRC_SMRY_I SOL Server a EVENTS CORRELATED_EVENTS EVT_DEST_EVT_NAME_SMRY_I EVT_DEST_SMRY_I EVT_DEST_TXNMY_SMRY_I a EVT_PORT_SMRY_I a EVT_SEV_SMRY_I a EVT_SRC_SMRY_I je je Wenn in der Konfiguration Partitionen f r 10 Tage festgelegt sind wird bei jedem Ausf hren von addPartitions berpr ft ob Partitionen f r die n chsten 10 Tage verf gbar sind Wenn eine ausreichende Anzahl von Partitionen f r die n chsten 10 Tage vorhanden ist wird keine Aktion ausgef hrt Wenn dies nicht der Fall ist wird die erforderliche Anzahl von Partitionen f r 10 Tage hinzugef gt F r diese Aktion werden folgende Flags verwendet action addPartitions connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Ausf hren von ad
305. rvice Desk Remedy So senden Sie einzelne oder mehrere Ereignisse f r Drittanbieter Software 1 Klicken Sie je nachdem welche Drittanbieter Integrationssoftware Sie installiert haben in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot Fenster mit der rechten Maustaste auf ein Ereignis und klicken Sie dann auf eine der Optionen zum Senden des Ereignisses an HP Service Desk Remedy Verwenden von benutzerdefinierten Men optionen mit Ereignissen So verwenden Sie eine benutzerdefinierte Men option mit einem Ereignis 1 W hlen Sie in einer vorhandenen Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot ein Ereignis oder eine Gruppe von Ereignissen aus klicken Sie mit der rechten Maustaste darauf und klicken Sie dann auf eine Option Im eingeblendeten Dialogfeld werden die Informationen angezeigt f r die die Men option konfiguriert ist oder Sie erhalten darin die M glichkeit zum Angeben der Informationen die zum Ausf hren einer Aktion erforderlich sind Die standardm igen benutzerdefinierten Men optionen sind ping nslookup traceroute Whois Registerkarte Active Views 3 23 Dar ber hinaus k nnen Sie Benutzerberechtigungen zum Anzeigen der Anf lligkeit und zum Durchf hren von HP Aktionen zuweisen Im Fenster Men konfiguration das ber die Registerkarte Admin verf gbar ist k nnen Sie Optionen hinzuf gen 2005 01 le BNLOZ On Es 20
306. ryUpdateFailure InsertIntoOverflowPartition EventInsertionlsBlocked EventInsertionResumed EventRouterlsRunning EventRouterlnitializing EventRouterStopping EventRouterTerminating ErrorNoSuchMap LoadingMapFromCache IserAuthentication serAuthentication serSessionManager AS Name EveniSubSysiem DAS Name DAS Name EveniSubSysiem EveniSubSystem EveniSubSystem MappingService Misere Nn clc c 4 RefreshingMapFromServer MappingService TimeoutRefreshingMapData MappingService ErrorRefreshingMapData 4 MappingService ReferentialDataObjectMap Mapping LoadedLargeMap O MappingService ReferentialDataObjectMap Mapping LongTimeToLoadMap O MappingService ReferentialDataObjectMap Mapping TimedoutWaitingForCallback 2 MappingService ReferentialDataObjectMap Mapping ErrorApplyingIncrementalUpdate ReferentialDataObjectMap gt A 22 Ereignisname chweregrad Quelle 2 SubResurcee Komponente ReferentialDataObjectMap CorrelationEngine CorrelationEngine OutOfSyncDetected EngineRunning EngineStopped CorrelationEngine CorrelationEngine CorrelationEngine Deployment CorrelationEngine Deployment DeploymentStarted DeploymentStopped er DeploymentModified CorrelationEngine Depioyment ProcessStar WaichDog 1 7 f ProcessStop 5 WatchDog Proces fo ProcessStart WaichDogs Wachbog f ProcessStop WatchDog WatchDog o Z PortStart AgentManager Agent
307. s festgelegt ist Daten werden aus den folgenden Tabellen gel scht EVENTS CORRELATED_EVENTS EVT_DEST_EVT_NAME_SMRY_I EVT_DEST_SMRY_1 EVT_DEST_TXNMY_SMRY_1 EVT_PORT_SMRY_I EVT_SEV_SMRY_1 EVT_SRC_SMRY_1 Bei dieser Aktion werden keine Partitionen verworfen die nicht archiviert wurden Wenn Sie nicht archivierte Partitionen l schen m chten muss die optionale Flagge forceDelete angegeben sein und den Wert true wahr aufweisen Bei Verwendung von forceDelete gilt Folgendes falsch oder Es werden nur die Partitionen verworfen die lter sind als in keepDays nicht festgelegt sowie die archivierten Partitionen angegeben wahr Es werden alle Partitionen verworfen die lter sind als keepDays auch wenn sie nicht archiviert wurden F r diesen Befehl werden folgende Flags verwendet action deleteData keepDays lt Beibehaltungsdauer in Tagen gt forceDelete lt entweder wahr oder falsch gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Sentinel Benutzerhandbuch Ausf hren von deleteData 1 F hren Sie diesen Befehl wie folgt aus sdm action deleteData keepDays lt Beibehaltungsdauer in Tagen gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Im folgenden Beispiel werden die Partitionen aus Tabellen verworfen die lter als 30 Tage sind Dab
308. s initialization in lt mode gt mode Initialisierung des Ereignisrouters im Modus lt Modus gt wurde abgeschlossen A 12 Sentinel Benutzerhandbuch Ereignisrouter wird initialisiert Dieses interne Ereignis wird gesendet wenn die Initialisierung eines Ereignisrouters gestartet wird Die Initialisierung des Ereignisrouters wird gestartet wenn dieser eine Verbindung mit dem Back End DAS Query hergestellt hat Tag Wert Schweregrad 1 Ereignisname EventRouterlnitializing Ressource AgentManager Teilressource EventRouter Meldung Event router is initializing in lt mode gt mode Der Ereignisrouter wird im Modus lt Modus gt initialisiert Ereignisrouter wird angehalten Dieses Ereignis wird gesendet wenn der Ereignisrouter w hrend des Herunterfahrens eine Anforderung zum Beenden empf ngt Tag Wert Schweregrad 2 Ereignisname EventRouterStopping Ressource AgentManager Teilressource EventRouter Meldung Event router is stopping Der Ereignisrouter wird angehalten Ereignisrouter wird beendet Dieses Ereignis wird gesendet wenn der Ereignisrouter w hrend des Herunterfahrens eine Anforderung zum Beenden empf ngt Tag Wert Schweregrad 2 Ereignisname EventRouterTerminating Ressource AgentManager Teilressource EventRouter Meldung Event router is terminating Der Ereignisrouter wird beendet Correlation Engine Correlation Engine w
309. s ist in der Standardeinstellung der Fall sofern der Kommunikationsserver und DAS Prozesse ausgef hrt werden Ereigniszuordnung Die Ereigniszuordnung ist ein Mechanismus mit dem Sie einem Ereignis Daten hinzuf gen k nnen wobei mithilfe von bereits im Ereignis vorhandenen Daten auf Daten aus einer externen Quelle verwiesen wird und diese abgerufen werden Die externe Datenquelle ist eine Zuordnung die mithilfe der Registerkarte Zuordnung definiert wird Die bereits im Ereignis vorhandenen Daten die als Verweis auf die Zuordnung fungieren sollen und die Daten die aus der Zuordnung in das Ereignis abgerufen werden sollen werden auf der Registerkarte Ereignisse festgelegt Da beliebige Daten in einer Zuordnung enthalten sein k nnen k nnen mithilfe der Ereigniszuordnung Daten in den Ereignisstrom eingebunden werden die aus beliebigen Quellen der jeweiligen Organisation stammen Die Ereigniszuordnung bietet u a die folgenden M glichkeiten berwachung der Regelkonformit t Richtlinienkonformit t Priorit tenfestlegung f r Antworten Analyse von Sicherheitsdaten in Bezug auf Gesch ftsvorg nge Verbesserung der Verantwortlichkeit Sentinel Data Manager 10 17 10 18 Wenn eine Ereigniszuordnung definiert ist wird diese im gesamten System auf alle Ereignisse aller Collectors angewendet Dar ber hinaus verteilt Sentinel automatisch Zuordnungsdaten auf alle Prozesse die Ereigniszuordnungen ausf
310. s sich um eine Online Partition in deren Zeilen online zurzeit Daten eingef gt werden Archivierte Elemente Dabei handelt es sich um eine Partition deren Daten archiviert sind online Auf die Daten kann aus einem der folgenden Gr nde jedoch noch zugegriffen werden Die Partition wurde noch nicht verworfen Die Partition wird zur ckimportiert Offline Auf Daten auf einer Offline Partition kann nicht zugegriffen werden da die Partition verworfen und nicht importiert wurde Offline archiviert Dieser Status kennzeichnet eine Partition die archiviert und verworfen wurde Sentinel Benutzerhandbuch So verwalten Sie Partitionen 1 Klicken Sie auf die Registerkarte Partitionen 2 W hlen Sie die Tabelle in der Dropdown Liste aus 3 W hlen Sie die Registerkarte am unteren Rand des Fensters aus die sich auf den gew nschten Vorgang bezieht Hinzuf gen L schen Archivieren Importieren oder Release So f gen Sie Partitionen hinzu 1 W hlen Sie die Registerkarte Hinzuf gen f r Partitionen aus 2 Geben Sie die Anzahl der hinzuzuf genden Partitionen sowie die Anzahl der Tage an f r die die Partitionen hinzugef gt werden sollen 3 Klicken Sie auf Hinzuf gen So l schen Sie Partitionen 1 W hlen Sie die Registerkarte L schen f r Partitionen aus 2 Geben Sie die Anzahl der Tage an f r die ltere Partitionen gel scht werden sollen 3 Klicken Sie auf L schen So archivie
311. sauslastung sorgen Sentinel Services werden in speziellen Containern ausgef hrt und erm glichen un bertroffene Verarbeitung und Skalierung da sie f r meldungsbasierten Transport und meldungsbasierte Berechnung optimiert wurden Sentinel Server bietet Schl sselservices f r folgende Aspekte Remoting Service Vorfallsreaktion Data Access Service Berichterstellung Abfrage Manager Service Advisor Korrelationsservice Zustand Workflow Service Verwaltung Ereignisanzeige Remoting Service 1 20 Der Remoting Service von Sentinel 5 stellt den Mechanismus f r die Kommunikation zwischen Server und Clientprogrammen bereit Dieser Mechanismus wird normalerweise als verteilte Objektanwendung bezeichnet Der Remoting Service stellt Folgendes bereit Suche nach Remote Objekten Hierf r kommen Metadaten zum Einsatz die Aufschluss ber den Objektnamen bzw das Registrierungs Token geben der tats chliche Standort ist hierbei nicht erforderlich da der ISCALE Nachrichtenbus die Standorttransparenz unterst tzt Kommunikation mit Remote Objekten Details der Kommunikation zwischen Remote Objekten werden vom iSCALE Nachrichtenbus verarbeitet Objekt Streaming und Chunking Wenn gro e Datenmengen zwischen Client und Server ausgetauscht werden m ssen werden diese Objekte f r das Laden von Daten nach Bedarf optimiert Callbacks Ein weiteres Abstraktionsmuster eine weitere Abstraktionsschicht in Remoting
312. sentinel sh start Beenden des UNIX Sentinel Server Beim Beenden des Sentinel Server unter UNIX wird auch der Kommunikationsserver beendet Beenden des UNIX Sentinel Server 1 Wechseln Sie als Benutzer esecadm in das Verzeichnis ESEC_HOME sentinel scripts 2 F hren Sie den folgenden Befehl aus sentinel sh stop Starten des UNIX Collector Manager Starten des UNIX Collector Manager 1 Wechseln Sie als Benutzer esecadm in das Verzeichnis WORKBENCH_HOME 2 F hren Sie den folgenden Befehl aus agent manager sh start Dienstprogramme 11 1 Beenden des UNIX Collector Manager Beenden des UNIX Collector Manager 1 Wechseln Sie als Benutzer esecadm in das Verzeichnis WORKBENCH_HOME 2 F hren Sie den folgenden Befehl aus agent manager sh stop Starten und Beenden des Sentinel Server und des Collector Manager Windows Je nach Konfiguration der Installation k nnen bis zu drei Sentinel Services auf dem Computer ausgef hrt werden Hierbei handelt es sich um Sentinel Dieser Service startet alle anderen Sentinel Server Prozesse Sentinel Communication Dieser Service ist unser verschl sselter Kommunikationsserver Collector Manager Dieser Service stellt unseren Wizard dar Unter den Windows Diensten k nnen Sie jeden dieser Services manuell starten neu starten und beenden Starten des Windows Collector Manager Starten des Windows Collector M
313. shington DC 12345 USA Ereignisabfrage Beispielszenario W hrend der berwachung sehen Sie zahlreiche Telnet Versuche der Quellen IP 189 168 10 22 Bei diesen Telnet Versuchen k nnte es sich um einen Angriff handeln Telnet erm glicht es einem Angreifer eine Remote Verbindung zu einem Computer so herzustellen als ob es sich um eine lokale Verbindung handeln w rde Dies kann zu nicht autorisierten Konfigurations nderungen sowie zur Installation von Programmen Viren usw f hren Mithilfe der Ereignisabfrage k nnen Sie feststellen wie oft ein m glicher Angreifer einen Telnet Versuch unternommen hat und Sie k nnen einen Filter zur Abfrage dieses speziellen Angreifers erstellen Sie verf gen beispielsweise ber die folgenden Informationen Quellen IP 189 168 10 22 Ereignisname Attempted_telnet Ziel IP 189 168 10 23 Sensortyp H Host Intrusion Detection Schweregrad 5 Schnellstart 12 3 12 4 So f hren Sie eine Ereignisabfrage durch 1 Klicken Sie auf Ereignisabfrage Lupensymbol und dann auf den Abw rtspfeil des Felds Filter Klicken Sie auf Hinzuf gen und geben Sie als Filternamen telnet SIP 189_168_10_22 ein Geben Sie in das Feld unter Filter Folgendes ein SourcelP 189 168 10 22 Schweregrad 5 EventName Attempted_telnet SensorType H Abgleichen wenn w hlen Sie und DestinationIP 189 168 10 23 Klicken Sie auf Speichern Markieren Sie Ihren Filter und klicken S
314. source EventSubSystem Teilressource Events Meldung Event insertion has resumed after being blocked Einf gen von Ereignissen wird nach vor bergehender Unterbrechung fortgesetzt Speicherplatz der Datenbank hat angegebenen Zeitschwellenwert erreicht Wenn nach einer vor bergehenden Unterbrechung mit dem Einf gen von Ereignissen fortgefahren wird wird das folgende Ereignis gesendet Tag Wert Schweregrad 0 Ereignisname DbSpaceReachedTimeThrshld Ressource Database Teilressource Database Meldung Tablespace lt string gt has lt num gt MB left and growing lt num gt bytes per second and will run out space within the time threshold specified lt num gt seconds Tabellenbereich lt Zeichenkette gt verf gt noch ber lt n gt MB und w chst um lt n gt Byte pro Sekunde an der Speicherplatz wird innerhalb des angegebenen Zeitschwellenwerts ersch pft sein lt n gt Sekunden Speicherplatz der Datenbank hat angegebenen prozentualen Schwellenwert erreicht Wenn nach einer vor bergehenden Unterbrechung mit dem Einf gen von Ereignissen fortgefahren wird wird das folgende Ereignis gesendet Tag Wert Schweregrad 0 Ereignisname DbSpaceReachedPercentThrshld Ressource Database Teilressource Database A 6 Sentinel Benutzerhandbuch Tag Wert Meldung Tablespace lt string gt has current size of lt num gt MB with a max size of lt num gt MB and has reached the
315. ssystem Sentinel behandelt sowohl Services als auch Anwendungen als abstrakte Endpunkte von Services die umgehend auf asynchrone Ereignisse reagieren k nnen Bei Services handelt es sich um Objekte die nicht mit Protokollen bzw mit der Art wie Meldungen an Peer Services weitergeleitet werden kompatibel sein m ssen Sentinel Funktionen Sentinel ist eine mit vielen Funktionen ausgestattete Anwendung f r Endbenutzer die es erm glicht verschiedene Funktionen zu berwachen und zu verwalten Zu den Hauptfunktionen geh ren Ansichten in Echzeit von vielen Ereignisabfolgen Auf Ereignissen in Echzeit und Ereignissen aus Verl ufen basierende Berichtsfunktionen Regulierung von Benutzern sowie deren Anzeige und Bearbeitungsberechtigungen nach Berechtigungszuweisung Einschr nkung des Zugriffs f r Benutzer auf Ereignisse Organisation von Ereignissen in Vorf lle zur effizienten Reaktionsverwaltung und verfolgung Ermittlung von Mustern in Ereignissen und Ereignisabfolgen berblick ber die Architektur Das Sentinel System empf ngt Ereignisse vom Wizard Collector Manager Die Ereignisse werden dann in Echtzeit angezeigt und in einer Datenbank f r die Verlaufsanalyse protokolliert Das Sentinel System verwendet eine relationale Datenbank und besteht aus Sentinel Vorg ngen und einer Berichts Engine Als Eingabe akzeptiert das System Ereignisse vom Collector Manager Der Collector Manager dient als
316. t hinweg zu verfolgen und zu untersuchen Sie k nnen diese Berichte auch zur Berichterstattung bei Ihren Vorgesetzten verwenden Wenn Ihr Berichts Webserver installiert ist k nnen Sie in der Navigationsleiste sehen welche Berichte verf gbar sind HINWEIS Nachfolgend finden Sie ein Beispiel f r Crystal 9 In Crystal 11 sind die Verfahren identisch es werden jedoch andere Berichtsnamen verwendet Angenommen Sie sind in Ihrem Unternehmen f r die Erstellung von Berichten f r das h here Management verantwortlich In diesem Fall verwenden Sie wahrscheinlich SourceDestinationReports Dieser Bericht liefert die Top 10 Quellen IP Ziel IP Paare unter den Hostnamen Ports IPs und Benutzern Zur Ausf hrung dieses Berichts gehen Sie wie folgt vor Ausf hren eines Crystal Report 1 Erweitern Sie die Top 10 markieren Sie die Zusammenfassung der Top 10 Quellen IP Ziel IP Paare und klicken Sie auf Berichte erstellen Lupensymbol 2 Geben Sie als Benutzername esecrpt zur SQL Authentifizierung und Oracle bzw Ihren Benutzernamen f r die Windows Authentifizierung sowie Ihr Passwort ein 3 W hlen Sie unter Berichtstyp die Option Wochenbericht w hlen Sie Spezifischer Datenbereich wenn ein bestimmter Datumsbereich verwendet werden soll HINWEIS Andere Berichte k nnen weitere Parameter wie den Ressourcennamen und den Schweregradbereich aufweisen 4 Klicken Sie auf Bericht anzeigen Top 10 Source to Destin
317. t den Vorgang auszuf hren Tag Wert Schweregrad 4 Ereignisname TimeoutRefreshingMap Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Request timed out while refreshing map lt name gt lt exception gt Zeit berschreitung der Anforderung beim Aktualisieren von Zuordnung lt Name gt lt Ausnahme gt Fehler beim Aktualisieren von Zuordnung Dieses interne Ereignis wird Client seitig vom Zuordnungsservice generiert dem Service der Bestandteil des Collector Manager ist Wenn der Collector Manager eine Anweisung zum Aktualisieren der Zuordnung erh lt weil diese selbst oder deren Definition ge ndert wurde wird ein internes Ereignis gesendet Das hei t dass beim Aktualisieren einer Zuordnung ein unerwarteter nicht fl chtiger Fehler aufgetreten ist Der Collector Manager wartet 15 Minuten und versucht anschlie end erneut den Vorgang auszuf hren Wenn dieser Fehler w hrend der Initialisierung auftritt wird diese fortgesetzt und die betreffende Zuordnung wird so lange ignoriert bis sie erfolgreich geladen werden kann Tag Wert Schweregrad 4 Ereignisname ErrorRefreshingMapData Systemereignisse f r Sentinel5 A 9 Tag Wert Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Error refreshimg map lt mapName gt lt exc gt Fehler beim Aktualisieren von Zuordnung lt Zuordnung gt lt Ausnahme gt
318. t tzten Tabellen angezeigt Oracle EVENTS a CORRELATED_EVENTS 2 EVT_DEST_EVT_NAME_SMRY_I a EVT_DEST_SMRY_I a EVT_DEST_TXNMY_SMRY_I a EVT_PORT_SMRY_I a EVT_SEV_SMRY_I a EVT_SRC_SMRY_I SOL Server a EVENTS a CORRELATED_EVENTS 2 EVT_DEST_EVT_NAME_SMRY_I a EVT_DEST_SMRY_I a EVT_DEST_TXNMY_SMRY_I a EVT_PORT_SMRY_I a EVT_SEV_SMRY_I 2 EVT_SRC_SMRY_I Sentinel Data Manager 10 33 F r diesen Befehl werden folgende Flags verwendet action startGui tableName lt Name einer der oben aufgef hrten Tabellen gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt So zeigen Sie Partitionszusammenfassungen an 1 F hren Sie diesen Befehl wie folgt aus sdm action viewPartitions tableName lt Tabellenname gt connectFfile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Im folgenden Beispiel werden die Liste der Partitionen der Tabelle EVENTS und der Status der einzelnen Partitionen angezeigt Beispiel f r Oracle sdm action viewPartitions tableName EVENTS connectFile sdm connect Beispiel f r SQL Server sdm action viewPartitions tableName EVENTS connectFile sdm connect Verwaltung der Archivierung Konfiguration der Archivierung 10 34 Mit dieser Aktion archiveConfig wird die Archivierung konfiguriert Diese Konfiguration steuert wie die Daten aus den Sentinel Tabellen archiviert werden F r diese Ak
319. t Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt wird erstellt Zurzeit wird die Erfassung f r lt n gt Active View s ausgef hrt Verbindung mit Active View hergestellt A 18 DAS_Binary sendet dieses Ereignis wenn ein Benutzer eine Verbindung mit einer vorhandenen Active View herstellt Tag Wert Schweregrad 1 Ereignisname RtChartJoiningExistingData Ressource RealTimeSummaryService Teilressource ChartManager Meldung Joining existing Active View with filter lt filter gt and attribute lt artribute gt for users with security filter lt security filter gt Currently lt n gt Active View s Collecting Verbindung mit vorhandener Active View mit Filter lt Filter gt und Attribut lt Artribut gt f r Benutzer mit Sicherheitsfilter lt Sicherheitsfilter gt wird hergestellt Zurzeit wird die Erfassung f r lt n gt Active View s ausgef hrt Sentinel Benutzerhandbuch Inaktive Active View entfernt DAS_Binary sendet dieses Ereignis wenn eine nicht permanente Active View wegen Inaktivit t entfernt wird Tag Wert Schweregrad 1 Ereignisname RtChartlnactiveAndRemoved Ressource RealTimeSummaryService Teilressource ChartManager Meldung Removed idle Active View with filter lt filter gt and attribute lt artribute gt for users with security filter lt security filter gt Currently lt n gt Active View s Col
320. t beeintr chtigt wird Tag Wert Schweregrad 5 Ereignisname InsertIntoOverflowPartition Ressource EventSubSystem Teilressource Events Meldung Error currently inserting into the overflow partitions P_MAX add more partitions Fehler Zurzeit wird auf die berlaufpartitionen P_MAX geschrieben f gen Sie weitere Partitionen hinzu Einf gen von Ereignissen ist gesperrt Wenn DAS auf die berlaufpartition schreibt und der Benutzer versucht Partitionen hinzuzuf gen sendet SDM eine Anforderung an DAS dass das Einf gen von Ereignissen in die Datenbank vor bergehend unterbrochen werden soll Wenn dies der Fall ist sendet DAS bei jedem Versuch Ereignisse in die Datenbank einzuf gen interne Ereignisse Tag Wert Schweregrad 4 Ereignisname EventInsertionlsBlocked Ressource EventSubSystem Teilressource Events Meldung Event insertion is blocked waiting lt num gt sec Einf gen von Ereignissen ist gesperrt warten Sie lt n gt Sekunden Systemereignisse f r Sentinel5 A 5 Einf gen von Ereignissen wird fortgesetzt Wenn nach einer vor bergehenden Unterbrechung mit dem Einf gen von Ereignissen fortgefahren wird wird das folgende Ereignis gesendet Tag Wert Schweregrad 2 Ereignisname EventInsertionResumed Ressource EventSubSystem Teilressource Events Meldung Event insertion has resumed after being blocked Einf gen von Ereignissen wir
321. t unter Lesser General Public License Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http free tagish net jaas index jsp Java Network Launching Protocol IJNLP Copyright Sun Microsystems Inc Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www java sun com products javawebstart download jnlp html klicken Sie auf Download gt License Java Service Wrapper Teile wie folgt durch Copyright gesch tzt Copyright 1999 2004 Tanuki Software und Copyright 2001 Silver Egg Technology Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http wrapper tanukisoftware org doc english license html JIDE Copyright 2002 bis 2005 JIDE Software Inc JTDS ist lizenziert unter Lesser GNU Public License Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http jtds sourceforge net MD ateSelector Copyright 2005 Martin Newstead lizenziert unter Lesser General Public License Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http web ukonline co uk mseries Monarch Charts Copyright 2005 Singleton Labs Net SNMP Teile des Codes unterliegen dem Copyright verschiedener juristischer Personen die sich alle Rechte vorbehalten Copyright 1989 1991 1992 by Carnegie Mellon University Copyright 1996 1998 bis 2000 the Regents of the University of Cali
322. tchDog Teilressource WatchDog Meldung WatchDog Service Ended WatchDog Service wurde beendet Collector Engine und Collector Manager Start eines Ports Collector Manager sendet dieses Ereignis wenn ein Port gestartet wird Tag Wert Schweregrad 1 Ereignisname PortStart Ressource AgentManager Teilressource AgentManager Meldung Processing started for port_ lt port id gt Verarbeitung wurde f r Port lt Port ID gt gestartet Beenden eines Ports Collector Manager sendet dieses Ereignis wenn ein Port beendet wird Tag Wert Schweregrad 1 Ereignisname PortStop Ressource AgentManager Teilressource AgentManager Meldung Processing stopped for port_ lt port id gt Verarbeitung wurde f r Port lt Port ID gt beendet A 16 Sentinel Benutzerhandbuch Permanenter Prozess wurde beendet Die Collector Engine sendet dieses Ereignis wenn der Connector des permanenten Prozesses feststellt dass sein gesteuerter Prozess beendet wurde Tag Wert Schweregrad 5 Ereignisname PersistentProcessDied Ressource AgentManager Teilressource AgentManager Meldung Persistent Process on port lt port id gt has died Permanenter Prozess an Port lt Port ID gt wurde beendet Permanenter Prozess wurde neu gestartet Die Collector Engine sendet dieses Ereignis wenn der Connector des permanenten Prozesses den beendeten gesteuerten Prozess neu start
323. tektur Service Oriented Architecture SOA auf die die Vorteile der speicherinternen Verarbeitung und des verteilten Computing in sich vereint Das Herzst ck von iSCALE ist ein spezieller Nachrichtenbus der gro e Mengen von Daten verarbeiten kann Da hinsichtlich der iSCALE Plattform ausschlie lich ein standardbasierter Ansatz mit hochwertigen Komponenten zum Einsatz kommt kann mit iSCALE die kosteneffiziente Skalierung gew hrleistet werden Nachrichtenbus 1 4 Der iSCALE Nachrichtenbus erm glicht die unabh ngige Skalierung einzelner Komponenten sowie die standardbasierte Integration in externe Anwendungen Der Schl ssel zur Skalierbarkeit liegt darin dass im Gegensatz zu anderer verteilter Software keine zwei Peer Komponenten direkt miteinander kommunizieren S mtliche Komponenten kommunizieren ber den Nachrichtenbus der Tausende Nachrichtenpakete pro Sekunde bermitteln kann Durch optimale Nutzung der einzigartigen Funktionen des Nachrichtenbusses kann der Kommunikationskanal mit hohem Durchsatz eine hohe Datendurchsatzrate ber unabh ngige Komponenten des Systems hinweg erzielen und aufrechterhalten Ereignisse werden beim Transport komprimiert und verschl sselt um die sichere und effiziente Zustellung vom Rand des Netzwerks bzw von Sammelpunkten zum Hub des Systems zu gew hrleisten wo Echtzeitanalysen vorgenommen werden Sentinel Benutzerhandbuch Beim iSCALE Nachrichtenbus kommen eine Reihe von Warteschlan
324. thentication user lt domain user gt correlated events retry wait 5000 mail smtp host lt SMTP_HOST gt Der SMTP Host ber den Email Nachrichten gesendet werden mail events max 1000 Die maximale Anzahl der Ereignisse die in einer Email gesendet werden die automatisch von der Correlation Engine generiert wird Das Ziel besteht darin die Gr e der Emails f r korrelierte Ereignisse zu beschr nken die ber eine gro e Menge von Ausl seereignissen verf gen correlated events retry count 10 mail address from lt SMTP_FROM_ADDR gt Die Email Adresse die im Feld Von der von DAS gesendeten Email angezeigt wird mail authentication password lt password gt Das Passwort f r mail authentication user Die Skripts mailconfig sh und mailconfig bat verwenden die folgenden Argumente host SMTP Hostname oder IP Adresse from Feld Von der Email user Der Mail Authentifizierungsbenutzer password Das Passwort f r den Mail Authentifizierungsbenutzer HINWEIS Geben Sie Ihr Passwort nicht nach dem Argument password ein Nach dem Eingeben des Befehls werden Sie zum Eingeben eines neuen Passworts aufgefordert Die Konsolenausgabe weist eine Maske von Sternchen auf Die Dateien mailconfigtest sh und mailconfig bat verwenden die folgenden Argumente to Ziel Email Adresse So legen Sie die Email Eigenschaften in der Datei execution properties fest 1 Wechseln Sie au
325. tion werden folgende Flags verwendet action archiveConfig dirPath lt g ltiger Verzeichnispfad in den die archivierten Dateien geschrieben werden sollen gt keepDays lt Beibehaltungsdauer in Tagen gt fileSize nur f r Oracle lt Maximale Gr e der einzelnen archivierten Dateien Geben Sie die Gr e in KB MB oder GB an gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt F r Oracle muss der dirPath Verzeichnispfad als UTL_FILE_DIR Parameter in der Datei init ora entsprechend den Oracle Anforderungen angegeben werden Folgendes muss angegeben werden UTL_FILE_DIR UTL_FILE_DIR bestimmtes Verzeichnis in der Datei init ora in das die Dateien geschrieben werden sollen Sentinel Benutzerhandbuch Ausf hren von archiveConfig 1 F hren Sie diesen Befehl wie folgt aus sdm action archiveConfig dirPath lt Pfad zu dem Verzeichnis in das die archivierten Dateien geschrieben werden sollen gt keepDays lt Beibehaltung in Tagen gt fileSize lt maximale Gr e der einzelnen archivierten Dateien angegeben in KB MB oder GB gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Beispiel f r Oracle Im folgenden Beispiel werden alle Daten die lter als 13 Tage sind in Abschnitten gr er als 1 GB in das Verzeichnis tmp geschrieben sdm action archiveConfig dirPath tmp keep
326. tionen SA a RERE IR TRRFERIERR 10 25 10 26 Aktualisieren einer Zuordnung 10 16 Aktualisieren von Zuordnungsdaten Befehlszeile 2 424444 10 42 Anzeigen von Partitionen Befehlszeile r22 44444n er 10 34 Anzeigen von Partitionen eec E EE TT GUI10 4 10 6 10 7 archiveConfig eseeseeseeeeeesieeeeeereeeeeene 10 35 archiveData uueessnenensennenenennnnnen ernennen 10 36 Archivieren von Daten Befehlszeile 10 36 Archivieren von Partitionen GUI10 5 10 6 Dateien f r Import Befehlszeile 10 38 dbstals n Hemmer 10 41 deleteData ummnssnnneeenneennnneenn 10 37 droplmported umeeeeeneneneennnen ernennen 10 40 Ereigniskonfiguration uerrs4see re 10 22 Ereigniskonfiguration Beschreibung 10 22 Ereigniszuordnung 10 8 10 14 10 17 Erneute Zuordnung seeen 10 19 filesTolmportt uueessneenersennnersennnnenennenn 10 38 fileTolmportt 2z um424404H4HBBH RR 10 38 Herstellen einer Verbindung mit der Datenbank nuersennerseneenn ernennen 10 2 Hinzuf gen einer Zuordnungsdatei 10 8 10 14 Hinzuf gen von Partitionen Befehlszeile EEE 10 31 Hinzuf gen von Partitionen GUI10 5 10 6 importData uueesneersennnnenennnnnnnnnnnen nennen 10 39 Importieren von Daten Befehlszeile 10 39 vi Importieren von Partitionen GUI10 5 10 6 Konf
327. tionsberechnung und Vorfallsreaktion Collector Manager und Engine Collector Manager verwaltet die Collectors berwacht Systemsstatusmeldungen und f hrt die Ereignisfilterung nach Bedarf durch Zu den Hauptfunktionen von Collector Manager z hlen das Umwandeln von Ereignissen das Erg nzen von Ereignissen um Gesch ftsrelevanz ber die Taxonomie das Durchf hren globaler Filtervorg nge f r Ereignisse das Routing von Ereignissen sowie das Senden von Zustandsmeldungen an Sentinel Server Bei einer Collector Engine handelt es sich um die Interpretationskomponente die den Collector Code analysiert Collector Builder Collector Builder ist eine eigenst ndige Anwendung mit der Sie Collectors erstellen und konfigurieren sowie die Fehlersuche f r Collectors durchf hren k nnen Diese Anwendung dient als integrierte Entwicklungsumgebung Integrated Development Environment IDE die dem Benutzer das Erstellen neuer Collectors zum Analysieren von Daten von Quellger ten erm glicht hierbei kommt eine Sonderinterpretationssprache zum Verarbeiten von Netzwerk und Sicherheitsereignissen zum Einsatz Allgemeine Services 1 18 S mtliche der oben beschriebenen Komponenten dieser Sammel und Erweiterungsschicht werden von einer Gruppe allgemeiner Services gesteuert Diese Dienstprogrammservices bilden die Grundlage f r Datenerfassung und Datenerweiterung und helfen beim Filtern der st renden Elemente aus den Informationen ber globale Fi
328. trol Center logged in as user5 olx File Options Windows Active Views incidens IRAC Analysis Advisor Admin Help Ome SE E Active views ineidents amp imrac wll analysis 2 Advisor E Asmin a Active Views PUBLIC High_Severity Severity EHI Real Time n E UBLIC Hig Filter PUBLIC High_Severity Attribute Severity 5 PUBLIC ExpI 15 Minute 30 Second Intervals EHT Snap Shot E EHE Historical Queries 8 EHT Investigate z Z Analysis im EHI Actions 5 5 5730AM 5 S5000AM 6 00 30 AM 6 0200AM 6 03 30 AM 6 05 00 AM 6 06 30 AM 6 08 00 AM 8 09 30 AM Time DestinationiP 206 158 21 6 190 168 12 21 Failed_login administrator 1208 152 25 22 190 168 12 24 japache chunked encoding bo 208 152 25 22 190 168 12 24 xlight pass bo 208 152 25 22 190 168 12 24 Reject 189 168 10 23 Attempted_teinet _Repested_login_feilures_ gt Work items 0 0 Work tems Filter PUBLIC Exploit_Detection Attribute Severity 15 Minute 30 Second Intervals Event Count 5 57 30 AM 5 50 00 AM 6 00 30 AM 6 02 00 AM 6 03 30 AM 6 05 00 AM 6 06 30 AM 6 08 00 AM 6 09 30 AM Time 6714106 6 10 52 AM 208 152 25 22 190 168 12 24 lapache chunked encoding bo 611408 6 10 52 AM 10 0 2005 192 168 0 4 TELNET bsd telnet exploit re 114108 6 10 52 AM 10 0 205 192 188 04 SMTP VRFY UNKNOWN 6714106 6 10 42 am 2081522522 h901681224 Br AN
329. und richtig ist und vom Collector vorschriftsm ig analysiert wurde 2 Ein konfigurierbarer Zeitpuffer der Ereignisse neu anordnet und Echtzeitanzeigen aktualisiert Die Standardzeit liegt 30 Sekunden vor und hinter der Serverzeit 3 Puffer f r korrelationsbezogene Neuanordnung wenn die Ereigniszeit ber 30 Sekunden hinter der Serverzeit liegt werden die Ereignisse von Correlation Engine nicht verarbeitet 4 Wenn die Ereigniszeit mehr als 5 Minuten hinter der Wizard Zeit der richtigen Zeit liegt werden Ereignisse direkt an die Datenbank weitergeleitet Interne Ereignisse oder Systemereignisse 1 12 Interne Ereignisse oder Systemereignisse sollen den Status oder Status nderungen des Systems melden Es werden zwei verschiedene Ereignistypen vom internen System generiert Interne Ereignisse Leistungsereignisse Interne Ereignisse haben Informationscharakter und beschreiben einen einzelnen Zustand oder eine nderung des Systemzustands Diese Ereignisse melden wenn sich ein Benutzer anmeldet ein Fehler bei der Authenifizierung eines Benutzers auftritt ein Vorgang gestartet oder eine Korrelationsregel aktiviert wird Leistungsereignisse werden regelm ig generiert und beschreiben die durchschnittlich von unterschiedlichen Teilen des Systems verwendeten Ressourcen Sentinel Benutzerhandbuch Bei allen Systemereignissen werden folgende Attribute ausgef llt ST Sensor Type Feld F r interne Ereignisse ist es auf
330. ung enth lt einen R ckruf Das Back End generiert die Zuordnung und sendet diese anschlie end mithilfe des R ckrufs an den Collector Manager Wenn der Eingang der Antwort zu lange dauert l nger als 10 Minuten sendet der Collector Manager eine zweite Anforderung und die erste Anforderung wird als verloren gegangen angesehen Wenn dies der Fall ist wird das folgende interne Ereignis generiert Tag Wert Schweregrad 2 Ereignisname TimedoutWaitingForCallback Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Map lt name gt timed out waiting for callback with new map data retrying Zeit berschreitung f r Zuordnung lt Name gt beim Warten auf R ckruf mit neuen Zuordnungsdaten neuer Versuch ErrorApplyingincrementalUpdate Dieses Ereignis wird gesendet wenn beim bernehmen einer Aktualisierung auf eine vorhandene Clientzuordnung durch den Zuordnungsservice ein Fehler auftritt Tag Wert Schweregrad 4 Ereignisname ErrorApplyingIncrementalUlpdate Ressource MappingService Teilressource ReferentialDataObjectMap Meldung The error lt error gt occurred while applying updates to map lt mapName gt ID lt mapld gt v lt version gt Rescheduling a refresh to complete map update Fehler lt Fehler gt beim bernehmen von Aktualisierungen f r Zuordnung lt Zuordnung gt ID lt ID gt Version lt Version gt Eine Aktualisierung f r die Zuordnung wird neu
331. ungsf higen und flexiblen Technologie spielt bei der Data Source Integration Strategie von Sentinel eine zentrale Rolle hierf r kommen interpretationsf hige Collectors zum Einsatz die die Ereignisse im Datenstrom analysieren und normalisieren Diese Collectors k nnen nach Bedarf ge ndert werden und sind an keine spezifische Umgebung gebunden Erstellung nderung Bereitstellung und Wartung der Collectors gestalten sich als einfach und k nnen von den Benutzern direkt vorgenommen werden Dank einer integrierten Bereitstellungsumgebung ist die interaktive Erstellung von Collectors ber die Ziehen und Ablegen Funktion einer grafischen Benutzeroberfl che m glich Benutzer ohne Programmierkenntnisse k nnen Collectors erstellen und so sicherstellen dass sowohl aktuelle als auch k nftige Anforderungen in einer sich stets ver ndernden IT Umgebung erf llt werden Die Steuervorg nge f r Collectors z B Starten Stoppen werden zentral ber Sentinel Control Center durchgef hrt 1 Application Integration Time Integration in externe Anwendungen ber standardm ige Anwendungsprogrammierschnittstellen Application Programming Interfaces API spielt in Sentinel eine zentrale Rolle So ist beispielsweise ber eine bidirektionale API f r Problemberichtssysteme einschlie lich Remedy und HP OpenView ServiceDesk die einfache Integration in externe Systeme m glich Die API basiert auf Web Services und erm glicht es folglich s mtl
332. ungsfunktion ist deaktiviert f r Zuordnungsdefinitionen die sich im Systemordner befinden Sentinel Benutzerhandbuch 4 amp Edit Map Definition Mithilfe der Bearbeitungsfunktion k nnen Sie Folgendes ausf hren Festlegen der Trennzeichen Aktivieren bzw Deaktivieren einer Festlegen der Startzeile der Zuordnung Spalte Umbenennen der Spalten Festlegen der Spaltenschl ssel Filtern von Spalten Wenn Sie die nderungen vorgenommen haben klicken Sie auf OK L schen von Zuordnungsdefinitionen So l schen Sie eine Zuordnungsdefinition 1 2 3 4 Klicken Sie auf die Registerkarte Zuordnung Erweitern Sie den gew nschten Ordner Markieren Sie die zu l schende Zuordnungsdefinition Klicken Sie auf L schen HINWEIS Zuordnungsdefinitionen unter dem Ordner Sentinel k nnen nicht gel scht werden Sentinel Data Manager 10 15 Aktualisieren von Zuordnungsdaten Beim Aktualisieren k nnen Sie die Quelldatei mit Zuordnungsdaten einer Zuordnung auf dem DAS Server durch eine andere Datei ersetzen Die neue Quelldatei mit Zuordnungsdaten muss dasselbe Trennzeichen dieselbe Anzahl von Spalten und dieselbe Gesamtstruktur wie die vorhandene Quelldatei mit Zuordnungsdaten aufweisen damit die Zuordnung nach der Aktualisierung ordnungsgem funktioniert Die neue Quelldatei mit Zuordnungsdaten darf nur in Bezug auf die Werte in den Spalten von der vorhandenen Datei abweichen Wenn die neue
333. us tzlich zur Auswahl eines Filters k nnen Sie Ihre Ereignistabelle berarbeiten Folgende Filterbedingungen stehen zur Auswahl Keine ist gt ist gr er oder gleich ist genau enth lt ist nicht enth lt nicht ist lt ist kleiner als ist leer ist lt ist kleiner oder gleich ist nicht leer ist gt ist gr er als Klicken Sie nach dem Erstellen der Kriterien auf Zu Liste hinzuf gen Klicken Sie auf Finish HINWEIS Nachdem Sie Ihre Ansicht erstellt haben k nnen Sie diese berarbeitung der Ereignistabelle ndern oder entfernen indem Sie mit der rechten Maustaste auf den Diagrammbereich klicken und Eigenschaften ausw hlen Weitere Informationen finden Sie unter So setzen Sie die Parameter den Diagrammtyp oder die Ereignistabelle einer aktiven Ansicht zur ck Ihr Diagramm wird ungef hr so aussehen PUBLIC High_Severity Severity lelx Filter PUBLIC High_Severity Attribut Severity Die besten Werte der letzten 5 Minuten 15 Minute 30 Sekunde Intervalle 19 17 30 19 22 30 ae os m Rang Severity AnzahliRate 2 o 0 3 sos 05 03 mE i 04 o4 5 g 203 toa Ereignisan 19 09 00 19 10 30 19 12 00 19 13 30 19 15 00 Uhizeit Bil Intervallwerte Beste Werte 19 16 30 19 18 00 19 19 30 19 21 00 Vulnerability P Criticality 34 557412 Reject o i a 172 17 11 138
334. usw hlen der Datei werden die Daten aus der Quelldatei mit Zuordnungsdaten auf der Registerkarte Neu angezeigt Die zu ersetzenden Zuordnungsdaten werden auf der Registerkarte Aktuell angezeigt 5 Deaktivieren Sie die Standardeinstellung f r Auf Server vorhandene Daten sichern oder behalten Sie diese bei Wenn diese Option aktiviert ist wird eine Sicherungskopie der vorhandenen Quelldatei mit Zuordnungsdaten im Ordner ESEC_HOME sentinel bin map_data Windows bzw ESEC_HOME sentinel bin map_data UNIX erstellt Das Pr fix des Namens der Sicherungskopie f r die Quelldatei mit Zuordnungsdaten ist der Name der vorhandenen Quelldatei mit Zuordnungsdaten Der restliche Teil des Dateinamens enth lt einige nach dem Zufallsprinzip ausgew hlte Zahlen gefolgt von der Dateinamenerweiterung bak Beispiel vuln_attacks10197 bak 6 Klicken Sie auf Ok 7 Die Daten aus der neuen Quelldatei mit Zuordnungsdaten werden auf den Server heraufgeladen und ersetzen den Inhalt der vorhandenen Quelldatei mit Zuordnungsdaten Wenn die Quelldaten vollst ndig heraufgeladen wurden werden die Zuordnungsdaten neu generiert und an die Zuordnungsclients verteilt z B Collector Manager Registerkarte Ereignisse HINWEIS Damit Sie die Registerkarte Ereignisse verwenden k nnen muss die Datei configuration xml auf einen Kommunikationsserver verweisen mit dem DAS_Binary und DAS_Query ebenfalls verbunden sind Die
335. verweis zwischen Ereignisdatensignaturen und Daten von Anf lligkeits Absuchprogrammen her Der Advisor Feed verf gt ber einen Warnungs und Angriffs Feed Der Warnungs Feed enth lt Informationen zu Anf lligkeiten und Bedrohungen Beim Angriffs Feed handelt es sich um die normalsierte Form von Ereignissignaturen und Anf lligkeits Plugins Informationen zur Advisor Installation finden Sie im Sentinel Installationshandbuch Sentinel Einf hrung 1 7 1 8 Folgende System werden unterst tzt Intrusion Detection Systeme Cisco Secure IDS Enterasys Dragon Host Sensor Enterasys Dragon Network Sensor Intrusion com SecureNet_Provider ISS BlackICE ISS RealSecure Desktop ISS RealSecure Network ISS RealSecure Server ISS RealSecure Guard Snort Symantec Network Security 4 0 ManHunt Symantec Intruder Alert McAfee IntruShield Anf lligkeits Absuchprogramme eEYE Retina Foundstone Foundscan ISS Database Scanner ISS Internet Scanner ISS System Scanner ISS Wireless Scanner Nessus nCircle IP360 Qualys QualysGuard Firewalls Cisco IOS Firewall Sie ben tigen mindestens ein Anf lligkeits Absuchprogramm und entweder ein Intrusion Detection System IDS oder eine Firewall von jeder der obigen Kategorien Der IDS bzw Firewall DeviceName rv31 muss demnach wie oben grau hervorgehoben angezeigt werden Zudem muss vom IDS bzw der Firewall das DeviceAttackName rt1 Feld vorsc
336. verwendet Crypto Compilation Copyright 1995 2003 Wei Dai beinhaltet folgende durch Copyright gesch tzte Werke mars cpp von Brian Gladman und Sean Woods Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www eskimo com weidai License txt Crystal Reports Developer und Crystal Reports Server Copyright 2004 Business Objects Software Limited DataDirect Technologies Corp Copyright 1991 2003 edpFTPij lizenziert unter Lesser GNU Public License Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http www enterprisedt com products edtftpj purchase html Enhydra Shark lizienziert unter der Lesser General Public License verf gbar unter http shark objectweb org license html ICEsoft ICEbrowser ICEsoft Technologies Inc Copyright 2003 2004 ILOG Inc Copyright 1999 2004 Installshield Universal Copyright 1996 2005 Macrovision Corporation und oder Macrovision Europe Ltd Java 2 Platform Standard Edition Copyright Sun Microsystems Inc Weitere Informationen Haftungsausschl sse und Beschr nkungen finden Sie unter http java sun com j2se 1 4 2 j2re 1_4_2_10 license txt Java 2 Platform kann au erdem folgende Drittanbieterprodukte enthalten a CoolServlets 1999 DES and 3xDES 2000 Jef Poskanzer Crimson 1999 2000 The Apache Software Foundation a Xalan J2 1999 2000 The Apache Software Foundation 2 NSIS 1 0j 199
337. weise um einen Angriff der von einem Intrusion Detection System IDS ermittelt wird eine erfolgreiche Anmeldung die von einem Betriebssystem gemeldet wird oder einen benutzerdefinierten Vorgang handeln wie etwa den Zugriff auf eine Datei durch einen Benutzer Interne Ereignisse werden von Sentinel generiert um nennenswerte nderungen am Zustand des Systems anzuzeigen wie beispielsweise das Anhalten von Collectors oder das Deaktivieren von Korrelationsregeln Als Korrelation wird der Vorgang des Analysierens von Sicherheitsereignissen zum Ermitteln von Mustern innerhalb eines Ereignisses bzw einer Abfolge von Ereignissen bezeichnet Es kann beispielsweise eine Korrelationsregel erstellt werden um zu ermitteln wann drei ig oder mehr ICMP Ereignisse innerhalb eines Zeitraums von einer Minute auftreten Hoher ICMP Datenverkehr Flood kann zu einem Denial of Service Angriff f hren Mittels Korrelation k nnen Muster in einer Abfolge von Ereignissen von einem einzelnen Ger t einer Reihe hnlicher Ger te oder einer willk rlichen Sammlung von Ger ten ermittelt werden Dadurch k nnen Benutzer die Risiken und den Schweregrad von Vorf llen besser absch tzen Sentinel nimmt dar ber hinaus noch weitere Informationen im Bericht auf so etwa Informationen zu den Computern im Netzwerk und ihren bekannten Services und Anf lligkeiten Diese Informationen werden in Echtzeit zur Verf gung gestellt wodurch die Aussagekraft der berwachten E
338. wie Statistiken zur Datei ob sie abgeschlossen ist die Start und Endzeit des Schreibvorgangs die minimale und maximale Dauer der Ereignisse in der Datei usw Wenn Sie im oberen Bereich eine Datei markieren wird im unteren Bereich der Zusammenfassungsstatus f r diese Ereignisdatei angezeigt Im unteren Bereich werden der Zusammenfassungsname die Start und Endzeit der Verarbeitung sowie die Anzahl der verarbeiteten Ereignisse angezeigt und ob Fehler gemeldet wurden Registerkarte Admin 9 27 ialxi Event File Status File ID File Name Max E 102317 jevents_20050307 _102317 zip 15 18 39 15 48 40 115 48 Wil Summary Status Start Time End Time EventDestSummary 06 22 07 Event5SewDestEvtSummary 06 22 07 EventSevDestPort Summary 06 22 07 EventSevDestTxnmy Summary 06 22 07 EventSevSummary 06 22 07 EventSrcSummary 06 22 07 Benutzerkonfigurationen 9 28 Zur Verwendung dieser Funktion und zum Arbeiten im Fenster Benutzerkonfiguration m ssen Sie ber die Benutzerberechtigung Benutzerkonfiguration verf gen Das Fenster Benutzerkonfiguration erm glicht Ihnen Folgendes Erstellen eines Benutzerkontos Beenden einer aktiven Sitzung ndern eines Benutzerkontos Hinzuf gen einer iTRAC Funktion Anzeigen von Benutzerkontodetails L schen einer iTRAC Funktion Klonen eines Benutzerkontos Details einer ITRAC Funktion
339. wird Damit wird dar ber informiert dass eine gro e Zuordnung in den Collector Manager geladen wurde Eine Zuordnung gilt als gro wenn die Anzahl der Zeilen 100 000 berschreitet Tag Wert Schweregrad 0 Ereignisname LoadedLargeMap Ressource MappingService Teilressource ReferentialDataObjectMap Meldung Finished loading map lt name gt with id lt ID gt and lt num gt entries and total size lt gt Kb in lt gt sec Zuordnung lt Name gt mit ID lt ID gt und lt n gt Eintr gen und einer Gesamtgr e von lt n gt Kb in lt n gt Sekunden wurde geladen Langes Laden von Zuordnung Dieses interne Ereignis ist ein Informationsereignis das vom Zuordnungsservice gesendet wird Damit wird dar ber informiert dass das Laden einer Zuordnung au ergew hnlich lange l nger als 1 Minute gedauert hat Tag Wert Schweregrad 0 Ereignisname LongTimeToLoadMap Ressource MappingService Teilressource ReferentialDataObjectMap Meldung It took lt gt sec to load map lt name gt with id lt ID gt and lt num gt entries and total size lt gt Kb Das Laden von Zuordnung lt Name gt mit ID lt ID gt und lt n gt Eintr gen und einer Gesamtgr e von lt n gt Kb dauerte lt n gt Sekunden A 10 Sentinel Benutzerhandbuch TimedoutWaitingForCallback Wenn der Collector Manager eine Zuordnung aktualisieren muss sendet er eine Anforderung an das Back End Diese Anforder
340. wird die Skalierbarkeit unterst tzt sie ist zudem aufgrund der Erweiterungsf higkeit vorteilhaft Sie erm glicht die intelligente Daten bertragung zwischen unterschiedlichen Knoten des verteilten Systems Map Service ist eine Funktion f r die Datenpropagierung mit deren Hilfe Querverweise zwischen Daten des Anf lligkeits Absuchprogramms und Signaturen des Intrustion Detection Systems und vielem mehr z B bestandsbezogene Daten gesch ftsrelevante Daten hergestellt werden k nnen Auf diese Weise ist die sofortige Benachrichtigung m glich wenn ein anf lliges System durch einen Angriff ausgenutzt zu werden droht Diese Funktion wird von drei separaten Komponenten bereitgestellt Erfassen von Echtzeitereignissen von einer Intrusion Detection Quelle Vergleichen dieser Signaturen mit den letzten Anf lligkeits Absuchvorg ngen und Erstellen von Querverweisen auf einen Angriffs Feed ber Sentinel Advisor ein optionales Produktmodul das Querverweise zwischen Echtzeit IDS Angriffssignaturen und den Daten des Anf lligkeits Absuchprogramms des Benutzers erstellt Sentinel Benutzerhandbuch Map Service propagiert Informationen dynamisch im System ohne sich negativ auf die Systemauslastung auszuwirken Wenn wichtige Datengruppen Zuordnungen wie Bestandsinformationen oder Informationen zu Patch Aktualisierungen im System aktualisiert werden propagiert Map Service die Aktualisierungen im gesamten System in vielen F llen k
341. wird ungeachtet des Ausf hrungszustands der Engine gesendet Tag Wert Schweregrad 1 Ereignisname DeploymentStarted Ressource CorrelationEngine Meldung Teilressource Deployment deployment lt name gt started Bereitstellung lt Name gt wurde gestartet Regelbereitstellung wurde beendet Dieses Ereignis wird gesendet wenn eine Engine erfolgreich eine Regelbereitstellung entl dt Diese Meldung wird ungeachtet des Ausf hrungszustands der Engine gesendet A 14 Sentinel Benutzerhandbuch Tag Wert Schweregrad 1 Ereignisname DeploymentStopped Ressource CorrelationEngine Teilressource Deployment Meldung deployment lt name gt stopped Bereitstellung lt Name gt wurde beendet Regelbereitstellung wurde ge ndert Dieses Ereignis wird gesendet wenn eine Engine erfolgreich eine Regelbereitstellung neu l dt Diese Meldung wird ungeachtet des Ausf hrungszustands der Engine gesendet Tag Wert Schweregrad 1 Ereignisname DeploymentModified Ressource CorrelationEngine Teilressource Deployment Meldung Deployment lt name gt modified Bereitstellung lt Name gt wurde ge ndert WatchDog Gesteuerter Prozess wurde gestartet Watchdog wird als Service ausgef hrt Seine Hauptaufgabe besteht darin die Ausf hrung der Sentinel Prozesse zu gew hrleisten Beim Anhalten eines Prozesses wird dieser von Watchdog automatisch neu gestartet Dieses
342. wischen 09 25 2003 00 00 00 25 September Mitternacht und 09 26 2003 00 00 00 26 September Mitternacht aufgelistet die zuvor archiviert wurden und wieder importiert werden k nnen Beispiel f r Oracle sdm action filesToImport startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFil sdm connect Beispiel f r SQL Server sdm action filesToImport startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFil sdm connect Im folgenden Beispiel werden alle Dateien mit Daten aus dem Zeitraum zwischen 09 25 2003 16 00 00 25 September 16 00 Uhr und 09 26 2003 18 00 00 26 September 18 00 Uhr aufgelistet die zuvor archiviert wurden und wieder archiviert werden k nnen Beispiel f r Oracle sdm action filesToImport startDate 09 25 2003 16 00 00 endDate 09 26 2003 18 00 00 connectFile sdm connect Beispiel f r SQL Server sdm action filesToImport startDate 09 25 2003 16 00 00 endDate 09 26 2003 18 00 00 connectrFil sdm connect Sentinel Benutzerhandbuch Importieren von Daten Mit dieser Aktion importData werden Daten aus dem angegebenen Zeitraum in die folgenden unterst tzten Tabellen importiert Oracle HIST_EVENTS HIST_CORRELATED_EVENTS SOL Server a HIST_EVENTS a HIST_CORRELATED_EVENTS Wenn die Daten bereits importiert wurden oder f r den angegebenen Zeitraum keine archivierten Daten gefunden
343. wurden wird eine entsprechende Meldung zur ckgegeben Die Anwendung importiert die einzelnen Dateien in eine Tabelle und erstellt die Verlaufsansicht f r alle historischen Tabellen In der Berichtsansicht sind die urspr ngliche Tabelle und die Verlaufsansicht zusammengefasst Alle Berichte st tzen sich auf die Berichtsansicht und daher werden alle importierten Daten angezeigt F r diesen Befehl werden folgende Flags verwendet action importData startDate lt MM TT JJJJ hh24 min ss gt endDate lt MM TT JJJJ hh24 min ss gt dirPath lt Verzeichnis aus dem die Dateien importiert werden sollen gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt HINWEIS hh24 sind die im 24 Stunden Format dargestellten Stunden 1 15 00 p m steht beispielsweise f r 13 15 00 und 3 00 00 a m stellt 03 00 00 dar Ausf hren von importData 1 Platzieren Sie alle Dateien die importiert werden sollen in einem bestimmten Verzeichnis d h dirPath lt Verzeichnis aus dem die Dateien importiert werden sollen gt 2 F hren Sie diesen Befehl wie folgt aus sdm action importData dirPath lt Verzeichnis aus dem die Dateien importiert werden sollen gt startDate lt MM TT JJJJ hh24 min ss gt endDate lt MM TT JJJJ hh24 min ss gt connectFile lt Pfad zu dem durch saveConnection gespeicherten Dateinamen gt Im folgenden Beispiel werden die archivierten Dateien
344. y Scenario Impact Loss of Integrity Safeguards xi Analyse Anzeigen von Bestandsdaten Diese Funktion erm glicht Ihnen das Anzeigen und Speichern Ihrer Ansicht als HTML Datei Ihres Bestandsberichts Zum Anzeigen dieser Daten m ssen Sie Ihren Bestandsverwaltungs Collector ausf hren Die folgenden Daten k nnen angezeigt werden Hardware MAC Adresse Wert Name Gef hrlichkeit Typ Vertraulichkeit Hersteller Umgebung Produkt Standort Version Netzwerk IP Adresse Hostname Software Name Produkt Typ Version Hersteller Kontaktinformationen Reihenfolge Email Name Telefonnummer Funktion Standort Raum Adresse Regal Registerkarte Active ViewsTM 3 17 So zeigen Sie Bestandsdaten an 1 Klicken Sie in einer Echtzeitereignistabelle im visuellen Navigator oder in einem Snapshot Fenster mit der rechten Maustaste auf ein oder mehrere Ereignisse und klicken Sie dann auf Analyse gt Inventardaten Ein hnliches Fenster wie unten zu sehen ist wird eingeblendet Asset Report Hardware MAC Address amp 0 12 56 78 90 00 Name Build Machine Yalue 500 Type server Criticality High Vendor Dell Sensitivity Low Product Precision Environment Production Version 360 Location Internal Network M SEEN 199 16 2 23 desk acmeinc net Software Name Type Vendor Product Version ClearCase APPLICATION IBM ClearCase 5 0 C APPLICATION Microsoft Visual C 6 0 Comacis Order Name Re
345. ytob GH Orlando 0 6 172 16 2 107 Ww32Netsky P Orlando lo 6 172 16 2 107 WEB MISC Apache Chunked Orlando 0 6 172 16 2 107 Wa2Mytob C Orlando o 6 17216 2107 Wwa2 Zati D Orlando o 6 172 16 2 107 Wa2Mytob BE Orlando o 6 17216 2107 W32Mytob AS Orlando 0 6 F Umbenennen einer Ereignisspalte 1 Klicken Sie auf die Registerkarte Ereignisse HINWEIS Der urspr ngliche Ereignisspaltenname wird ber dem Feld Label angezeigt Dar ber hinaus wird die Beschreibung der Ereignisspalte angegeben Sentinel Benutzerhandbuch 2 Markieren Sie einen Ereignisspalteneintrag 3 Geben Sie im Feld Label einen neuen Wert f r die Ereignisspalte ein Datei Anzeigen Datenbank Sentinel Database Manager iol x Into Partitionen Tabellenbereiche Zuordnung Ereignisse Bericht f r Daten Ereignisspalten Kennung Kennung ct Label City Beschreibung Reserved for use by customers for austomer speoific data String awentaknaEr mn iida Prada ilha 4 Klicken Sie auf Apply Anwenden HINWEIS Wenn Sie auf Anwenden klicken werden die an der zurzeit ausgew hlten Ereigniskennung vorgenommenen nderungen in einem tempor ren Puffer gespeichert Wenn Sie nicht auf Anwenden klicken und eine andere Ereigniskennung ausw hlen gehen die nderungen an der zuvor ausgew hlten Ereigniskennung verloren Die nderungen werden erst dann auf dem Server gespeichert wenn Sie auf Spe
346. z importieren 2 ee 9 9 l schen EEEE E E E T 9 9 Korreliertes Ereignis eeen 3 13 Lizenzschl ssel Aktualisieren uuuusssnneeeeeeeeeesnnnnennnnn 11 11 Logische Bedingung gleich eier 9 7 gleich META TaQ uuserrennneenennnnenennnnn nn 9 7 gleich regex 42 s453 454 52 222248302242 tsien 9 7 gleich Teilnetz uussrrennneneennnen nennen 9 7 gr er alsia ie aa ra 9 7 gr er als META TaQ uneersnenensennee nennen 9 7 gr er oder gleich l enn 9 7 gr er oder gleich META Tag 9 7 kleiner ls 444 2 9 7 kleiner als META TaQ 2usrs een een 9 7 kleiner oder gleich neee 9 7 kleiner oder gleich META TaQ 9 7 NICcht gleich ma 9 7 nicht gleich META TaQ eee 9 7 L schen Benutzerkonten seeen globaler Filter ussrs44nnee nennen nnne nennen Korrelationsregel s es Korrelationsregelsatz Men option f r die Men konfiguration 9 24 ffentlicher Filter 9 20 privater Filter uu eeznuensennennennneenennnen nenne 9 20 Vorfall een 4 9 L schen von importierten Daten 10 40 L schen von Partitionen GUI10 5 10 6 Men konfigurations Men option verwenden rer 3 23 Men option f r die Men konfiguration klivieren unsinnig 9 24 ee a0 LETNA A PAE AE TE 9 23 deaktivieren uesnsnnenseneeeeeesnnnnnnnnneneeeeen 9 24 hinzu eMis s 9 21 Hinzuf gen der Br
347. zungen Abgemeldeter Benutzer Beim Abmelden eines Benutzers wird das folgende interne Ereignis generiert Tag Wert Schweregrad 1 Ereignisname UserLoggedOut Ressource UserSessionManager Teilressource User Meldung Closing session for lt user gt OS name lt osName gt from lt IP gt was on since lt date gt currently lt num gt active users Sitzung f r lt Benutzer gt Betriebssystemname lt OSName gt von lt P gt seit lt Datum gt wird geschlossen zurzeit sind lt n gt aktive Benutzer vorhanden A 2 Sentinel Benutzerhandbuch Angemeldeter Benutzer Beim Anmelden eines Benutzers wird das folgende interne Ereignis generiert Tag Wert Schweregrad 1 Ereignisname UserLoggedIn Ressource UserSessionManager Teilressource User Meldung User lt user gt with OS name lt osName gt at lt IP gt logged in currently lt num gt active users Benutzer lt Benutzer gt mit Betriebssystemname lt OSName gt an lt I P gt hat sich angemeldet zurzeit sind lt n gt aktive Benutzer vorhanden Erkannter Benutzer Wenn der Server neu gestartet wird gehen die Sitzungsinformationen verloren In einem solchen Fall wird die Sitzung wiederhergestellt wenn Nachrichten von den aktiven Benutzern empfangen werden Beim Erkennen eines verbundenen Benutzers wird das folgende interne Ereignis generiert Tag Wert Schweregrad 1 Ereignisname UserLoggedIn Ressou
Download Pdf Manuals
Related Search