Novell® Sentinel
Contents
1. Iniciando o Gerenciador de Coletor Renomeando um arquivo de pesquisa Parando o Gerenciador de Coletor Apagando um arquivo de pesquisa Administra o do Gerenciador de Apagando uma segii ncia de Coletor inicializa o Renomear um host Apagar um host Reiniciar um host Exportar um host Iniciando e parando portas do Assistente Editando uma porta do Assistente Apagando uma porta do Assistente Fazendo upload e download de um Exibir propriedades de hosts coletor Editar um arquivo de gabarito Depurando portas do Assistente Apagando um arquivo de gabarito Guia do Usu rio do Sentinel Wizard Iniciando e parando o Gerenciador de Coletor NOTA Na primeira vez em que o Construtor de Coletor do Assistente for executado a seguinte mensagem poder ser exibida O diret rio Coletores n o existe Ele ser criado automaticamente para voc Algumas informa es podem ter sido perdidas Selecione OK o diret rio ser criado e o Construtor de Coletor do Assistente ser iniciado Se essa mensagem for exibida outras vezes al m da primeira execu o do Construtor de Coletor talvez o diret rio Coletor tenha sido apagado inadvertidamente ser necess rio verificar se as informa es foram perdidas Iniciando ou parando o servi o Gerenciador de Coletor para Windows Iniciando ou parando os servi os Gerenciador de Coletor para Windows 1 Clique em Inici2. io 2 10 Editando uma porta do Assistente rear ae arena na are aa aran na naaraea aa are acena 2 11 Apagando uma porta do Assistente e aa aaararaaaa nana aaanariana nana aaanaanaaada 2 11 Depurando uma porta do Assistente err uutE EAEE EEEn AEEA anna EENE EAEE nanan Eaa 2 11 Fazendo upload e download de coletores e hosts errei eareraaran 2 13 Fazendo upgrade de coletores ice aeaaacaaaea nana aaararanaanaaaananas ennenen Eee 2 17 3 Construindo e mantendo coletores 3 1 Fundamentos b sicos da constru o de coletores reatar aearaea arena ncarenaaanas 3 2 Etapas b sicas da implementa o de coletores errar aaareeeaa arena aaarananas 3 2 Constr indo um Coletor piian asa Sao a bd doa oaie a a eea l a ania ndo sao sda ca uudos 3 3 Criando e configurando arquivos de gabarito ie rereea arena aeareeeanaararaaarenaa 3 3 Criando e configurando arquivos de par metro erre eara aerea nearanaaaaa 3 7 Criando e configurando arquivos de pesquisa ereta earaeanarennanearraeaanaa 3 8 ndice 41 e oE iria dvreraghad sale pdesasspravan Tp dE idb lia bes ii E enanb ais Dresdbana E E 3 9 Criando uma porta do Assistente tirana e A a a a EL ana as 3 11 Processos persistentes e transit rios erre aearaeaaaaaaaa near eae na arena near denei iaediie 3 15 Configurando o valor de Rx Tx para a conex o persistente e tempor ria Tipo
3. trata se de coletores a dotados de prova de conceito o desenvolvidos para um cliente espec fico n que podem n o ter metadados nem documenta o suportada a com Suporte T cnico limitado Os coletores permitem o acesso a dados de eventos de qualquer origem inclusive Sistemas de detec o de intrus o host Antiv rus Sistemas de detec o de intrus o rede Servidores da web Firewalls Banco de dados Sistemas operacionais Mainframe Monitoramento de pol ticas Avalia o de vulnerabilidade Autentica o Servi os de diret rio Roteadores e Switches Gerenciador de Redes VPN Sistemas propriet rios Os coletores s o constitu dos de Arquivos de gabarito Arquivos de par metro Arquivos de pesquisa Arquivos de mapeamento Arquivo de descri o de par metros e arquivos de manifesto O arquivo de gabarito e o arquivo de par metro associado a ele s o fundidos em diferentes arquivos de script quando o Script do Coletor criado Cada arquivo de script nomeado de acordo com o nome da coluna do conjunto de valores do arquivo de par metro Os arquivos de script s o agrupados em segii ncia ordenada em sequ ncias de inicializa o e de backout As sequ ncias de inicializa o e backout s o atribu das a uma porta que executa a s rie de scripts que ela cont m quando iniciada ou interrompida Um script deve ser inclu do em uma seq ncia de
4. leitura de recebimento do analisador A entrada padr o stdin do processo persistente transit rio conectada ao estado de grava o de transmiss o do analisador Configurando o valor de Rx Tx para a conex o persistente e tempor ria Tipo Rx Tx Existem tr s processos de conector dispon veis durante a configura o de conex es persistentes e transit rias S o elas DBConnector conector do processo JDBC Cliente Lea RDEP Remote Data Exchange Protocol Protocolo de Interc mbio de Dados Remotos N o use aspas na caixa Valor de Rx Tx para processos persistentes e transit rios Se o processo for um caminho absoluto para um nome execut vel longo com espa os digite o sem aspas Por exemplo amp WORKBENCH HOME e securitylelementsicheckpointilea clien t checkpointilea client conf new N o use espa os em argumentos para o execut vel na caixa Valor de Rx Tx Como esses argumentos s o delimitados por espa os se contiverem espa os o software admitir a exist ncia de dois argumentos onde s h um Se os argumentos estiverem passando no local do arquivo de configura o como para Ponto de Verifica o use um caminho relativo de Y WORKBENCH HOMEY Por exemplo checkpoint lea client checkpoint llea client conf new DBConnector 3 16 O DBComnector um conector de processos JDBC executa um cliente que se conecta a um servidor de banco de dados executa uma consulta SQL no banco de dados e
5. Esse um procedimento opcional Criando e configurando arquivos de pesquisa l 2 Clique na guia Coletores para abrir o painel de rvore Coletores Clique o bot o direito do mouse em um coletor e clique em Novo Arquivo de Pesquisa Na caixa Novo Arquivo de Pesquisa digite o nome de um novo arquivo de pesquisa e pressione Enter Na coluna Correspond ncia clique duas vezes em Novo digite a string correspondente e pressione Enter E possivel adicionar inserir e apagar cl usulas decorrespond ncia Adicionar na coluna Correspond ncia clique o bot o direito do mouse em uma cl usula de correspond ncia e clique em Adicionar Cl usula de Correspond ncia Guia do Usu rio do Sentinel Wizard Inserir na coluna Correspond ncia clique o bot o direito do mouse em uma cl usula de correspond ncia e clique em Znserir Cl usula de Correspond ncia Apagar na coluna Correspond ncia clique o bot o direito do mouse em uma cl usula de correspond ncia e clique em Apagar Cl usula de Correspond ncia COMMENTS Cremos h Add Match Clause Insert Match Clause Delete Match Clause 5 Opcional Para digitar comandos de an lise clique o bot o direito do mouse na coluna An lise para abrir o Editor Visual Para obter informa es sobre o uso do Editor Visual consulte Digitando comandos de an lise usando o Editor Visual 6 Selecione os comandos de an lise e complete os na janela Edito
6. ID s de mecanismo Identificador exclusivo de um coletor de SNMP v3 H um bot o Consulta de ID de Mecanismo que procura o endere o IP a ser consultado Uma consulta bem sucedida retorna as informa es e adiciona o ID do mecanismo Se houver um ID de mecanismo na caixa um novo ser anexado OID s de detec o ID de objeto da detec o que especifica o tipo de detec o recebido NOTA Se forem especificados v rios nomes de seguran a e IDs de mecanismo o mesmo esquema de autentica o e criptografia ser usado para todos NOTA Se forem necess rias diferentes chaves de autentica o e criptografia para diferentes coletores de SNMP portas separadas dever o ser configuradas para cada uma Vari veis de detec o de SNMP Algumas vari veis de detec o s o v lidas para todas as detec es SNMP v1 e v3 e algumas s o v lidas somente para uma vers o As tabelas a seguir listam todas as vari veis de detec o de SNMP agrupadas pela vers o de SNMP com que trabalham Vari veis de detec o para SNMP vl e v3 Vari veis de detec o para SNMP v1 Vari veis de detec o para SNMP v3 Vari veis de detec o para SNMP v1 e v3 Vari vel s Trap IP s Trap Time i Trap Version i Trap Vars s Trap OIDI s Trap Value Descri o Endere o IP do coletor sensor que enviou a detec o Valor de uptime relatado pelo coletor sensor que enviou a detec o Normalmente trata s
7. Os par metros equivalem a vari veis Os arquivos de par metro arquivos par s o tabelas usadas para definir nomes de vari veis nos arquivos de script de execu o associados Eles s o usados quando mencionados no c digo de an lise e s o armazenados como strings Qualquer valor num rico precisa ser convertido em uma string para manipula o Quando novos valores de par metros s o inseridos entram em vigor depois que o script constru do Eles s o fundidos com o arquivo de gabarito durante a cria o de um script Os nomes de arquivos de script em execu o s o exibidos na primeira linha da tabela e os nomes ou etiquetas de par metros s o exibidos na primeira coluna da tabela A segunda linha da tabela usada para definir os cones exibidos na rvore do Coletor As linhas restantes definem os valores de vari veis ou par metros a serem usados para par metros medida que se relacionam ao script espec fico Os valores dentro de um arquivo de par metro s o Tags META informa es e coment rios existem mais de 200 tags META dispon veis 100 s o configur veis pelo usu rio e as outras s o reservadas Regra os nomes de arquivos definidos s o exibidos na linha do cabe alho da tabela enquanto os pr prios par metros s o exibidos na primeira coluna da tabela Bitmap a segunda linha da tabela define o bitmap usado para aquele arquivo O bitmap ser exibido na lista de Coletores Arquivos
8. l 2 3 Inicie o Construtor de Coletor Clique na guia Coletores para abrir o painel da rvore Coletores Na rvore Coletores clique o bot o direito do mouse em Coletores e depois clique em Novo Coletor Digite o nome do novo coletor no espa o fornecido e pressione Enter Clique o bot o direito do mouse no novo coletor e clique em Novo Gabarito Construindo e mantendo coletores 3 3 ECO mi File Edit View Options Preferences Help E OjO Curent Host Tech Doc Desk 17216 2 174 Rss Rx Tx Type Rx Tx Value Agent Start Stop Status ific Rir None Demo gent PR Start Off z E Agents B blah H Demo gent NA a Demo gent PR B E SendMultipleE vents H E SendOneE vent aC ARMS 410 B T1_CISC_PIxx_06xx_LOGF_Bv410 A G T1 GNUx SNRT 0200 LOGF Bv410 B E T1 155x RLSC 06xx ODBC Wy410 B T1 ISSx SITE 02 x ODBC Wv410 B C TI MSFT WNZK 2000 LOGE Ww410 B E T1 NSSS SCAN 204 LOGF Bv420 B E TI SUNS SLAS 09 LOGF Bv410 B Template LOGF Bv410 H Template ODBC Bv410 G Template SNMP Bv410 Pea ng Agents E Wizard Hosts 1 gt 6 Na caixa Novo Gabarito na rvore Coletores digite o nome de um novo gabarito e pressione Enter Selecione o novo gabarito e clique na guia Editor de Gabaritos 8 No painel Editor de Gabaritos arraste e solte estados na rea de edi o usando os bot es de estado esquerda do painel Para obter informa es sob
9. lt arquivo de registro gt Grave o arquivo o caminho e o nome do arquivo s o arbitr rios mas ele deve estar em uma localiza o em que n o seja eliminado e seu nome deve refletir sua fun o Por exemplo usr local bin logfileserver 2 Escolha uma porta TCP sem privil gios no host UNIX e use a para o processo do servidor O n mero da porta sem privil gios um n mero arbitr rio entre 1025 e 65 535 Para verificar se esse n mero j est em uso adote o seguinte comando substituindo lt n mero da porta gt pela porta desejada netstat an grep LISTEN grep lt n mero da porta gt Se uma linha como a seguir for apresentada como sa da a porta estar em uso e portanto voc ter de escolher outra 5555 0000 LISTEN 3 Como usu rio root edite o arquivo etc services e adicione uma entrada no final do arquivo para seu novo servi o de soquete O exemplo a seguir adiciona uma linha para um servi o chamado syslog monitor configurado para escutar na porta TCP 5555 syslog monitor5555 tcp Configurando um servidor de soquete em um host UNIX B 1 4 Edite o arquivo etc inetd conf e adicione uma entrada no final do arquivo para seu novo servi o de soquete O exemplo a seguir adiciona uma linha referente a um servi o chamado syslog monitor configurado para executar o script usr local bin in syslog monitor A linha a seguir deve ser inserida como campos separados por tabula es em uma ni
10. o status da porta definido como Depurar no painel Informa es de Porta Para depurar um script consulte Depurando uma Porta do Assistente no Cap tulo 2 Atribuindo uma seqii ncia de inicializa o a um script Caso deseje que uma porta seja executada na inicializa o voc pode atribuir uma segii ncia de inicializa o para que execute um conjunto espec fico de scripts na inicializa o Uma seqii ncia de inicializa o um arquivo que cont m os nomes dos scripts a serem executados na inicializa o Atribuindo uma sequ ncia de inicializa o a um script 1 Clique o bot o direito do mouse no nome de um script na rvore Coletores e selecione Nova Sequ ncia de Inicializa o A caixa de di logo Nova Seq ncia de Inicializa o exibida 2 Na caixa de di logo Nova Sequ ncia de Inicializa o digite o nome da sequ ncia e clique em OK O nome da nova sequ ncia de inicializa o adicionado ao menu na parte superior do painel Scripts de Inicializa o As restri es a seguir se aplicam aos nomes de sequ ncias N o use inicializa o nem backout como nomes de sequ ncias N o use nomes de segii ncias duplicados no mesmo coletor 3 Arraste os nomes dos arquivos de script da rvore Coletores para a coluna Scripts de Inicializa o Os scripts s o executados na ordem em que s o exibidos na coluna de cima para baixo 4 Para reorganizar a ordem dos scripts arraste os da coluna ou
11. rgulas com os hosts desejados O padr o s o todos os hosts Nome de um arquivo de registro ao qual se anexar Conector syslog A 11 id lt IdExclusiva gt Especifica a identidade do conector OBRIGAT RIO help Apresenta esta mensagem de ajuda version Apresenta a vers o do conector 0 91 poc Tabela de recursos aceitos Os nomes de recursos n o diferenciam mai sculas de min sculas quando especificados na linha de comando do cliente do conector syslog KERNEL UUCP LOCALO USER CRON LOCAL1 MAIL SECURITY LOCAL2 DAEMON FTP DAEMON LOCAL3 AUTH NTP LOCAL4 SYSLOG LOG AUDIT LOCAL5 LPR LOG ALERT LOCAL6 NEWS CLOCK DAEMON LOCAL7 Tabela de n veis aceitos Os nomes de n veis n o diferenciam mai sculas de min sculas quando especificados na linha de comando do cliente do conector syslog EMERGENCY WARNING ALERT NOTICE CRITICAL INFORMATIONAL ERROR DEBUG Notas de distribui o Mensagens retransmitidas ao proxy syslog A maioria dos servidores syslog consegue direcionar as mensagens do syslog recebidas para um servidor syslog alternativo bem como processar essas mensagens Em um cen rio de distribui o pode ser atraente alterar um host de registro existente para permitir a retransmiss o de mensagens ao proxy syslog Alguns servidores syslog t m comportamentos inconvenientes que podem prejudicar essa op o de distribui o Observou se que as bibliotecas do servidor syslog do Solaris 7 9 e do Linux
12. teis AVISO Os avisos apresentam informa es adicionais que podem impedir danos ou perda de dados do sistema Comandos Os comandos aparecem na fonte Courier Por exemplo useradd g dba d export home oracle m s bin csh oracle Assistente O Assistente permite construir configurar e controlar Coletores Os Coletores s o usados para coletar e normalizar eventos de dispositivos e programas de seguran a Em seguida esses eventos normalizados s o enviados ao Sentinel para uso na correla o de an lise em tempo real nos relat rios e na resposta a incidentes Introdu o ao Assistente 1 1 NOTA Embora n o seja um requisito recomenda se que em uma configura o m ltipla de Construtor de Coletor do Assistente um Construtor de Coletor seja designado como o Construtor Principal Essa m quina passa a ser usada para armazenar desenvolver ou modificar coletores e configurar portas Os componentes a seguir comp em o Assistente O Construtor de Coletor a interface do usu rio do Assistente que permite construir configurar distribuir e controlar coletores Al m de executar coletores em n vel local o Construtor de Coletor pode ser usado para upload download e controle de coletores em sistemas remotos O Gerenciador de Coletor o back end do Assistente que gerencia os coletores e as mensagens de status do sistema e executa a filtragem global de eventos Coletor o receptor que coleta e normaliza
13. 2 6 RX eeno a EE DD SED DOOR DEDO UR SUE DORSO 1 5 script apagando usasse psstusizapantossatigates ante tidoto 2 10 atribuindo uma sequ ncia de inicializa o en 3 11 cConstruINdO essa gesso sta ea 3 9 Senha do Gerenciador de Coletor mudando UNIX 2 6 mudando Windows 2 5 sequ ncia de inicializa o apagando susss essas saias essas in 2 10 atribuindo a um script 3 11 Servi os Gerenciador de Coletor iniciando linha de comando para Windows 2 3 iniciando para Windows 2 3 instalando Windows 2 4 parando linha de comando para Windows 2 3 parando para Windows 2 3 removendo Windows 2 4 servidor de soquete B 1 tipo de conex o detec o de SNMP 3 14 inexistente sszassessenssitaresasinseisbeniilensna es 3 14 NOVO arquivo iii 3 12 processo persistente a 3 13 processo transit rio ii 3 13 Setala di a A lo Forss dois easaltas 3 12 soquete sa 3 12 todos os arquivos 3 12 TRANSLATE TX aa sa bos da a a UA a R S 1 4 Valor de Rx Tx processo persistente 3 16 processo transit rio is 3 16 ndice i
14. Clique no bot o novamente ou pressione F6 para continuar a execu o do script Pressione F7 para passar pelos comandos ou clique no bot o Continuar Execu o do Comando gt Pressione F5 para pausar ou clique no bot o Pausar Execu o de Comandos T A pausa permanece at que voc pressione F7 ou o bot o Continuar Execu o do Comando O Depurador p ra em todos os pontos de interrup o mas sua execu o continua O status da porta ligado Nenhum evento enviado durante as pausas no modo de depura o Quando o analisador encerrado os bot es ficam esmaecidos e a lista de sele o exibe Nenhuma porta est sendo depurada Como o Depurador n o anular uma pausa se voc estiver depurando um analisador que atingiu um comando de pausa o bot o Parar ou o bot o Etapa aguardar o at que a pausa seja concluida para fazer efeito Fazendo upload e download de coletores e hosts Existem tr s guias na janela Upload Download Hosts faz o upload de cada configura o de porta e da cole o de coletores para cada um dos hosts especificados Cada host mant m sua pr pria configura o de porta e cole o de coletores Coletores para o upload de coletores espec ficos Preencher Rede faz o upload da configura o de porta agentes de um host especificado para todos os hosts selecionados Todos os hosts selecionados ficam com a mesma configura o de porta e cole o
15. HOME wizard syslog 3 syslog server sh remove Uso Servidor proxy syslog O Wizard n o iniciar automaticamente o servidor proxy syslog Se voc quiser que o proxy syslog seja iniciado automaticamente ele dever ser instalado como um servi o Siga as instru es contidas na se o Instala o para instalar o proxy syslog como um servi o A configura o do proxy syslog armazenada no arquivo Para UNIX SESEC HOME wizard syslog config syslog conf Para Windows SESEC HOMESlwizardisyslogiconfigisyslog conf O proxy syslog configurado para usar a seguinte configura o por padr o Escuta na porta UDP 514 para mensagens do syslog Escuta na porta TCP 1468 para mensagens do syslog Escuta na porta TCP 9091 para conex es do conector E poss vel configurar o proxy syslog para escutar em outras portas de modo a receber mensagens do syslog ou aceitar conex es de clientes Esses switches s o respectivamente udp lt porta gt Porta a ser escutada em busca de mensagens UDP de dispositivos 514 o padr o tcp lt porta gt Porta a ser escutada em busca de conex es TCP de dispositivos 1468 o padr o connector lt porta gt Porta a ser escutada em busca de conex es TCP de conectores 9091 o padr o A 4 Guia do Usu rio do Sentinel Wizard Para editar essas configura es modifique a seguinte se o do arquivo syslog conf wrapper app parameter 3 tcp wrapper app parameter 4 1468 wrapper app param
16. Rx Tx 3 16 Configura o de Detec o de SNMP rea ara arara aa arena arena aa arara reie aia 3 17 Endere o s IP de coletores a reae e aaar aer aeaa ao r Ea Le aAa Te Eea EEEa pan isto ba aee eiaeia dna dnho 3 20 Vers o de SNMP sa aa ess isa grass air a A E E A E E E E E E 3 21 Porta de detec o de UDP riroriro los enipe a Da re casa E edep aa aa E fas aida E 3 21 Config ra es de SNMP VI a seszsesmsagastantosiaca a o essent hinangad atabariki reaa atian a apteek aainuii i 3 21 Configura es de SNMP Vy2N3 siiras e aa aria a a a aea a a i e senda sacro 3 21 Vari veis de detec o de SNMP ssessissssiissrisresiinsttttntkkt untk knut tt Annt AAE AE EA AEEEEAAEEEEAAE EEEE NEEE n EEn araras 3 22 Vari veis de detec o para SNMP V1 VB rara aa aeee naaraeaa near naareaaaa 3 22 Vari veis de detec o para SNMP V1 er eeraea ceara anne era aaaareena near aa araras 3 23 Vari veis de detec o para SNMP V3 e cerreeareeaaaare anne anna aaa nantun near anarenaa 3 23 A Conector Syslog v1 0 2 A 1 PANO TES dO E PE E ER EAR NR EE RR DR A 1 Fazendo e removendo instal eS jee ieie geie a arae a a aea a aE a aain A 2 Requisitos do sistema seente testtttt trte ttet tt tnts tert tE EEEE ESSE EEEE EEESEE OEE EEESEESEEEEEEE EOS EE EEEE EEEE EnEn nennt A 2 Instala o oein ae e AEE E A E E AE EO JUS AEE REE E AEE E A A 3 D sinstalag Oeris nanie a aE OE E N AEE Jus
17. ao s mensagens que o proxy syslog associa ao ID s o lidas pelo conector syslog e direcionadas sua sa da padr o 2 No momento a estrutura e o conte do da mensagem s o passados ao Coletor na forma original Futuramente o conector syslog poder formatar a mensagem para atender aos requisitos de an lise do Coletor O protocolo syslog tem sido tradicionalmente definido como um protocolo baseado em UDP Na aus ncia de uma quantidade diversificada de aplicativos dispositivos capazes de enviar mensagens atrav s de TCP ou de um padr o reconhecido para o syslog atrav s de TCP foi adotada a abordagem do Cisco PIX para a termina o de mensagens do syslog retorno de carro alimenta o de linha A termina o de mensagens necess ria para o syslog atrav s de TCP j que n o h um padr o definido nem um limite natural entre as mensagens O syslog atrav s de UDP tem uma termina o natural de mensagens j que o pacote UDP transporta uma nica mensagem e o UDP n o necessita de conex o Fazendo e removendo instala es O conector syslog foi criado para funcionar em qualquer plataforma do Wizard Devido a esse requisito de portabilidade os dois componentes foram desenvolvidos em Java Os requisitos necess rios de software e hardware est o relacionados a seguir Requisitos do sistema Software Java 1 4 1 ou posterior Wizard 4 2 ou posterior Windows 2000 XP 2003 Solaris 8 9 RedHat Enterprise Linux v3 ES
18. com v rios conectores clientes e com buffers se houver reconex o dos conectores Esse valor poder ser mudado para um n mero superior se houver mem ria e volumes de dados dispon veis bem como a conex o do n mero de conectores clientes O valor n o deve exceder 1 2 Gigabytes por servidor proxy syslog isto Xmx1200m Djava util Esta propriedade especifica o nome do caminho arquivo logging config de configura o do registro de depura o Portanto ele precisa file apontar para a localiza o do arquivo Se nenhum caminho for especificado ele procurar no diret rio atual em que a JVM foi executada Exemplo Yworkbench homeYlsyslog logger prop A 10 Guia do Usu rio do Sentinel Wizard udp lt porta gt Porta a ser escutada em busca de mensagens UDP de dispositivos 514 o padr o tcp lt porta gt Porta a ser escutada em busca de conex es TCP de dispositivos 1468 o padr o connector lt porta gt Porta a ser escutada em busca de conex es TCP de conectores 9091 o padr o private Escuta em busca de conex es do conector no loopback o padr o shared Escuta em busca de conex es do conector no localhost Se n o for definido ser gerado um erro de comunica o log Nome de um arquivo de registro ao qual se anexar help Apresenta esta mensagem de ajuda version Apresenta a vers o do proxy 0 91 poc messageSize N mero de mensagens armazenadas no buffer para serem enviadas novament
19. conex o de todos os arquivos usado para ler todos os dados de evento de seguran a de um arquivo 3 12 Guia do Usu rio do Sentinel Wizard Selecione Novo Arquivo ou Todos os Arquivos para digitar arquivo de entrada ou arquivo de sa da na caixa Valor de Rx Tx O formato o seguinte arquivo de entrada arquivo de sa da ou arquivo de entrada ou arquivo de sa da Se voc selecionar Novo Arquivo ou Todos os Arquivos e o arquivo diminuir o arquivo ser lido do in cio Para obter mais informa es sobre a configura o de coletores com esse tipo de conex o consulte a documenta o do coletor como Collectors Solaris Syslog e Registro de Eventos do Windows 2000 localizada em workbench home elements lt Nome do coletor gt idocs Tipo de conex o de processo persistente O tipo de conex o de processo persistente usado para iniciar um processo persistente quando a porta iniciada O processo comunica se entre o Coletor designado a essa porta e um aplicativo externo atrav s de estados de recebimento e transmiss o Um processo persistente iniciado no primeiro estado de leitura grava o e continua a ser executado durante a vida til da porta O processo encerrado pela porta como parte de seu processo de encerramento Quando a porta p ra um evento do n vel 5 enviado Quando a porta iniciada um evento do n vel 1 enviado Para obter mais informa es v para a se o Processos persist
20. d gito em MATUSCULA um em min scula um s mbolo especial amp 0 _ e um d gito num rico 0 9 2 A senha n o pode conter o nome usado no e mail nem partes do nome completo 3 A senha n o deve ser uma palavra comum por exemplo n o deve ser uma palavra registrada em dicion rio nem g ria de uso comum 4 A senha n o deve conter palavras de idioma algum pois existem v rios programas de invas o de senha capazes de verificar milh es de possibilidades de combina es de palavras em segundos 5 Escolha uma senha de que possa se lembrar mas que seja complexa Por exemplo Mft5 AIdade Meu filho tem 5 anos de idade OU EmnCh5 a Eu moro na Calif rnia h 5 anos Mudando a senha do Gerenciador de Coletor para UNIX 3 Como usu rio esecadm v para SWORKBENCH HOME Digite o seguinte comando CUIDADO Voc n o ser solicitado a fornecer a confirma o de senha nem ser solicitado a fornecer a senha antiga agent manager sh password new password gt Para que a senha tenha efeito v para usr local bin e digite o comando a seguir agent manager sh restart Iniciando o Construtor de Coletor 2 6 Iniciando o Construtor de Coletor l Clique em niciar gt Programas gt Sentinel gt Construtor de Coletor ou clique duas vezes no cone Construtor de Coletor na rea de trabalho Dependendo da instala o efetue login como usu rio esecadm ou com o nome de usu rio da au
21. de Coletor configure uma porta com um Tipo Rx Tx de Processo Persistente e com um Valor de Rx Tx semelhante sintaxe gen rica a seguir Para UNIX syslog SyslogConnectorAgent sh lt argumentos gt Para Windows syslogiSyslogConnectorAgent bat lt argumentos gt Depois de preencher o Valor de Rx Tx selecione o Coletor adequado na biblioteca fa a upload da configura o da porta e possivelmente tamb m do Coletor para o Wizard remoto O cliente do conector syslog foi criado para usar v rios argumentos padr o a fim de simplificar o uso geral A linha de comando mais simples para o cliente do conector syslog seria a seguinte Para UNIX syslog SyslogConnectorAgent sh id MeulDExclusivo Para Windows syslog SyslogConnectorAgent bat id MeulDExclusivo A interpreta o dessa linha de comando a seguinte Conecte se ao proxy syslog que escuta em 127 0 0 1 9091 em busca desta conex o Inscreva se em todas as mensagens enviadas com todos os Recursos syslog poss veis Inscreva se em todas as mensagens enviadas com todos os N veis syslog poss veis Inscreva se em todas as mensagens independentemente do endere o IP de origem contido no cabe alho IP Inscreva se em todas as mensagens independentemente da designa o de host contida na mensagem Atribua a esses par metros de inscri o de sess o o ID MeulDExclusivo A sess o do cliente do conector syslog ser registrada no proxy sy
22. estado de an lise como o primeiro estado al m de ter comandos Breakpoint State 1 Parsing Visual Editor Text Editor dk Debugger E tl e B vnw O Currently Debugging VULN TW6 E State Script i Comments printf xFile os fmain p P FILER xFile xData ratiadiesoo LENGTH i xData i EO if i gt 0 o strip xData 0Odi REPLACE xData 0 i RXBufferLength REPLACE xData P er REPLACE xData FO x s ans Renda 2 A nr gt gt Durante a depura o espere at o Buffer Rx ser atualizado antes de realizar outra fun o I m NOTA Se o host do Gerenciador de Coletor tiver perdido a conectividade S n o ser poss vel depurar uma porta desse host Depurando uma porta do Assistente 1 No Editor de Gabarito selecione a guia Depurador no painel de edi o para acess lo O painel em branco exibido permite selecionar a porta do Assistente a ser depurada em uma lista suspensa Se voc clicar na guia Hosts do Assistente a porta que est sendo depurada indicar que est em modo de depura o Cmorkareatvuln inf DemoVulnerabiltyUploa So cimorkareatasset olTT GNUx NMAP 035 sm or Guia do Usu rio do Sentinel Wizard 2 Na lista suspensa selecione uma porta para iniciar o processo de depura o Para depurar a porta Pressione F6 para passar por um comando de cada vez ou clique no bot o Executar Um Comando
23. for editada durante sua execu o a porta ser interrompida Para evitar a perda de dados pare a porta manualmente antes de editar suas configura es Editando uma porta do Assistente 1 Pare a porta do host apropriado 2 Complete as etapas de cria o de uma porta do Assistente no Cap tulo 3 A nova configura o substituir a configura o existente quando voc gravar ou fizer o upload da porta Apagando uma porta do Assistente Apagando uma porta do Assistente 1 Pare a porta 2 No painel Informa es de Porta do Construtor de Coletor clique o bot o direito do mouse no nome da porta e clique em Apagar Porta Todas as portas abaixo da porta apagada ser o interrompidas automaticamente 3 Se estiver apagando de um Host local Clique em Arquivo gt Gravar e selecione Informa es de Porta Host remoto Clique em Arquivo gt Upload Download Depurando uma porta do Assistente O Depurador permite solucionar o c digo de coletor em execu o em uma porta O lado esquerdo do painel do Depurador exibe o script de estado O lado direito do painel exibe scripts e vari veis do tipo RX Buffer que podem ter nomes com at 32 caracteres Gerenciando hosts do Assistente 2 11 2 12 d visual Editor Text Editor ds Debugger E u p b poem y J lt 5TOP gt Currently Debuggi ASSET_TW6 E State Script IDS AGENT TW6 e breakpdVULN_Tw6 Para que o Depurador tenha efeito necess rio ter um
24. habilitados na detec o e o identificador de objetos OID da detec o Em termos de valores de detec o o formato original da detec o mantido com a maior proximidade poss vel O formato normalmente definido na MIB management information base base de gerenciamento de informa es para o sensor que originou a detec o Consulte Configura o de Detec o de SNMP para obter mais informa es Tipo de conex o inexistente 3 14 O tipo de conex o inexistente usado sem uma porta de comunica o E mais eficiente porque n o tenta se conectar Esse tipo de conex o dever ser usado se um coletor n o usar o estado Recebimento e apenas processar comandos Para obter informa es mais detalhadas sobre a configura o de coletores com o tipo de conex o inexistente consulte a documenta o do coletor como Collectors ISS RealSecure e ISS SiteProtector localizada em workbench home elements lt Nome do coletor gt idocs Guia do Usu rio do Sentinel Wizard Criando atribuindo iniciando e parando uma porta do Assistente Criando uma porta do Assistente 1 10 Consulte a documenta o dos coletores localizada em workbench home elements lt Nome do coletor gt docs para obter informa es sobre a configura o de coletores Clique na guia Coletores e selecione um coletor No Construtor de Coletor clique na guia Hosts do Assistente para selecionar um host No painel Informa es de Po
25. n veis do registro basta editar o respectivo arquivo de propriedades SESEC HOME wizard syslog syslog log prop Conector syslog A 9 Esse o arquivo de propriedades de registro conforme especificado pela seguinte linha do arquivo syslog conf wrapper java additional 1 Djava util logging config file syslog log prop Fa a modifica es na se o a seguir para ajustar os n veis de registro HHHHHH Configure os n veis de registro As regras de n vel de registro s o lidas de cima para baixo Comece com as mais gerais e depois passe para as mais espec ficas HERHHR Exemplo de argumentos da linha de comando E poss vel executar o servidor Proxy Syslog e o conector cliente sem usar os scripts fornecidos na instala o Para fazer isso ser necess rio usar os argumentos da linha de comando encontrados nesta se o Proxy syslog java server Xms64m Xmx256m Djava util logging config file syslog logger prop jar syslog jar udp lt porta gt tcp lt porta gt connector lt porta gt private shared log lt caminho do arquivo gt messageSize lt n mero gt Argumentos v lidos server Sempre deve ser usado Usado pela JVM Xms64m Especifica o tamanho inicial da mem ria do proxy syslog Recomenda se 64 megabytes Xmx256m Especifica o tamanho m ximo da mem ria do proxy syslog O padr o recomendado 256 megabytes Permite que o servidor proxy lide com oscila es nos volumes de dados
26. no Solaris 7 que est encaminhando mensagens do syslog ao talkabout 172 16 0 72 em execu o no Solaris 9 que por sua vez est fazendo retransmiss es para o proxy syslog A seguir est o as mensagens geradas pelo conector do Sentinel Proxy lt 37 gt Apr 02 06 54 11 172 16 0 72 151 234 su su root succeeded for oespadm on dev pts 0 Cliente do conector Apr 02 06 54 11 172 16 0 72 151 234 su su root succeeded for oespadm on dev pts 0 A seguir est o rastreamento de pacotes da mesma mensagem que chega primeiro no talkabout e em seguida retransmitida ao proxy syslog em pes020 esecurity net snoop x0 udp port 514 Using device dev dmfe0 promiscuous mode ultrabookIIli gt talkabout SYSLOG C port 42830 lt 37 gt Apr 1 18 54 11 O 0000 83cd 1395 0040 2082 202b 0800 4500 cc H 16 0061 fa09 4000 ff11 28d3 ac10 0046 aclo0 Ec UT O E E 32 0048 a74e 0202 004d 5d7e 3c33 373e 4170 H N M lt 37 gt Ap 48 7220 2031 2031 383a 3534 3a31 3120 7375 r 1 18 54 11 su 64 3a20 2773 7520 726f 6f74 2720 7375 6363 su root succ 80 6565 6465 6420 666f 7220 6f65 7370 6164 eeded for oespad 96 6d20 6f6e 202f 6465 762f 7074 732f 30 m on dev pts 0 Conector syslog A 13 A 14 talkabout gt pes020 esecurity net SYSLOG C port 38890 lt 37 gt Apr 1 18 54 11 O 000a 5e02 a335 0000 83cd 1395 0800 4500 A 3633 a a ii E 16 0061 304b 4000 ff11 f031 acl0 0048 ac10 SON 60 DR bees Her 32 02
27. o haver transfer ncia de dados para o buffer de recebimento e o tempo de espera da porta n o ser excedido Se a string conclusiva do delimitador n o for encontrada em momento algum o processamento da porta do coletor nunca exceder o tempo de espera Al m disso se a string conclusiva do delimitador for encontrada mas se n o houver o recebimento do n mero m nimo de bytes o tempo de espera do processamento da porta do coletor n o ser excedido em momento algum Estado Decidir O Estado Decidir avalia o conte do do buffer de recebimento ou vari vel para determinar a a o a ser executada Se as informa es do buffer de recebimento contiverem o tipo conclusivo selecionado o Gerenciador de Coletor processar o comando como verdadeiro e a rota Sim ser seguida Se o buffer de recebimento n o contiver o tipo conclusivo selecionado o Gerenciador de Coletor processar a decis o como falsa e a rota N o ser seguida O buffer de recebimento Rxbuffer de tamanho um par metro edit vel localizado em SWORKBENCH HOME config wizard properties system max receive buffer size Esse par metro permite configurar o buffer de recebimento do Gerenciador de Coletor buffer Rx O padr o de 50 000 eventos O m nimo de 5 000 eventos Quando o buffer Rx alcan a o tamanho m ximo novos eventos s o eliminados ao serem recebidos j que s o obstru dos Existem quatro tipos conclusivos S o eles String Compara
28. restabelecer a conex o at que uma reconex o bem sucedida seja alcan ada H um atraso dentro do caractere que especifica o n mero de milissegundos ms entre o envio de cada byte de dados Estado Receber O Estado Receber especifica o m todo a ser usado pelo Assistente para determinar o momento do recebimento de dados do coletor No Estado Receber s o especificados Tipo de recebimento Bytes m nimos String conclusiva do delimitador Se a conex o for interrompida durante a entrada no estado Transmitir e um valor for digitado na caixa Valor de Rx Tx no painel Informa es de Porta do gabarito ocorrer o evento a seguir ser o feitas tentativas de restabelecer a conex o at que uma reconex o bem sucedida seja alcan ada Ap s o Estado Receber do RxBuffer duas vari veis s o automaticamente preenchidas com os resultados desse estado s RXBufferString cont m o texto recebido pelo RxBuffer i RXBufferLength cont m o tamanho de s RXBufferString Isso equivale a executar o c digo de script a seguir ap s um Estado Receber COPY s RXBufferString LENGTH G RXBufferLength s RXBufferString Introdu o ao Assistente 1 5 1 6 Essas vari veis de preenchimento autom tico facilitam a compara o em um Estado Decidir para determinar se o tempo de espera do Estado Receber foi excedido 1 RXBufferLength 0 Tamb m permitem o uso direto do RXbuffer por meio da vari vel s RXBufferString Tipos de
29. simples de dois conjuntos uma tabela bidimensional ou uma tabula o cruzada cujas c lulas podem ser usadas para inserir frequ ncias para designar possibilidades consulte Guia do Usu rio do Sentinel Wizard rela o ou impossibilidades consulte restri o ou para dispor em gr fico as transi es que abrangem o comportamento de um sistema Krippendorff NOTA Na data de publica o deste documento o site na Web mencionado acima estava correto Isso implica que teoricamente muito poucas mensagens distintas podem passar por esse filtro Somente condi es operacionais pr ticas poder o realmente determinar o n mero de mensagens distintas Al m dos argumentos de filtro da linha de comando h tamb m os seguintes argumentos opcionais proxy O endere o do host e o n mero da porta lt endere o do servidor gt lt porta gt do servidor proxy syslog log lt nome do arquivos Habilita o registro no arquivo especificado O argumento proxy usado para configurar o cliente do conector para que se conecte a uma porta TCP n o padr o ou a um host diferente do localhost Por padr o o proxy syslog espera que haja uma conex o do cliente do conector na porta 9091 Caso a porta 9091 n o seja adequada para o host em que o proxy syslog est sendo executado a porta poder ser ajustada durante a inicializa o desse proxy e usando o argumento proxy os clientes podem ser instru dos a se conec
30. uma string conclusiva definida pelo usu rio com o conte do do buffer de recebimento O conte do da string conclusiva comparado com o conte do do buffer de recebimento ou de uma vari vel para determinar a rota decis ria a ser processada A string conclusiva uma express o regular compat vel com POSIX 1003 2 Uma vari vel d suporte a strings inteiros e flutuantes Verdadeiro For a uma avalia o com resultado verdadeiro e o Gerenciador de Coletor segue a rota Sim Introdu o ao Assistente 1 7 Falso For a uma avalia o com resultado falso e o Gerenciador de Coletor segue a rota N o Dados Compara uma string conclusiva definida pelo usu rio com outra string ou com o valor de uma vari vel Estado Analisar O Estado Analisar usado para desenvolver os scripts a serem executados nas portas Os comandos de an lise podem incluir par metros fundidos com o gabarito no momento da cria o dos scripts Um Editor Visual e um Editor de Texto est o dispon veis para definir os comandos de an lise O Estado Analisar tamb m usado para inserir comandos de an lise em um gabarito Os comandos de an lise podem incluir par metros que s o substitu dos por valores espec ficos quando o gabarito fundido com um arquivo de par metro no processo de cria o de scripts A fus o de um gabarito com um arquivo de par metro pode acionar a execu o de v rios scripts nas portas Arquivos de par metro
31. upload de sua configura o Voc pode selecionar um coletor diferente para cada caixa suspensa Cada coletor marcado na lista principal adquirir a configura o de porta e os coletores do host selecionado na caixa com a etiqueta Selecione a configura o de porta de host e os coletores dos quais deseja fazer upload a menos que nenhuma esteja selecionada Ao concluir a configura o da rede selecione o bot o Upload para iniciar o processo de upload Fazendo upgrade de coletores Fazendo upgrade de coletores l 2 Leia a documenta o que acompanha o novo coletor e que explica as mudan as Coloque a nova vers o do coletor no diret rio Yworkbench homeY Elements no PC master do coletor Abra o arquivo de par metro do coletor que est sendo substitu do e corte e cole os par metros correspondentes no novo coletor Gerenciando hosts do Assistente 2 17 4 Se necess rio conforme a documenta o do novo coletor remova ou adicione novas vari veis de par metro Se estiver adicionando novas vari veis de par metro preencha a vari vel Grave o arquivo de par metro no novo coletor Crie o novo coletor Edite as informa es de configura o de porta para usar o novo coletor Grave as informa es de configura o de porta Fa a upload do novo coletor e das configura es de porta ND DO O MA 0 Reinicie a porta 2 18 Guia do Usu rio do Sentinel Wizard Construindo e mantendo colet
32. 8 que pode ser representante de outras vers es distribu das n o colocam o nome nem o endere o IP do host nas mensagens enviadas do host O servidor syslog receptor associa o endere o IP de origem ou o nome do host atrav s da resolu o de nomes s mensagens recebidas nos arquivos de registro gerados por ele Caso o Solaris 9 atue como um retransmissor para o proxy ele n o preencher as mensagens que encaminha para o proxy nem com o endere o IP nem com o nome de host da origem da mensagem Isso estranho pois o arquivo de registro no sistema Solaris 9 mostra um endere o IP ou um nome de host Sem o nome de host complementar na mensagem o proxy syslog for ado a deduzir a mensagem originada do servidor de retransmiss o e n o do host original O proxy syslog complementar cada mensagem recebida de um retransmissor Solaris 9 com o endere o IP do host A 12 Guia do Usu rio do Sentinel Wizard de retransmiss o As consequ ncias dessa a o s o s rias A origem de um evento de seguran a n o fica vis vel para o Coletor e consegiientemente a solu o do Sentinel E altamente recomend vel que o proxy n o seja destinat rio de mensagens retransmitidas se estas n o contiverem o endere o IP nem o nome do host da verdadeira origem Essa recomenda o poder ter consequ ncias log sticas significativas se o proxy for utilizado na produ o Exemplo Ocorre um evento su no ultrabooklli 172 16 0 70 em execu o
33. AS Hardware 14 MB de RAM adicional 45 MB de mem ria virtual para cada inst ncia do conector syslog e o proxy Guia do Usu rio do Sentinel Wizard Instala o Os arquivos de clientes do conector e do proxy syslog s o instalados automaticamente quando o Collector Service instalado Os arquivos do syslog est o no diret rio Para UNIX SESEC HOME wizard syslog Para Windows SESEC HOMESwizardisyslog O Wizard n o iniciar automaticamente o proxy syslog Se voc quiser que o proxy syslog seja iniciado automaticamente ele dever ser instalado como um servi o Utilize as instru es a seguir para instalar o proxy syslog como um servi o Instalar como Servi o do Windows Windows NOTA Para que o proxy syslog seja executado automaticamente poss vel instal lo como um Servi o do Windows Para instalar o proxy syslog como um servi o execute os seguintes comandos no prompt de comando 1 cd d WESEC HOMEYlwizardisyslog 2 syslog server bat install Esse procedimento criar um Servi o do Windows chamado eSecurity Syslog Server Instalar como servi o UNIX NOTA Para que o proxy syslog seja iniciado automaticamente durante a inicializa o da m quina poss vel instal lo como um servi o no UNIX Para instalar o proxy syslog como um servi o execute os seguintes comandos 1 Efetue login como Usu rio Root cd ESEC HOME wizard syslog 3 syslog server sh install Ess
34. Coletores Volume IV Guia de Refer ncia do Usu rio do Sentinel Este guia aborda o seguinte Linguagem de cria o de scripts do Mecanismo de correla o do Sentinel assistente Permiss es de usu rio Comandos de an lise do Assistente Op es da linha de comando Fun es do administrador do Assistente de correla o Metatags do Assistente e do Sentinel Esquema do banco de dados do Sentinel Volume V Guia de Integra o de Terceiros do Sentinel Remedy HP Service Desk Opera es do HP OpenView Introdu o ao Assistente NOTA O termo Agente sin nimo de Coletor De agora em diante Agentes ser o referidos como Coletores O Guia do Usu rio do Assistente serve de introdu o opera o do Assistente da Novell Este guia explica cada componente e a opera o de todos os componentes Este guia sup e que voc est familiarizado com seguran a de rede administra o de bancos de dados e dos sistemas operacionais Windows e UNIX ndice Este guia cont m os seguintes cap tulos Cap tulo 1 Introdu o ao Assistente Cap tulo 2 Gerenciando hosts do Assistente Cap tulo 3 Construindo e mantendo Coletores Ap ndice A Conector Syslog Ap ndice B Configurando um servidor de soquete em um host UNIX Ap ndice C Informa es legais Conven es usadas Nota e avisos NOTA As notas apresentam informa es adicionais que podem ser
35. Novell i Sentinel www novell com 5 1 3 Co Volume Ill GUIA DO USU RIO 7 de julho DO ASSISTENTE DO SENTINEL M 5 de 2006 Novell Informa es legais A Novell Inc n o faz representa es ou garantias quanto ao conte do ou utiliza o desta documenta o e especificamente se isenta de quaisquer garantias de comercializa o expl citas ou impl citas ou adequa o a qualquer prop sito espec fico Al m disso a Novell Inc reserva se o direito de revisar esta publica o e fazer mudan as em seu conte do a qualquer momento sem obriga o de notificar qualquer pessoa ou entidade sobre essas revis es ou mudan as A Novell Inc n o representa nem garante nenhum software e especificamente se isenta de qualquer garantia expl cita ou impl cita de comercializa o ou adequa o a qualquer prop sito espec fico A Novell Inc reserva se o direito de mudar qualquer parte do software da Novell a qualquer momento sem ter a obriga o de notificar nenhuma pessoa ou entidade sobre tais mudan as Quaisquer produtos ou informa es t cnicas sob este Contrato est o sujeitos aos controles de exporta o vigentes nos Estados Unidos e legisla o comercial de outros pa ses Voc concorda em cumprir todos os regulamentos do controle de exporta o e em obter as licen as ou a classifica o necess rias para exportar reexportar ou importar produtos finais Voc concorda em n o exportar nem reexportar par
36. Sparta Inc Para obter mais informa es isen es de responsabilidade e restri es consulte http net snmp sourceforge net The OpenSSL Project Copyright O 1998 2004 the Open SSL Project Para obter mais informa es isen es de responsabilidade e restri es consulte http www openssl org Oracle Help for Java Copyright O 1994 2006 Oracle Corporation RoboHELP Office Copyright O Adobe Systems Incorporated antiga Macromedia Skin Look and Feel SkinLF Copyright O 2000 2006 L2FProd com Licenciado sob a Licen a de Software do Apache Para obter mais informa es isen es de responsabilidade e restri es consulte https skinlf dev java net Sonic Software Corporation Copyright O 2003 2004 O software SSC cont m software de seguran a licenciado pela RSA Security Inc Tinyxml Para obter mais informa es isen es de responsabilidade e restri es consulte http grinninglizard com tinyxmidocs index html SecurityNexus Copyright O 2003 a 2006 SecurityNexus LLC Todos os direitos reservados Xalan e Xerces licenciados pela Apache Software Foundation Copyright O 1999 2004 Para obter mais informa es isen es de responsabilidade e restri es consulte http xml apache org dist LICENSE txt yWorks Copyright O 2003 a 2006 yWorks NOTA A partir da publica o desta documenta o os links acima se tornaram ativos Caso voc descubra que quaisquer dos links acima foram desfeitos ou q
37. a converter mapear m s em n mero p ex Jan para 1 Arquivos de manifesto Os arquivos de manifesto s o o que diferencia os coletores da vers o 5 dos anteriores Esses arquivos d o suporte distribui o de coletores do Console do Sentinel e as vers es de coletores A an lise de coletores definida no arquivo agent lkp Esses casos de pesquisa s o os seguintes Setup Configura o nica de vari veis e par metros Check Setup Verifica o nica das vari veis e par metros Initialize Vars O in cio de todo loop em que as vari veis s o inicializadas uma vez por an lise Parse O local onde a an lise realizada Isso permite fazer o plugin da an lise do novo coletor em gabaritos existentes Al m disso permite sobrepor novas vers es da an lise do coletor para atualizar o c digo A seguir est uma lista dos arquivos de manifesto e seu conte do na v5 0 agent nfo o product Snort o product vendor GNU o product version 2 0 n product security type IDS a product sensor type N a product name IDSx GNUx SNRT o file version 1 Introdu o ao Assistente 1 9 Outras refer ncias do Sentinel Os seguintes manuais est o dispon veis nos CDs de instala o do Sentinel Sentinel M Guia de Instala o do Sentinel Guia do Usu rio do SentinelTM Guia do Usu rio do Assistente do SentinelTM Guia de Refer ncia do Usu rio do SentinelTM Guia de Integra o de Terceir
38. a entidades que constem nas listas atuais de exclus o de exporta o dos Estados Unidos ou para qualquer pa s embargado ou com hist rico de terrorismo como especificam as leis de exporta o norte americanas Voc concorda em n o utilizar os produtos finais em atividades proibidas relacionadas a m sseis equipamentos nucleares e armas qu mico biol gicas Consulte o site www novell com info exports para obter mais informa es sobre a exporta o do software da Novell A Novell n o assumir qualquer responsabilidade se voc n o obtiver as aprova es necess rias para exporta o Copyright O 1999 2006 Novell Inc Todos os direitos reservados Nenhuma parte desta publica o pode ser reproduzida fotocopiada armazenada em um sistema de recupera o ou transmitida sem o consentimento por escrito da Novell A Novell Inc possui os direitos de propriedade intelectual com rela o tecnologia utilizada no produto descrito neste documento Em particular e sem limita o esses direitos de propriedade intelectual podem incluir uma ou mais patentes americanas listadas em http www novell com company legal patents e uma ou mais patentes adicionais ou pedidos de patentes pendentes nos EUA e em outros pa ses Novell Inc 404 Wyman Street Suite 500 Waltham MA 02451 EUA Wwww novell com Documenta o Online Para acessar a documenta o online deste produto e de outros produtos da Novell e obter atualiza es visit
39. a6 97ea 0202 004d 6a82 RUA Mj lt 37 gt Ap 48 7220 2031 2031 383a 3534 18 54 11 su 64 3a20 2773 7520 726f 6f74 80 6565 6465 6420 666f 7220 oespad 96 6d20 6f6e 202f 6465 762f dev pts 0 O seguinte foi registrado no talkabout Apr 1 18 54 11 ultrabookIIi oespadm on dev pts 0 Guia do Usu rio do Sentinel Wizard 3a31 2720 6f65 7074 su 373e 4170 3120 7375 ro dl 7375 6363 su root 7370 6164 eeded for 732f 30 m on su root succeeded for Configurando um servidor de soquete em um host UNIX NOTA O termo Agente sin nimo de Coletor De agora em diante Agentes ser o referidos como Coletores O servidor de soquete fornece um ponto de extremidade para conex es de soquete provenientes do Gerenciador de Coletor do Assistente UNIX Por exemplo se voc quiser monitorar um arquivo de registro ou uma caixa UNIX em um Assistente remoto e tiver de ultrapassar um firewall para acessar a porta nessa caixa As instru es a seguir servem para configurar um servidor de soquete em um host UNIX e voc monitorar um arquivo de registro ASCII nesse host Para configurar o processo de um servidor de soquete em um host UNIX 1 Crie script que fornecer os dados conex o de soquete TCP Para isso crie um novo arquivo de texto e copie para ele as linhas a seguir substituindo lt arquivo de registro gt pelo nome do caminho completo do arquivo que voc deseja monitorar E bin sh bin tail f
40. ando de an lise 3 5 estado analisar sannan nr vice AE sidade 1 5 1 8 avan ar e ir para is 1 5 CONCIUSIVO24sec tras custo sen nie slae lusa caso AA 1 5 decidir san ses ossos aire pagan Dra d sais oi usa a AA air 1 7 of fz RPE PR E NR RO EA E RP EEE 1 5 receber e sea esra ea a cera ea 1 5 receber RX siga e aeri 1 5 transmitir eses hissidan do isteitsiaaa 1 4 1 5 transmitir Tx ndesit 1 4 estado analisar i 1 8 estado an lise 1 5 estado avan ar e ir para 1 5 estado conclusivo 1 5 estado decidir 1 7 estado parar ren 1 5 estado receber sa sas ras dra ndis apra ierera rea 1 5 estado transmitir 1 4 1 5 ndice i exportando Host do Assistente c 2 7 fazendo download fazendo upgrade COIC OTES ustassaissine nre Soa gas aasia desire dos 2 17 fazendo upload coletor para um host 2 13 coletor para v rios hosts 2 14 v rios coletores para uma rede 2 17 fazendo upload de coletores 2 13 2 14 gabarito adicionando um estado 3 4 Gerenciador de Coletor 1 2 iniciando para UNIX escenes 2 3 parando para UNIX 2 4 host fazendo download 2 15 Fazendo download de coletores de um nico O E E alo asa Ma EAT 2 16 f
41. ar gt Configura es gt Painel de Controle 2 No Painel de Controle clique duas vezes em Ferramentas Administrativas e depois clique em Servi os 3 Na caixa de di logo Servi os clique o bot o direito do mouse em Gerenciador de Coletor e clique em Iniciar ou Parar Iniciando os servi os Gerenciador de Coletor para Windows linha de comando 1 V para WORKBENCH HOME 2 Para iniciar o Gerenciador de Coletor agent manager start agent manager restart inicia o script do Gerenciador de Coletor em segundo plano e inicia automaticamente o processo do Gerenciador de Coletor se for interrompido Se o processo agentmanager j estiver em execu o ser interrompido e reiniciado agent manager sh console inicia o processo do Gerenciador de Coletor no primeiro plano NOTA Quando estiver no modo de console verifique se apenas uma inst ncia do Gerenciador de Coletor est em execu o na m quina Parando os servi os Gerenciador de Coletor para Windows linha de comando 1 V para WORKBENCH HOME 2 Para parar o Gerenciador de Coletor agent manager stop Iniciando o Gerenciador de Coletor para UNIX Normal e Console Iniciando o Gerenciador de Coletor para UNIX 1 Como usu rio esecadm v para SWORKBENCH HOME 2 Digite o seguinte comando agent manager sh start Gerenciando hosts do Assistente 2 3 agent manager sh restart inicia o script do Gerenciador de Coletor em seg
42. azendo upload de portas para hosts 2 16 Host do Assistente apagando ieie reae e a e a eea 2 7 exportando isiin 2 7 permiss o Administra o do coletor 2 2 permiss o controlar coletores 2 2 permiss o exibir coletores 2 2 propriedades neeese eeer neeese 2 7 reinii Oiii adna 2 7 renomeando 2 6 iniciando o Construtor de Coletor 2 6 LOOKUP Jie asas ans Digo gibi essa 1 4 Novell site na Web os 1 10 permiss o do usu rio Gerenciamento de coletor 2 2 porta apagando seirak a o a 2 11 CIAIN O easet uer aa eaaet anie 3 14 depurando a 2 12 editando se ss ss seis ismensscessiertscaeta ernadao 2 11 fazendo upload para v rios hosts 2 16 iniciando Interface do Usu rio 2 10 2 11 parando Interface do Usu rio 2 10 2 11 ndice ii Porta de Assistente Consulte porta processo do servidor de soquete configura o 2 2 vs sessanssadarinmlges quseniee iam sida B 1 processo persistente 3 15 Valor de Rx Tx ini 3 16 processo transit rio 3 15 Valor de Rx Tx ini 3 16 propriedades Host do Assistente 2 7 reiniciando Host do Assistente 2 7 renomeando arquivo de pesquisa 2 9 Host do Assistente
43. baritos no painel direito 3 Clique em Op es gt Adicionar Estado gt Transmitir Receber Decidir Analisar Avan ar Ir para ou Parar conforme o necess rio ou clique nos bot es apropriados E E Transmitir n 5 Receber Guia do Usu rio do Sentinel Wizard 9 Decidir EI Analisar B avan ar l Ir Para Dlparar 4 Usando os pain is de edi o na parte inferior do painel Editor de Gabaritos insira o novo c digo em cada estado ao adicion lo Outro m todo arrastar e soltar um bot o Estado de An lise do lado esquerdo do Editor de Gabaritos na rea de edi o NOTA N o use aspas como parte da string conclusiva no estado de recebimento para fazer a correspond ncia do delimitador em um arquivo de registro por exemplo ou em um estado de decis o caso contr rio voc receber a seguinte mensagem de erro ERRO Lendo arquivo de gabarito Quando uma ou mais aspas s o colocadas na string conclusiva ou do delimitador ocorre a seguinte falta de correspond ncia entre as aspas StateDecideString test 123 A solu o usar 22 em vez de aspas NOTA Se voc selecionar outro item na guia Coletores mesmo que seja no mesmo coletor e depois retornar ao gabarito irregular o Construtor de Coletor gerar essa mensagem de erro e n o exibir partes nem estados do gabarito O erro ocorre porque o caractere de aspas usado para delimitar valores de campos em um arquivo te
44. bter mais informa es isen es de responsabilidade e restri es consulte http Awww java sun com products javawebstart downloads jnlp html e clique em download gt license Java Service Wrapper Partes protegidas por lei de direitos autorais da seguinte maneira Copyright O 1999 2004 Tanuki Software e Copyright O 2001 Silver Egg Technology Para obter mais informa es isen es de responsabilidade e restri es consulte http wrapper tanukisoftware org doc english license html JIDE Copyright O 2002 a 2005 JIDE Software Inc O jTDS licenciado sob a Licen a P blica GNU Menos Restritiva Para obter mais informa es isen es de responsabilidade e restri es consulte http jtds sourceforge net MbDateSelector Copyright O 2005 Martin Newstead licenciado sobre a Licen a P blica Geral Menos Restritiva Para obter mais informa es isen es de responsabilidade e restri es consulte http web ukonline co uk mseries Monarch Charts Copyright O 2005 Singleton Labs Net SNMP Partes do c digo s o protegidas por lei de direitos autorais por v rias entidades que se reservam todos os direitos Copyright O 1989 1991 1992 por Carnegie Mellon University Copyright O 1996 1998 a 2000 the Regents of the University of California Copyright O 2001 a 2003 Networks Associates Technology Inc Copyright O 2001 a 2003 Cambridge Broadband Ltd Copyright O 2003 Sun Microsystems Inc e Copyright O 2003 a 2004
45. ca linha no arquivo independentemente da pagina o mostrada syslog monitor stream tcp nowait nobody usr local bin in syslog monitor in syslog monitor 5 Execute o seguinte comando para habilitar o processo do servidor de soquete kill HUP bin ps ef grep inetd grep v grep awk print 2 6 Experimente o servidor de soquete Para fazer isso utilize o telnet para a porta escolhida e o conte do de seu arquivo de registro ser exibido telnet localhost 5555 Para interromper a sess o telnet execute control e depois digite quit no prompt telnet gt B 2 Guia do Usu rio do Sentinel Wizard adicionando estado a gabarito 3 4 apagando arquivo de gabarito 2 9 arquivo de pesquisa 2 9 Host do Assistente 2 7 o o q RUN EAE E PRP E UR RPE ENE PR 2 11 SCTIP onenei a ap 2 10 sequ ncia de inicializa o 2 10 arquivo de gabarito apagando iinnat sintam 2 9 configurando 3 3 chandon RR RD GUN ARRENDAR 3 3 co irato lo A a E E E ATT 2 8 arquivo de garabito definido irira i nitian at pranto ateer a ia 1 4 arquivo de mapeamento defiNhi o s aa na aeaa 1 8 arquivo de par metro configurando 3 7 chando aoi a denis Ga sainte a eaS 3 7 fo liila e o RENEE T 1 8 arquivo de pesquisa apagando assar csnsasiprtasopesadtaniplosaasiadicies 2 9 configurando ioiii 3 8 Criando
46. clique o bot o direito do mouse no painel Scripts de Inicializa o e selecione Reordenar Scripts de Inicializa o Criando uma porta do Assistente E poss vel criar mais de uma porta para um coletor Para alguns tipos de sensores talvez seja necess rio criar mais de uma inst ncia do mesmo coletor e atribuir cada inst ncia a uma porta diferente Construindo e mantendo coletores 3 11 O tipo de conex o de uma porta determina como os dados de seguran a e as informa es ser o lidos e quando uma conex o ser estabelecida Os tipos de conex o s o Tipo de conex o serial Tipo de conex o de soquete Tipo de conex o de novo arquivo Tipo de conex o de todos os arquivos Tipo de conex o de processo persistente Tipo de conex o de processo transit rio Tipo de conex o de detec o de SNMP Tipo de conex o inexistente Tipo de conex o serial O tipo de conex o serial ser usado se dados forem lidos em uma porta serial RS 232C atrav s de um cabo serial ou de conex o via modem necess rio especificar a porta serial apropriada por exemplo COMI COM2 na caixa Valor de Rx Tx O host que executa o produto a ser monitorado tamb m precisa ter uma conex o serial com o host do coletor atrav s de um cabo serial diretamente ou atrav s de modems em cada ponta da conex o Quando esse tipo de conex o usado talvez seja necess rio fazer outras modifica es e entradas Tip
47. coluna Nome da Porta clique duas vezes em Novo Digite o nome de sua prefer ncia Na coluna Coletor selecione um coletor Conforme a documenta o do coletor SWORKBENCH HOME VElementsi lt Nome do coletor gt docs lt file name gt pdf configure o coletor Clique na guia Coletores expanda o coletor e realce o arquivo do gabarito Clique na guia Par metros direita Conforme a documenta o do coletor defina os valores dos par metros opcional Caso deseje que esse coletor n o comece na inicializa o ou caso deseje descartar o hor rio do dispositivo clique na guia Host do Assistente clique o bot o direito do mouse no nome da porta do Assistente selecione Outras Op es de Porta e anule a sele o de Executar Porta na Inicializa o ou clique em Confiar no Hor rio do Dispositivo Clique em OK Clique em Gravar Clique na guia Coletores para abrir o painel de rvore Coletores Clique em um Coletor Clique em Arquivo gt Upload Download Clique no coletor e selecione Fazer Upload de Coletor Clique no bot o Upload Download A janela Upload Download exibida Na janela Upload Download clique na guia Hosts e marque ou desmarque a caixa de sele o Fazer Upload de Coletores ao Fazer Upload Se essa caixa de sele o for marcada ser feito o upload dos coletores selecionados na guia Coletores Essa caixa de sele o fica marcada por padr o Essa op o n o tem efeito n
48. comandos de an lise para execu o pesquisado no arquivo de pesquisa apropriado Quando um gabarito usa o comando de an lise TRANSLATE o comando carrega um arquivo de mapeamento que permite a r pida pesquisa de entradas chave Arquivo de Arquivo de gabarito par metro tem par Arquivo de pesquisa Ikp Arquivos de script asd Seq ncias de inicializa o chn Arquivo de mapeamento CSV Seq ncias de backout chn Arquivos de gabarito 1 4 poss vel criar adicionar estados editar e apagar gabaritos Os gabaritos determinam como os registros ser o processados A maioria das decis es sobre gabaritos gira em torno de quais tipos de registros voc est trabalhando e o seu formato Existe um arquivo de gabarito equivalente com uma extens o tem Eles ficam localizados em WORKBENCH HOME elements lt Nome do coletor gt Os arquivos de gabarito s o baseados em estados Um estado um ponto de decis o dentro do fluxo l gico ou caminho de um gabarito Cada ponto estado cont m informa es indicando o processo a ser realizado Os estados incluem refer ncia a par metros quando o gabarito fundido com um arquivo de par metro valores espec ficos substituem os par metros Quando os par metros s o substitu dos por valores especificos um ou mais arquivos de script s o criados Guia do Usu rio do Assistente do Sentinel Como um estado inserido em um gabarito
49. cont m 192 168 Para obter come a com o comportamento use 192 168 Em que a ncora de in cio de linha Para obter termina com o comportamento use 0 478 Em que a ncora de final de linha corresponde a a b ou c corresponde a qualquer caractere nico do alfabeto mai scula ou min scula ou qualquer d gito de 0 a 9 Guia do Usu rio do Sentinel Wizard Basicamente as regras dos exemplos acima de express es regulares comuns s o corresponde a qualquer caractere corresponde a zero ou mais ocorr ncias do padr o precedente corresponde a qualquer caractere nico do padr o definido entre par nteses NOTA Essas regras podem ser combinadas Vers o de SNMP Somente uma vers o de SNMP pode ser configurada As op es dos pain is Configura es de SNMP v1 e Configura es de SNMP v2 v3 s o habilitadas com base na vers o selecionada Porta de detec o de UDP O padr o da porta de destino UDP 162 Configura es de SNMP v1 Essas configura es somente ser o habilitadas se voc selecionar SNMP v1 na lista de Vers es de SNMP OID s de empresa ID s de objeto usados para identificar o tipo de coletor que enviou a detec o Separe os v rios valores com um ponto e v rgula C digo s de detec o C digos de detec o para sensores que enviam as detec es de SNMP Esses c digos de detec o representam os tipos de detec o enviados pelo c
50. de Pesquisa Os arquivos de Pesquisa s o tabelas opcionais arquivos lkp com as quais os valores recebidos s o comparados para determinar quais a es se houver ser o executadas em resposta aos eventos de seguran a Os arquivos de pesquisa cont m cl usulas de correspond ncia que s o usadas para comparar strings individuais Com base nas cl usulas de correspond ncia em um arquivo de pesquisa espec fico e nos dados recebidos dos dispositivos de origem o comando LOOKUP determinar se a string de pesquisa ser encontrada ou n o Opcionalmente os comandos de an lise podem ser associados string de correspond ncia Os comandos de an lise ser o executados se uma correspond ncia for encontrada Guia do Usu rio do Assistente do Sentinel Arquivos de Mapeamento Os arquivos de Mapeamento s o arquivos opcionais cvs que possibilitam uma pesquisa r pida das principais entradas O arquivo csv um caminho relativo de um diret rio de scripts do Coletor Atualmente a edi o desses arquivos n o fica dispon vel no Construtor de Coletor mas eles podem ser editados no Excel Exemplo de um poss vel arquivo de mapeamento M s N mero Jan 1 Fev 2 Mar 3 Abr 4 Mai 5 Jun 6 Jul 7 Ago 8 Set 9 Out 10 Nov 11 Dez 12 As entradas podem ser um n mero de vari veis de script string vari vel ou flutuante usado para indicar em quais vari veis os dados ser o armazenados Esse exemplo em particular usado par
51. de Porta Se estiver criando uma porta para um host remoto clique em Arquivo gt Upload Download A porta adicionada ao painel Informa es de Porta N o necess rio reiniciar o sistema para implementar a nova porta Clique em Iniciar para mudar o status da nova porta de Desligado para Ligado Processos persistentes e transit rios Usando o processo persistente ou o processo transit rio o Assistente capaz de interagir com outro aplicativo usando scripts que recebem ou transmitem dados e analisam respostas Cada um desses scripts executado em uma porta separada e cada porta conectada aum aplicativo espec fico NOTA Outro aplicativo especificado na caixa Valor de Rx Tx Construindo e mantendo coletores 3 15 Os nomes de processos podem incluir os seguintes itens Espa os Barras e barras invertidas para atender a v rios sistemas operacionais Argumentos de comandos Os caminhos absoluto e relativo a vari vel de ambiente WORKBENCH HOME considerada HOME relativa Quando ocorre um estado de recebimento transmiss o Rx Tx o processo especificado na caixa Valor de Rx Tx iniciado Quando o analisador encerrado o mesmo ocorre com o processo Quando um processo persistente encerrado um evento do n vel 5 enviado Quando um processo persistente iniciado um evento do n vel 1 enviado A sa da padr o stdout do processo persistente transit rio conectada ao estado de
52. de coletores que o host de origem Durante o download as configura es de porta de um coletor remoto aparecer o no host escolhido para download e os coletores do host remoto com o mesmo nome que o host local ser o sobregravados Fazendo upload de um coletor para um nico host Fazendo upload de um coletor para um nico host 1 Seo coletor j estiver configurado corretamente e voc tiver criado um script pode pular para as etapas 2 a 11 Clique na guia Hosts do Assistente e selecione um host 3 Na coluna Nome da Porta clique duas vezes em Novo Digite o nome de sua prefer ncia 4 Na coluna Coletor selecione um coletor Gerenciando hosts do Assistente 2 13 SD o gA ON 10 11 12 13 14 15 Conforme a documenta o do coletor ZWORKBENCH HOME NElementsi lt Nome do coletor gt idocsi lt file name gt pdf configure o coletor Clique na guia Coletores expanda o coletor e realce o arquivo do gabarito Clique na guia Par metros direita Conforme a documenta o do coletor defina os valores dos par metros opcional Caso deseje que esse coletor n o comece na inicializa o ou caso deseje descartar o hor rio do dispositivo clique na guia Host do Assistente clique o bot o direito do mouse no nome da porta do Assistente selecione Outras Op es de Porta e anule a sele o de Executar Porta na Inicializa o ou clique em Confiar no Hor rio do Dispositivo Clique em OK Other Port Opt
53. dere o IP de origem das mensagens recebidas no proxy syslog Esse argumento tem a apar ncia do proxy syslog nas informa es do cabe alho IP para avaliar esses crit rios Isso permite que o filtro acomode os servidores de retransmiss o syslog os servidores de retransmiss o n o se identificam nas mensagens retransmitidas por eles Embora esse argumento tenha sido criado para acomodar as mensagens retransmitidas ele pode ser usado para filtrar as mensagens enviadas diretamente da origem do syslog Especificamente os servidores de retransmiss o ou as origens do syslog relevantes s o 192 16 0 12 e 192 16 0 0 16 Na verdade o segundo item representa uma faixa de endere os IP desde que o endere o IP de origem esteja entre 192 16 0 0 e 192 16 255 255 essas mensagens passar o nos crit rios de filtro Os nomes de host n o s o v lidos pois nenhuma resolu o de nomes de host realizada para determinar os nomes de host dos endere os IP de origem host Inscreva se nas mensagens que cont m o designador de host 17 16 8 0 24 ou 10 1 1 13 na mensagem do syslog O primeiro item uma faixa de endere os IP Se a mensagem contiver um designador de host na forma de endere o IP e estiver dentro da faixa de 17 16 8 0 a 17 16 8 255 a mensagem passar por essa condi o no filtro Os nomes de host s o aceitos pelo argumento host O nome do host pode ser designado literalmente ou por uma express o regular Lembre se de que nenhuma resol
54. do Usu rio do Sentinel Wizard 4 5 Na lista com a etiqueta Selecionar configura o de porta de host e coletores dos quais deseja fazer upload selecione o host desejado para fazer upload de configura es de portas e coletores Na lista com a etiqueta Selecionar os hosts para os quais deseja fazer upload desta configura o selecione o host desejado para fazer upload das configura es selecionadas Todos os hosts do Assistente na rede ser o automaticamente inclu dos na lista Os bot es indicam se a m quina do host est on line ou n o Clique em Selecionar Tudo para selecionar todos os hosts do Assistente na lista Clique em N o Selecionar Nenhum para desfazer a sele o de todos os hosts do Assistente na lista Fazendo upload de v rios coletores para uma rede Fazendo upload de v rios coletores para uma rede l pa Na janela principal Assistente selecione um coletor na rvore Coletores Clique em Arquivo gt Upload Download Clique no coletor e selecione Fazer Upload de Coletor Clique no bot o Upload Download Selecione a guia Preencher Rede Na primeira caixa de sele o no menu suspenso selecione a configura o de porta de host e os coletores dos quais deseja fazer upload Na segunda caixa de sele o no menu suspenso selecione os hosts para os quais deseja fazer upload de configura es NOTA E necess rio marcar pelo menos um das caixas de sele o para fazer
55. e o campo Valor de Rx Tx O coletor de SNMP gravado e seu upload feito Para ativar esse coletor pare e reinicie o Gerenciador de Coletor NOTA Para ativar esse coletor necess rio parar e reiniciar o Gerenciador de Coletor conforme a etapa 6 Guia do Usu rio do Sentinel Wizard SNMP Trap Setup A M Name Pacific Rim M SNMP Trap Configuration Agent IP Address es z SNMP Version SNMP v1 UDF Trap Port 162 SNMP v1 Settings Enterprise OID s Trap Code s 1 SNMP v2 v3 Settings Security Name s Authentication Authentication Key Encryption Encryption Key Engine ID s Trap OID s Multiple values may be separated by semicolons Use lt expression gt to enable POSIX regular expression matching OK Cancel A configura o de SNMP consiste em Endere o s IP do coletor Vers o SNMP Porta de detec o de UDP Configura es de SNMP v1 OID s da empresa a C digo s de detec o Construindo e mantendo coletores 3 19 Configura es de SNMP v2 v3 a Nome s de seguran a a Autentica o a Chave de autentica o n Criptografia a Chave de criptografia a ID s de mecanismo com bot o de consulta a OID s de detec o Na caixa de di logo Configura o de Detec o de SNMP para abri la clique o bot o direito do mouse no nome de uma porta
56. e do tempo de execu o do coletor Formato D HH MM SS ss dias horas minutos segundos cent simos de segundo Valor de uma vers o de SNMP espec fica 1 SNMP v1 3 SNMP v3 N mero de vincula es de vari veis na detec o Uma matriz de tamanho i Trap Vars dos nomes das vari veis MIB vinculadas na mensagem de detec o Cada elemento da matriz s Trap OID um OID por exemplo 1 3 6 1 4 1 4286 Uma matriz de tamanho i Trap vars dos valores das vari veis MIB vinculadas na mensagem de detec o Os ndices dessa matriz e da matriz s Trap OID correspondem entre si de tal modo que s Trap OID 0 o nome es Trap Value 0 o valor 3 22 Guia do Usu rio do Sentinel Wizard Vari veis de detec o para SNMP v1 Vari vel s Trap Ent s Trap Code Generic s Trap Code Specific Descri o OID de empresa do coletor sensor que enviou a detec o C digo gen rico da detec o Os valores s o 1 5 tipos de detec o padr o definidos por IETF For a tarefa de engenharia da Internet 6 detec o espec fica de empresa o c digo definido ems Trap Code Specific C digo espec fico da detec o Somente relevante ses Trap Code Generic 6 Vari veis de detec o para SNMP v3 Vari vel s Trap Engine ID s Trap OID s Trap Security Name Descri o ID de mecanismo do coletor de SNMP v3 que enviou a detec o Identificador de objeto OID que ide
57. e em virtude das conex es temporariamente perdidas O tamanho m ximo 5000 sem v rgulas Se o valor da op o n o for usado ou se esse valor for maior que 5000 o comando assumir 5000 como padr o Cliente do conector syslog jav a jar syslogconnector jar id lt IdExclusivo gt proxy lt host n mero da porta gt facilities lt facilityl facility2 gt levels lt n vell n vel2 gt sender lt Source IP1 integer subnet mask Source host lt IP1 integer subnet mask Hostnamel Hostname Regexl IP2 integer IP2 integer subnet mask gt subnet mask Hostname2 Hostname Regex2 gt log lt caminho do arquivo de registro gt Argumentos v lidos proxy lt host faci lt recursol recurso2 gt leve O proxy Syslog a ser conectado com o host porta o padr o 127 0 0 1 9091 lities Lista separada por v rgulas com os recursos desejados O padr o s o todos os recursos ls lt n vell n vel2 gt Lista separada por v rgulas com as gravidades desejadas O padr o s o todos os n veis n mero da porta gt sender lt Source IP1 integer subnet mask Source IP2 integer subnet mask gt host lt IP1 integer subnet mask Hostname1 Hostname Regex1 IP2 integer subnet log lt caminho do arquivo de registro gt Lista separada por v rgulas com os remetentes desejados O padr o s o todos os remetentes Lista separada por v
58. e oa sdipgeses das ensie sta iih 3 8 defiNi o JRRARENR RD ARO RD RANA a eaat 1 8 renomeando 2 9 Coletor componentes aian ei 1 3 construindo AAEN E 3 3 Fazendo download de um nico host 2 16 fazendo upgrade nenene 2 17 fazendo upload de v rios coletores para uma Pede eiei opran iaraa wae 2 17 fazendo upload para um host 2 13 fazendo upload para v rios hosts 2 14 comando de an lise editando sssia srta sds raia rep ubls a aan 3 7 LOOKUP aci isnie aineisiin 1 4 no editor visual 3 5 TRANSLATE craris e aoei 1 4 via editor de texto 3 6 configurando arquivo de gabarito 3 3 arquivo de pesquisa 3 8 arquivos de par metro 3 7 construindo SGPIS iir neii genai aariaa 3 9 Construtor de Coletor 1 2 Inicia NAO ion iaaa 2 6 criando arquivo de gabarito 3 3 arquivos de par metro 3 7 arquivos de pesquisa 3 8 porta cosspucaias eminseipoatuta tensa salpieantaa o eudeo 3 14 Dados de coletores 2 1 depurando portae a a a 2 12 detec es de SNMP 3 17 acessando ipa en iea 3 17 editando arquivo de gabarito ii 2 8 comando de an lise 3 7 0101A te KA RT E EE E EE E 2 11 editor de texto digitando um comando de an lise 3 6 editor visual digitando um com
59. e procedimento far com que o proxy syslog seja iniciado automaticamente durante a inicializa o da m quina Por padr o o proxy syslog ser executado como o usu rio root Isso ser necess rio porque o proxy syslog por padr o se vincular porta 514 o que requer privil gios de root Para que o proxy syslog seja executado como um usu rio diferente do root modifique o script etc init d esyslogserver Voc precisar verificar se esse usu rio tem privil gios para se vincular porta em que escutar em busca de mensagens Estes s o alguns exemplos de como isso pode ser feito Use o comando sudo para iniciar o proxy syslog concedendo ao usu rio privil gios sudo para que se vincule porta necess ria Modifique a configura o do syslog syslog conf e fa a com que o proxy syslog se vincule a uma porta que n o necessite de privil gios de root p ex gt 1024 Nesse caso voc provavelmente precisar redirecionar as mensagens enviadas porta 514 para a nova porta selecionada para uso Desinstala o Para desinstalar o Servi o do Windows execute os seguintes comandos no prompt de comando Conector syslog A 3 Desinstalar como Servi o do Windows Windows 1 cd d ESEC_ HOMEYlwizardisyslog 2 syslog server bat remove Desinstalar como Servi o UNIX Para desinstalar o proxy syslog como um servi o execute os seguintes comandos 1 Efetue login como Usu rio Root 2 cd ESEC
60. e www novell com documentation Marcas registradas da Novell Para obter informa es sobre as marcas registradas da Novell consulte a lista Marcas registradas da Novell e marcas de servi os em http Awww novell com company legal trademarks tmlist htm Materiais de terceiros Todas as marcas registradas de terceiros pertencem aos seus respectivos propriet rios Informa es legais de terceiros O Sentinel 5 pode conter as seguintes tecnologias de terceiros Apache Axis e Apache Tomcat Copyright O 1999 a 2005 Apache Software Foundation Para obter mais informa es isen es de responsabilidade e restri es consulte http www apache org licenses ANTLR Para obter mais informa es isen es de responsabilidade e restri es consulte http Awww antlr org Boost Copyright O 1999 Boost org Bouncy Castle Copyright O 2000 2004 the Legion of Bouncy Castle Para obter mais informa es isen es de responsabilidade e restri es consulte http www bouncycastle org Checkpoint Copyright O Check Point Software Technologies Ltd Concurrent pacote de utilit rios Copyright O Doug Lea Usado sem as classes CopyOnWriteArrayList e ConcurrentReaderHashMap Crypto Compilation Copyright O 1995 2003 Wei Dai incorporando o seguinte trabalho protegido por lei de direitos autorais mars cpp por Brian Gladman e Sean Woods Para obter mais informa es isen es de responsabilidade e restri es consulte htt
61. elativo a menos que o valor de Rx Tx seja digitado como o caminho completo Encerramento de processo transit rio Se o processo transit rio parar antes do encerramento do analisador ser reiniciado no pr ximo estado de leitura ou grava o sem o envio de eventos Para obter mais informa es v para a se o Processos persistentes e transit rios Para obter informa es sobre a configura o do valor de Rx Tx para esse tipo de conex o v para a se o Configurando o valor de Rx Tx para conex o persistente e transit ria Tipo Rx Tx Tipo de conex o de detec o de SNMP O tipo de conex o de detec o de SNMP usado para receber as detec es de SNMP v1 v2 e v3 Essas detec es s o enviadas por sensores ao endere o IP do servidor do Assistente Com base no endere o IP e no identificador de objetos OID do dispositivo de envio o Gerenciador de Coletor permite a an lise por meio do coletor apropriado O estado Rx an lise transmite dados de detec o de SNMP de entrada ao coletor As informa es usadas para coletar e analisar as detec es de SNMP v1 e v3 s o todas configur veis As detec es de SNMP v1 s o identificadas usando o endere o IP e o identificador de objetos OID juntamente com um c digo de detec o As detec es de SNMP v2 v3 s o identificadas usando o endere o IP o nome de seguran a o ID de mecanismo as chaves de autentica o e criptografia caso estejam
62. ele atribu do a um n mero que permanece com ele mesmo que ele seja movido no gabarito H tr s agrupamentos de estados Os estados Transmitir Receber Decidir e Analisar s o numerados na ordem em que s o inseridos no gabarito a O estado Transmitir Tx transmite uma string a uma porta definida o O estado Receber Rx define se o Assistente deve ou n o receber informa es de um aplicativo de seguran a em um buffer Informa es s o extra das da defini o de porta a O estado Decidir usa uma string de dados ou vari vel para determinar o estado a avan ar a O estado Analisar usa os comandos de an lise a fim de criar gabaritos para processar as informa es coletadas no buffer de recebimento Os estados Avan ar e Ir para s o identificados pelo n mero do estado para o qual est o apontando a Estado Avan ar indica o estado para o qual saltar no script seguinte o Estado Ir usado para retroceder a outro estado dentro do script atual O estado Parar sempre o n mero zero Indica quando parar o processamento em uma porta Estado Transmitir O Estado Transmitir envia uma string ou vari vel dependendo do tipo de dado selecionado ao tipo de conex o configurado para o coletor Se a conex o for interrompida durante a entrada no estado Transmitir e um valor for digitado na caixa Valor de Rx Tx no painel Informa es de Porta do gabarito ocorrer o evento a seguir ser o feitas tentativas de
63. enciador de Coletor Gerenciando hosts do Assistente 2 1 Permiss es de hosts do Assistente As permiss es de hosts do Assistente s o administradas por meio da guia Admin do Sentinel Control Center As permiss es de usu rio dos hosts do Assistente s o Nome da permiss o Descri o Exibir Coletores Ver a guia Coletores no Sentinel Control Center Ver a guia Hosts do Assistente no Construtor de Coletor Controlar Coletores Inclui todos os recursos como a permiss o Exibir Coletores Permite o comando e o controle de Coletores do Sentinel Control Center Permite o comando e o controle de coletores no Construtor de Coletor do Assistente Administra o do Coletor Inclui todos os recursos como a permiss o Comandar Coletores No Construtor de Coletor edi o e implanta o do Coletor No Construtor de Coletor cria o edi o compila o depura o de Coletores No Construtor de Coletor upload e download de Coletores No Construtor de Coletor exporta o de hosts do Assistente No Construtor de Coletor adi o edi o e exclus o de portas No Construtor de Coletor defini o de op es de porta o O comando e o controle consistem em iniciar parar portas espec ficas iniciar parar todas as portas reiniciar hosts renomear hosts Gerenciamento de Host do Assistente Os seguintes temas ser o explicados neste cap tulo 2 2
64. entes e transit rios Para obter informa es sobre a configura o do valor de Rx Tx para esse tipo de conex o v para se o Configurando o valor de Rx Tx para conex o persistente e transit ria Tipo Rx Tx Para obter mais informa es sobre a configura o de coletores com um tipo de conex o persistente consulte a documenta o do coletor como Collector Check Point Firewall e VPN localizada em workbench home elements lt Nome do coletor gt idocs Tipo de conex o de processo transit rio O tipo de conex o de processo transit rio usado para iniciar um processo transit rio quando a porta iniciada O processo comunica se entre o Coletor designado a essa porta e um aplicativo externo atrav s de estados de recebimento e transmiss o Um processo transit rio pode ser iniciado v rias vezes O processo encerrado pela porta como parte de seu processo de encerramento NOTA Se voc selecionar o processo persistente ou o processo transit rio o valor de Rx Tx dever incluir o caminho e o nome do arquivo do processo a ser executado Voc pode usar o caminho completo e o nome do arquivo ou um caminho relativo e o nome do arquivo para Y WORKBENCH HOMEY Por exemplo Caminho completo C lArquivos de Programas CiscolCsids client start Construindo e mantendo coletores 3 13 Caminho relativo XelementsiCiscolCsids client start No caso do processo persistente ser pressuposto o processo r
65. est dividida em cinco volumes S o eles Volume I Guia de Instala o do SentinelTM 5 Volume II Guia do Usu rio do SentinelTM 5 Volume II Guia do Usu rio do Assistente do SentinelTM 5 Volume IV Guia de Refer ncia do Usu rio do SentinelTM 5 Volume V Integra o de Terceiros do SentinelTM 5 Volume I Guia de Instala o do Sentinel Este guia explica como instalar Sentinel Server Construtor de Coletor Assistente Console do Sentinel Gerenciador de Coletor do Assistente Mecanismo de Correla o do Sentinel Advisor Crystal Reports do Sentinel Volume Il Guia do Usu rio do Sentinel Este guia aborda o seguinte Opera o do Console do Sentinel Configura o de Eventos Recursos do Sentinel para Relev ncia Comercial Arquitetura do Sentinel Servi o de Mapeamento Comunica o do Sentinel Gera o de relat rios de hist rico Encerramento Inicializa o do Sentinel Gerenciamento de Host do Assistente Avalia o de vulnerabilidade Incidentes Monitoramento de eventos Casos Filtragem de eventos Gerenciamento de usu rios Correla o de eventos Workflow Gerenciador de Dados do Sentinel Volume III Guia do Usu rio do Assistente Este guia aborda o seguinte Opera o do Construtor de Coletor Gerenciamento de Host do Assistente Assistente Constru o e manuten o de coletores Gerenciador de Coletor Assistente
66. eter 5 udp wrapper app parameter 6 514 wrapper app parameter 7 connector wrapper app parameter 8 9091 Por exemplo se voc quiser modificar as configura es da porta para o seguinte Escuta na porta UDP 4514 para mensagens do syslog Escuta na porta TCP 4168 para mensagens do syslog Escuta na porta TCP 4991 para conex es do conector A se o do syslog conf indicada acima deve ser modificada para wrapper app parameter 3 tcp wrapper app parameter 4 4168 wrapper app parameter 5 udp wrapper app parameter 6 4514 wrapper app parameter 7 connector wrapper app parameter 8 4991 Por padr o a configura o do proxy syslog definida para aceitar as conex es de clientes de qualquer host Para aumentar a seguran a poss vel configurar o proxy syslog para que aceite somente as conex es de clientes que residam no mesmo host Essa uma precau o de seguran a j que n o h privacidade controle de acesso nem autentica o entre os conectores clientes e o proxy Os switches a seguir realizam essa tarefa private Escuta em busca de conex es do conector no loopback shared Escuta em busca de conex es do conector no localhost o padr o O switch shared instruir o proxy a vincular a escuta da conex o de clientes a um soquete acess vel a hosts remotos Para editar essas configura es modifique a seguinte se o do arquivo syslog conf wrapper app parameter 2 shared Por exemplo para permitir somente c
67. eventos iniciais de dispositivos e programas de seguran a e que possibilita a sa da de eventos normalizados que podem ser correlacionados informados e usados para resposta a incidentes O software Sentinel vem com coletores do n vel da camada 1 Visite o Sentinel Customer Portal para fazer download de coletores adicionais http Awww esecurityinc com Eventos de dispositivos de seguran a exemplo IDS Firewalls S O Roteadores Servidores Web Bancos de dados Switches A gt Ss Mainframe Gerenciador de Coletor do Assistente Sentinel Consultor Antiv rus Coletar Normalizar An lise em tempo real gt Gerador do Coletores 1 2 Os coletores s o usados para filtrar e padronizar dados de eventos cr ticos em um formato normalizado e disponibiliz lo ao processo do Sentinel Existem tr s n veis de Coletores mostrados a seguir Coletores Suportados T1 trata se de coletores a documentados n dotados de metadados o dispon veis a todos os clientes n com Suporte T cnico Coletores Documentados T2 trata se de coletores o destinados biblioteca de coletores a documentados o dotados de metadados o baseados em gabaritos padr o do Sentinel a com Suporte T cnico limitado Guia do Usu rio do Assistente do Sentinel Coletores de Exemplo T3
68. eventos s o enviados ao Sentinel por uma rede usando o protocolo SNMP As v1 v2 e v3 do SNMP s o aceitas Para habilitar o Sentinel a receber detec es de SNMP necess rio criar um coletor do Assistente que use o tipo de conex o Rx Tx de detec o de SNMP Voc pode definir as configura es de detec o de SNMP para especificar os par metros que permitir o aos coletores de SNMP do Assistente repassar detec es ao Sentinel como eventos bin rios A janela Configura o de Detec o de SNMP usada para definir configura es para coletores de SNMP do Assistente inclusive a porta usada para detec es de SNMP c digos de detec o autentica o e informa es de criptografia Construindo e mantendo coletores 3 17 3 18 Como acessar a janela Detec o de SNMP qr OD CBO a No Construtor de Coletor atribua um nome de porta ao coletor de SNMP Em Tipo de Rx Tx selecione Detec o de SNMP Clique o bot o direito do mouse no nome da porta e selecione Editar Valor de Rx Tx Digite as informa es de SNMP NOTA A porta de detec o de UDP padr o 162 Verifique se essa porta est dispon vel Em caso negativo voc pode escolher outro n mero de porta NOTA Diferentemente de outras portas de coletores o campo Valor de Rx Tx ser preenchido de acordo com suas configura es da janela Configura o de Detec o de SNMP No caso de um coletor de SNMP n o poss vel editar manualment
69. inicializa o ou backout para ser usado por uma porta As portas possibilitam que um coletor localize os hosts do Assistente na rede fornecendo o endere o IP ou nome de arquivo desses hosts Elas tamb m fornecem ao Sentinel informa es sobre a localiza o de sensores e o Coletor usado para gerenciar dados desses sensores As op es a seguir s o configur veis para portas Tipo de conex o o Serial dados lidos de uma porta serial RS 232C o Soquete uma conex o de soquete TCP n Arquivo novo l somente dados de evento de seguran a que s o adicionados a um arquivo depois que o script iniciado l a partir do final do arquivo o Arquivo todos l todos os dados de evento de seguran a em um arquivo D Processo Persistente inicia um processo persistente quando a porta iniciada comunica se entre o Coletor designado quela porta e um aplicativo externo atrav s do recebimento e da transmiss o de estados e continua a executar para o arquivo ativo da porta n Processo Transit rio comunica se entre o Coletor designado quela porta e um aplicativo externo atrav s de estados de recebimento e transmiss o O processo transit rio pode ser iniciado v rias vezes Introdu o ao Assistente 1 3 o SNMP recebe detec es de SNMP v1 v2 e v3 8 Nenhum Nome do coletor poss vel nomear copiar e adicionar coletores Quando um gabarito usa o comando de an lise LOOKUP um bloco espec fico de
70. ions Startup Sequence default v I Trust Device Time M Run Port At Startup OK i Clique em Gravar Clique na guia Coletores clique o bot o direito do mouse no arquivo de gabarito e selecione Criar Script Clique em Arquivo gt Upload Download Clique o bot o direito do mouse no coletor e clique em Fazer Upload de Coletor Clique no bot o Upload Download 4 A janela Upload Download exibida Na janela Upload Download clique na guia Coletores Na lista suspensa selecione o coletor para upload Clique em Upload Na primeira vez que fizer isso voc ser solicitado a fornecer a senha do Gerenciador de Coletor mesmo no caso de um host local do Assistente A janela Andamento da Transfer ncia aberta e mostra o andamento do upload NOTA Voc pode usar a janela Andamento da Transfer ncia para reiniciar hosts ap s uma transfer ncia Fazendo upload de um coletor para v rios hosts 2 14 Fazendo o upload de um coletor para v rios hosts ATEN O Se voc fizer upload de um host com um coletor com o mesmo nome de um coletor do host local o coletor do host remoto ser sobregravado sem que haja aviso Se o coletor j estiver configurado corretamente e voc tiver criado um script pode pular para as etapas 2 a 11 2 Clique na guia Hosts do Assistente e selecione um host Guia do Usu rio do Sentinel Wizard So pO sl ON 10 11 12 13 14 15 16 Na
71. letores 2 Clique o bot o direito no mouse no arquivo de pesquisa e clique em Renomear Arquivo de Pesquisa 3 Digite o novo nome e pressione Enter Gerenciando hosts do Assistente 2 9 Apagando um arquivo de pesquisa Apagando um arquivo de pesquisa 1 Clique na guia Coletores para abrir o painel de rvore Coletores 2 Clique o bot o direito no mouse no arquivo de pesquisa e clique em Apagar Arquivo de Pesquisa Apagando um script Apagando um script 1 H duas formas de apagar um script Na rvore Coletor clique o bot o direito do mouse em um script e clique em Apagar Clique o bot o direito do mouse no script na coluna Scripts de Inicializa o ou na coluna Scripts de Backout e selecione Apagar Script Apagando uma sequ ncia de inicializa o Apagando uma segii ncia de inicializa o 1 No painel Scripts de Inicializa o selecione a sequ ncia de inicializa o no menu suspenso para que o nome da segii ncia seja exibido na caixa Scripts de Inicializa o 2 Clique o bot o direito do mouse no script na rvore Coletores e selecione Apagar Sequ ncia de Inicializa o Atual A sequ ncia de inicializa o removida da lista Scripts de Inicializa o NOTA Se a sequ ncia de inicializa o padr o for apagada os scripts atribu dos a ela ser o removidos da coluna Scripts de Inicializa o mas o padr o ainda ser exibido no menu Seq ncias de Inicializa o Portas do As
72. limitador usada NOTA No caso dos tipos de recebimento de tempo de espera do delimitador e espera do delimitador o processamento no script somente prossegue depois que a string conclusiva do delimitador avaliada como verdadeira e o n mero m nimo de bytes recebido ou quando o tempo de espera alcan ado no caso da op o tempo de espera do delimitador Bytes M nimos O n mero m nimo de bytes a quantidade de bytes que precisa ser recebida para que o Assistente use o per odo de tempo de espera padr o ou d continuidade ao processamento O processamento no script somente continua ap s o recebimento do n mero m nimo de bytes String conclusiva do delimitador Essa string conclu da quando o tipo de recebimento o tempo de espera de delimitador ou a espera de delimitador O processamento do coletor somente passa para o pr ximo estado depois que a string conclusiva de delimitador faz a correspond ncia dos dados lidos e o n mero m nimo de bytes recebido A string conclusiva de delimitador uma express o regular compat vel com POSIX 1003 2 Cen rios de tipos de recebimento Existem quatro tipos de cen rios de tipo de recebimento S o eles Cen rio de tempo de espera Depois que o Estado Receber digitado o processamento interrompido at que os bytes m nimos sejam lidos ou at que RX TIMEOUT DELAY segundos se decorram Depois que o Assistente recebe o n mero m nimo de bytes es
73. m Por exemplo StateDecideString test StateDelimiterString 123 Digitando um comando de an lise no Editor Visual Existem dois m todos para digitar um comando de an lise usando o Editor Visual ou o Editor de Texto N o use mais do que 4096 comandos Digitando um comando de an lise no Editor Visual 1 Selecione um estado de an lise no Editor de Gabaritos A guia Editor Visual aberta por padr o quando voc clica em um gabarito para abri lo Construindo e mantendo coletores 3 5 Template Editor Parsing Em Parameters ED 6 8 e e Je ap 4 gt M State 3 Parsing sa Visual Editor Text Editor A Debugger E El Commands E State Script aA AB H Comments caa CD PRINTFI s Tmp The agent v E C3 E F G a PRINTF s Tmpl Zs BadCor DISPLAY s Tmp K Ss ALERT s Tmpl s Tmp 5 DELP IDZAT xc7or lt lt uwuvE 2 No Editor Visual arraste os comandos de an lise para o lado direito do painel State 3 Parsing S visual Editor Text Editor Ml Debugger E E State Script E Comments PRINTF s_Tmp The agent v PRINTF s_Tmp1 s BadCor D DISPLAY s_Tmp iK ALERTI s Tmpl s Tmp 5 3 Digite os valores dos argumentos na janela Editor de Comandos Popup Selecione um tipo os tipos para cada comando de an lise s o descritos no Guia de Refer ncia do Usu rio do Sentinel Especifique um valor os valores s o definidos para um aplica
74. nel para Check Point Firewall amp VPN Collector via OPSEC ou acesse o eSecurity Customer Portal http Awww esecurityinc com O rdep client um aplicativo Java extrai dados de sensores remotos do Cisco IDS v4 0 que executam RDEP O rdep client se conecta ao sensor IDS remoto usando uma conex o HTTP ou HTTPS Ap s a conex o do cliente ele abre uma inscri o ou usa uma inscri o aberta anteriormente A inscri o descreve o tipo de dados que o sensor IDS enviar ao cliente Para modificar o tipo de dados a ser recuperado por uma nova inscri o edite o arquivo de configura o rdep client Usando a inscri o o cliente inicia uma solicita o de dados de evento do sensor IDS Os dados de evento s o retornados pelo sensor IDS em formato XML convertido no formato nome valor pares pelo cliente RDEP do Sentinel e depois analisados e normalizados pelo coletor O coletor repassa o evento normalizado ao Sentinel Esse aplicativo instalado com o Gerenciador de Coletor em WORKBENCH HOME cisco rdep client Para obter mais informa es sobre RDEP consulte o arquivo README que acompanha o aplicativo a documenta o de coletores do Sentinel para Cisco IDS 4 0 via RDEP ou acesse o eSecurity Customer Portal http www esecurityinc com Configura o de Detec o de SNMP O Sentinel capaz de receber detec es de SNMP que representem eventos de seguran a que tenham ocorrido em um sensor em uma rede Esses
75. no painel Informa es de Porta do Construtor de Coletor e clique em Editar Valor de Rx Tx poss vel configurar o Assistente para Receber detec es em portas diferentes da porta UDP 162 o padr o Criar um script nico de an lise de Assistente para processar detec es de v rios endere os IP com informa es como v rios c digos de detec o e v rios identificadores de objetos de detec o OIDs Permitir a correspond ncia de express es regulares POSIX no endere o IP no identificador de objeto de empresa OID no c digo de detec o e nos campos de OID de detec o Ap s decodificar a detec o o Assistente define valores para vari veis contidas no script Endere o s IP de coletores 3 20 Endere o s IP de coletores s o endere os IP desejados para o recebimento de detec es Separe os v rios valores com um ponto e v rgula Voc pode usar o formato lt express o gt para fazer a correspond ncia de express es regulares compat veis com POSIX O asterisco um modificador do caractere ou da express o precedente e o ponto final Poder ser usado como um caractere curinga e poder aparecer em qualquer parte da string se express es regulares forem usadas As express es regulares mais comuns que poder o ser usadas s o 192 168 abc a zA Z0 9 corresponde a sequ ncias de caracteres de qualquer tamanho corresponde a segii ncias de caracteres que
76. ntifica o tipo de detec o SNMP v3 recebido Para fins de identifica o de detec o O OID da detec o de SNMP v3 assume o lugar do OID de empresa de SNMP v1 e c digos de detec o gen ricos espec ficos O nome de seguran a como conhecido o coletor de SNMP v3 que enviou a detec o Construindo e mantendo coletores 3 23 3 24 Guia do Usu rio do Sentinel Wizard Conector Syslog v1 0 2 NOTA O termo Agente sin nimo de Coletor De agora em diante Agentes ser o referidos como Coletores A Novell lan ou este conector syslog para facilitar a integra o entre os Coletores do Sentinel e os produtos que podem gerar mensagens de syslog O objetivo deste documento explicar a arquitetura a instala o o uso e as op es do conector syslog Arquitetura O conector syslog constitu do de duas partes Uma parte o proxy syslog e a outra o cliente do conector syslog O proxy syslog escuta nas portas UDP e TCP selecionadas Por padr o a porta UDP a 514 A porta TCP padr o 1468 normalmente usada pelo Cisco PIX para enviar mensagens do syslog atrav s do protocolo TCP Fonte de Syslog As fun es realizadas por cada componente do conector syslog s o descritas a seguir Proxy syslog a Escuta em uma porta TCP e ou UDP em busca de mensagens do syslog Analisa a mensagem de entrada procura de componentes de mensagem padr o do syslog Prioridade Data Nome de Host e Mensagem a Ca
77. o Gerenciador de Coletor eee eraeeareeeaaaararaaarenaa 2 3 Administra o do Gerenciador de Coletor eee eeera aerea aaaraeaa ceara anareaaaa 2 4 Iniciando o Construtor de Coletor ss taresesnisa sea ierspodua a en a Ga Lonas a a 2 6 Renomeando um host do Assistente errante aeareeaa aa area arareananaara nana area anaraana 2 6 Apagando um host do Assistente ar irerarena na aaaaaraaaa nana aa aaararaaaaaaaanananaa 2 7 Reiniciando um host do Assistente ie eerertaaaraeaaaaaraa nara eanaaaara aa aa area aneaanaa 2 7 Exportando um host do Assistente rita nana aaarara nana aa aaaraaeaa nana anananaa 2 7 Exibindo propriedades de hosts do Assistente rece eraeeareeeanaaraaaaeanaa 2 7 Editando um arquivo de gabarito e arariae na naaaanararaana nana aaanarenaaaaaaneananaa 2 8 Apagando um arquivo de gabarito ir raraeea near nana aaa near aaa aaara nana aaa araras 2 9 Renomeando um arquivo de pesquisa iiini eE ai Eiei daeina 2 9 Apagando um arquivo de pesquisa Apagando Um SCript EEEE E EE A Sado a Eds iZa E 28 Sat SOTO Sua REA Ba na Bea SU Apagando uma sequ ncia de inicializa o sirene aaaaarireaanananaaaananaa 2 10 Portas do Assistente sssenissai ares n long agapuo e onte tua reali sua desse nna ado a a ho nar isa eba abatido 2 10 Iniciando e parando uma porta do Assistente Interface do Usu rio
78. o de conex o de soquete O tipo de conex o de soquete ser usado se os dados forem lidos de uma conex o de soquete TCP necess rio especificar o endere o IP e o n mero da porta TCP do host remoto na caixa Valor de Rx Tx O endere o IP e o n mero da porta TCP precisam ser separados por dois pontos Por exemplo para especificar a porta SMTP digite o seguinte na caixa Valor de Rx Tx lt endere o IP gt lt porta gt Voc tamb m pode precisar colocar um processo de servidor de soquete TCP no host remoto e configur lo para que forne a dados porta TCP Para obter mais informa es sobre a configura o de coletores com esse tipo de conex o consulte a documenta o do coletor como Collectors Snort Cisco PIX e Solaris Syslog localizada em workbench home elements lt Nome do coletor gt idocs Tipo de conex o de novo arquivo O tipo de conex o de novo arquivo usado para ler somente dados de evento de seguran a que s o adicionados a um arquivo depois que o script iniciado Essa conex o abre esse arquivo e l a partir do final do arquivo necess rio especificar o caminho para o arquivo de registro na caixa Valor de Rx Tx Para obter mais informa es sobre a configura o de coletores com esse tipo de conex o consulte a documenta o do coletor como Collector Solaris Syslog localizada em workbench home elements lt Nome do coletor gt idocs Tipo de conex o de todos os arquivos O tipo de
79. o download de coletores de um host Selecione na lista os hosts do Assistente para os quais deseja fazer o upload de coletores Todos os hosts do Assistente na rede ser o automaticamente inclu dos na lista Os bot es indicam se a m quina do host est on line ou n o Clique em Selecionar Tudo para selecionar todos os hosts do Assistente na lista Clique em N o Selecionar Nenhum para desfazer a sele o de todos os hosts do Assistente na lista Clique em Upload para fazer upload dos coletores selecionados no s host s selecionado s Na primeira vez que fizer isso voc ser solicitado a fornecer a senha do Gerenciador de Coletor mesmo no caso de um host local do Assistente Fazendo download de um host Fazendo download de um host CUIDADO Se voc fizer download de um host com um coletor com o mesmo nome de um coletor do host local o coletor do host local ser sobregravado sem que haja aviso Gerenciando hosts do Assistente 2 15 Clique na guia Hosts do Assistente para abrir o painel de rvore Hosts Na rvore Hosts do Assistente clique no host para download Clique em Arquivo gt Upload Download Clique no coletor e selecione Fazer Upload de Coletor Clique no bot o Upload Download A janela Upload Download exibida O coletor selecionado fica marcado por padr o Clique em Download Na primeira vez que fizer isso voc ser solicitado a fornecer a senha do Gerenciador de Coletor mesmo no caso de
80. oletor de SNMP espec fico Separe os v rios valores com um ponto e v rgula Configura es de SNMP v2 v3 Nome s de seguran a Nome de usu rio usado para acessar o coletor Os nomes de seguran a distinguem mai sculas de min sculas Separe os v rios valores com um ponto e v rgula Autentica o M todo de autentica o Os valores s o 2 Nenhum Nenhuma autentica o realizada nas detec es do SNMP v3 2 MDS O nome de seguran a configurado para usar o algoritmo MDS a fim de criar uma assinatura digital para autentica o Chave de autentica o Senha usada para autenticar o usu rio no coletor Habilitada somente se a autentica o for a MDS Precisa ter no m nimo oito caracteres As chaves de autentica o distinguem mai sculas de min sculas A mesma chave precisa ser configurada no coletor de SNMP de envio Criptografia M todo de criptografia Os valores s o 2o Nenhum Nenhuma criptografia realizada nas detec es de SNMP v3 a DES Espera receber detec es criptografadas com o m todo de criptografia DES Data Encryption Standard Padr o de Criptografia de Dados Chave de criptografia Chave usada para decodificar detec es enviadas a coletores do Assistente Precisa ter no m nimo oito caracteres A chave de criptografia distingue mai sculas de min sculas Habilitada somente se o DES for selecionado na lista Criptografia Construindo e mantendo coletores 3 21
81. onex es de clientes do mesmo host voc deve modificar as configura es para o seguinte wrapper app parameter 2 private E poss vel configurar o proxy syslog para incluir em um arquivo de registro todas as mensagens recebidas O formato das mensagens aparecer da forma que o proxy syslog usaria se tivesse de retransmitir as mensagens para outro servidor syslog Como resultado o lt PRI gt ou a Prioridade usada pelo servidor syslog receptor para avaliar o Recurso e o N vel das mensagens ser apresentada no in cio de cada mensagem Esse tipo de registro habilitado pelo seguinte switch log lt nome do arquivo gt Nome do arquivo de registro ao qual se anexar Conector syslog A 5 Para habilitar esse tipo de registro adicione as duas linhas a seguir ao arquivo syslog conf ap s o ltimo wrapper app parameter wrapper app parameter 11 log wrapper app parameter 12 lt nome do arquivo gt Por exemplo para habilitar esse tipo de registro no arquivo ESEC HOME wizard syslog messages log voc deve modificar as configura es para o seguinte wrapper app parameter 7 connector wrapper app parameter 8 9091 wrapper app parameter 9 messageSize wrapper app parameter 10 5000 wrapper app parameter 11 log wrapper app parameter 12 messages log Se um caminho absoluto n o for especificado para o nome do arquivo o caminho ser relativo ao diret rio SESEC HOME wizard syslog NOTA O arquivo de registro pode se tornar m
82. ores NOTA O termo Agente sin nimo de Coletor De agora em diante Agentes ser o referidos como Coletores NOTA Para usu rios do MS SQL 2000 o tamanho do evento n o pode ser maior que 8KB Um Coletor respons vel pela an lise de dados de uma origem de eventos de seguran a e pelo envio de eventos para o Sentinel Coletores s o constru dos ativados e mantidos por meio do Construtor de Coletor do Assistente Clique na guia Coletores para exibir a rvore Coletores para ver todos os coletores e seus componentes no sistema Sentinel Wizard File Edit View Options Preferences Help la x Bl E O ojo a o Current Host Tanuki MAIN B E DemoEvents H E DemoVulnerabiltyUpload SendMultipleE vents SendOneE vent TI CHKP FRWL xxx OPSC By TA CISC Pixx 06xx LOGF Bv t T1 GNUx NMAP 0355 LOGF By T1 GNUx SNRT 0200 LOGF By T1 GNUx SNRT 0200 LOGF By B agent B agent parsing B alert style auto B auto custom main Rename_Customer_CT1_Filter Rename Customer CT2 Filter Rename Customer CUSTOM Rename Customer DHN Filter Rename Customer DIP Filter Rename Customer DP Filter Rename Customer DUN Filter E Rename Customer EVT Filter E Rename Customer RT1 Filter dee EB Rename fi istnmer R y Fra PCT D Es Agents E Wizard Hosts Es Template Editor main Pg Parameters Bjel Yes o Yes 5 e Ye e TES fes State 1 Parsing nnna Parsing E
83. os do SentinelTM Notas de vers o Entrando em contato com a Novell Site na Web http www novell com Suporte T cnico da Novell http www novell com support index html Suporte T cnico Internacional da Novell http support novell com phone html sourceidint suplnav4 phonesup Suporte Pessoal http support novell com support options html sourceidint suplnav supportprog Para obter suporte 24 horas 7 dias por semana ligue 800 858 4000 1 10 Guia do Usu rio do Assistente do Sentinel Gerenciando hosts do Assistente NOTA O termo Agente sin nimo de Coletor De agora em diante Agentes ser o referidos como Coletores Os hosts do Assistente s o m quinas que t m o Gerenciador de Coletor instalado Os hosts interagem com m quinas do Construtor de Coletor e com o Sentinel na rede Os coletores recebem e analisam dados Com base nesses dados os hosts enviam alertas ao Sentinel O Assistente automaticamente detecta hosts na rede e os adiciona lista da guia Host do Assistente N o poss vel adicionar hosts manualmente Voc pode renomear hosts existentes e apagar hosts que deixaram de estar fisicamente presentes e de se comunicar na rede O Construtor de Coletor coleta mensagens sobre a sa de nos hosts Se um host n o responder com uma mensagem sobre a sa de exibir um X vermelho na rvore Hosts do Assistente poss vel remover um host com um X vermelho mas se o Construtor de Coleto
84. ost e o produto n o estiverem na mesma m quina os dados necess rios poder o ser obtidos por meio de uma configura o de sistema de arquivos de rede como compartilhamento NFS Samba ou SMB Construir os coletores e inicializar as portas Se forem usados hosts remotos fazer upload dos arquivos de coletores para esses hosts remotos Inicializar a porta para executar os scripts de inicializa o as informa es coletadas ser o relatadas por meio do sistema Sentinel Guia do Usu rio do Sentinel Wizard Agentelorigem de dados no mesmo arquivo local do disco Iniciar O monitoramento ocorrer por meio de uma conex o serial RS 2320 Arede de origem de dados ou o host est local habilitado Sim Sim O monitoramento ocorrer por meio da leitura de um O monitoramento ocorrer por meio de uma conex o de soquete TCP A origem de dados pode ser acessada atrav s de um sistema de arquivos de rede Sim O monitoramento ocorrer por meio da leitura de um arquivo da unidade de rede GD Construindo um Coletor Conforme explicado anteriormente a constru o de um coletor exige a cria o do seguinte Arquivos de gabarito Arquivos de par metro Arquivos de pesquisa opcional Scripts Atribui o de um nome de porta do Assistente a um coletor Criando e configurando arquivos de gabarito Criando e configurando arquivos de gabarito
85. p www eskimo com weidai License txt Crystal Reports Developer e Crystal Reports Server Copyright O 2004 Business Objects Software Limited DataDirect Technologies Corp Copyright O 1991 2003 edpFTP licenciado sob a Licen a P blica GNU Menos Restritiva Para obter mais informa es isen es de responsabilidade e restri es consulte http www enterprisedt com products edtftpj purchase html Enhydra Shark licenciado sob a Licen a P blica GNU Menos Restritiva dispon vel em http shark objectweb org license html ICEsoft ICEbrowser ICEsoft Technologies Inc Copyright O 2003 2004 ILOG Inc Copyright O 1999 2004 Installshield Universal Copyright O 1996 2005 Macrovision Corporation e ou Macrovision Europe Ltd Java 2 Platform Standard Edition Copyright O Sun Microsystems Inc Para obter mais informa es isen es de responsabilidade e restri es consulte http java sun com j2se 1 4 2 j2re 1 4 2 10 license txt O Java 2 Platform tamb m pode conter os seguintes produtos de terceiros a CoolServlets O 1999 2 DES e 3xDES O 2000 por Jef Poskanzer 2 Crimson O 1999 2000 The Apache Software Foundation 2 Xalan J2 O 1999 2000 The Apache Software Foundation a NSIS 1 0 O 1999 2000 Nullsoft Inc a Eastman Kodak Company O 1992 a Lucinda uma marca comercial registrada ou marca registrada da Bigelow e Holmes 2 Taligent Inc 2 IBM algumas partes dispon veis em http oss software ibm com icu4 Para obte
86. palavras de idioma algum pois existem v rios programas de invas o de senha capazes de verificar milh es de possibilidades de combina es de palavras em segundos 5 Escolha uma senha de que possa se lembrar mas que seja complexa Por exemplo Mft5 AIdade Meu filho tem 5 anos de idade OU EmnCh5 a Eu moro na Calif rnia h 5 anos Mudando a senha do Gerenciador de Coletor para Windows 1 No prompt de comando v para Yworkbench home 2 Digite o seguinte comando CUIDADO Voc n o ser solicitado a fornecer a confirma o de senha nem ser solicitado a fornecer a senha antiga agent manager bat password lt nova senha gt 3 Para que a senha tenha efeito No prompt de comando digite o seguinte net stop agent manager net start agent manager Gerenciando hosts do Assistente 2 5 No Construtor de Coletor clique o bot o direito do mouse no computador do host e selecione reiniciar host Clique em Iniciar gt Configura es gt Painel de Controle Clique duas vezes em Servi os e selecione Gerenciador de Agente Pare e inicie o servi o Gerenciador de Agente Mudando a senha do Gerenciador de Coletor para UNIX NOTA Para obedecer s r gidas configura es de seguran a exigidas pela Certifica o de Crit rios Comuns altamente recomend vel que uma senha forte seja usada com as seguintes caracter sticas 1 Escolha senhas com no m nimo 8 caracteres que incluam ao menos um
87. pecificado ou depois que o tempo de espera excedido o processamento da porta do coletor passa para o pr ximo estado do script Guia do Usu rio do Assistente do Sentinel Cen rio de espera O tipo de Estado Esperar Recebimento aguarda at que o coletor do Assistente receba o n mero m nimo de bytes especificado na caixa Bytes M nimos Depois que o Assistente recebe mais do que n mero minimo de bytes especificado na caixa Bytes M nimos o processamento da porta do coletor passa para o pr ximo estado do script Se o n mero m nimo de bytes n o for recebido o processamento da porta do coletor nunca exceder o tempo de espera Cen rio de tempo de espera do delimitador Se a string conclusiva do delimitador for encontrada ap s o recebimento da posi o de bytes m nimos definida na caixa Bytes M nimos os dados at o delimitador e com o delimitador incluso s o armazenados no Buffer Rx Se a string conclusiva do delimitador n o for encontrada n o haver transfer ncia de dados para o buffer de recebimento e o tempo de espera do processamento da porta do coletor ser excedido no per odo de tempo de espera padr o Cen rio de espera do delimitador Se a string conclusiva do delimitador for encontrada ap s o recebimento do n mero m nimo de bytes definido na caixa Bytes M nimos o processamento da porta do coletor prosseguir e os dados ser o processados Se a string conclusiva do delimitador n o for encontrada n
88. r de Comando Os comandos s o exibidos na coluna An lise 7 Ap s a defini o de todos os valores necess rio compil los para criar um script V para a se o Construindo scripts Scripts Os scripts s o gerados com base em gabaritos E poss vel gerar v rios scripts com base em um gabarito O Gerenciador do Coletor permite Construir um script Depurar um script Atribuir uma sequ ncia de inicializa o a um script Construindo scripts Construindo um script 1 Clique na guia Coletores para abrir o painel de rvore Coletores 2 No painel esquerdo selecione o gabarito com base no qual voc est construindo os scripts 3 Selecione Arquivo gt Criar Scripts Na guia Editor de Gabaritos arraste um script do gabarito para a coluna Scripts de Inicializa o ou Scripts de Backout no painel direito Customer Actions M Startup Scripts eSecurity Actions eSecurity lentStyle default eSecurity CP keywords eSecurity Parsing E8 Parsing B E i Comments Construindo e mantendo coletores 3 9 Os scripts s o executados na ordem em que s o exibidos nas colunas Scripts de Inicializa o e Scripts de Backout Para reorganizar a ordem dos scripts arraste os para cima ou para baixo nas colunas NOTA O script final de uma sequ ncia de backout precisa terminar com o estado de processamento de parada Opcional Depure usando o depurador Clique em Arquivo gt G
89. r detectar comunica es desse host ele reaparecer na rvore Hosts do Assistente De modo semelhante se um host que j est se comunicando for removido a mensagem sobre a sa de o retornar rvore Hosts do Assistente E Wizard Hosts jo E Tanuki 6 i Tanuki MAIN Quando um host detectado atribu do a um n mero de identifica o Os coletores mais recentes podem ser encontrados no CD do Service Pack Para obter mais informa es consulte as Notas de Vers o do Service Pack NOTA Para obter mais informa es sobre a configura o dos Coletores Demo consulte o Guia de Instala o do Sentinel Teste da Instala o Como um host do Assistente obt m dados de coletores Para habilitar um host do Assistente uma m quina com o Gerenciador de Coletor instalado a receber dados de um coletor fa a upload do coletor de uma m quina do Construtor de Coletor para o host do Assistente atrav s de uma porta configurada no Construtor de Coletor Ap s o upload de um coletor para um host ele pode receber dados desse coletor Cada host do Assistente pode ser conectado a v rias portas e monitorar dados de v rios coletores Um host do Assistente pode ter portas com coletores que se conectam a v rios tipos diferentes de fontes de dados Deve ser feito upload de coletores espec ficos em um host para que sejam executados Al m disso as portas fornecem informa es sobre o local da fonte de dados ao Ger
90. r mais informa es sobre essas tecnologias de terceiros e suas isen es de responsabilidade e restri es associadas consulte http java sun com j2se 1 4 2 j2se 1 4 2 thirdpartylicensereadme txt JavaBeans Activation Framework JAF Copyright O Sun Microsystems Inc Para obter mais informa es isen es de responsabilidade e restri es consulte http www java sun com products javabeans glasgow jaf html e clique em download gt license JavaMail Copyright O Sun Microsystems Inc Para obter mais informa es isen es de responsabilidade e restri es consulte http www java sun com products javamail downloads index html e clique em download gt license Java Ace por Douglas C Schmidt e seu grupo de pesquisa na Washington University e Tao com agrupadores ACE por Douglas C Schmidt e seu grupo de pesquisa em Washington University University of California Irvine e Vanderbilt University Copyright O 1993 2005 Para obter mais informa es isen es de responsabilidade e restri es consulte http www cs wustl edu schmidt ACE copying html e http Awww cs wustl edu pjain java ace JACE copying html Java Authentication e Authorization Service Modules licenciados sob a Licen a P blica Geral Menos Restritiva Para obter mais informa es isen es de responsabilidade e restri es consulte http free tagish net jaas index jsp Java Network Launching Protocol JNLP Copyright O Sun Microsystems Inc Para o
91. ravar Para que as mudan as tenham efeito pare e inicie a porta usando os bot es Parar e Iniciar na barra de ferramentas oie Habilitando o AutoBuild para coletores anteriores Vers o 5 0 A habilita o do recurso AutoBuild permite ignorar a etapa da cria o do script quando coletores s o configurados e distribu dos Para habilitar o AutoBuild para coletores anteriores Vers o 5 0 l 3 10 Copie os seguintes arquivos de um coletor v5 existente e cole os no coletor desejado para habilitar o AutoBuilding auto tem auto asd auto lkp auto par Renomeie o arquivo de gabarito como main tem Voc pode fazer isso no Construtor de Coletor Build Scripts Renar Renar Renar Delete Template Realce o arquivo de gabarito renomeado e clique na guia Par metros Mude o cabe alho de coluna com o nome do arquivo de script por exemplo 14 1 para principal e pressione a tecla Enter Script Files main Parameters Clique no bot o Gravar Na cadeia de inicializa o clique o bot o direito do mouse e arraste o auto asd antes do principal Guia do Usu rio do Sentinel Wizard O Demo sset j M Startup Scripts a ExploitDetect test E SendMultipleE vents defaut O 9 SendOneE vent Ti CHKP FRiWL uuex O T CISC Plxw 06xx LOC Ti GNUx NMAP 0355 agent alert style EE auto Depurando um script Quando o processo de depura o iniciado
92. re a adi o de estados a um gabarito consulte Adicionando um estado a um arquivo de gabarito 9 Clique em Gravar Adicionando um estado a um arquivo de gabarito 3 4 O processamento de todos os coletores come a no estado 1 independentemente do local onde esse estado exibido no gabarito Supondo que o estado 1 um estado de processamento insira o novo estado ap s o estado 1 O Construtor de Coletor atribui automaticamente o n mero 1 ao primeiro estado recomend vel que esse primeiro estado contenha somente um comando de an lise BREAKPOINTO A coloca o de apenas um ponto de interrup o ap s o Estado 1 facilita a depura o Durante a depura o o analisador p ra automaticamente no estado seguinte Ao construir um gabarito comece com um estado de an lise ponto de interrup o somente Em seguida adicione o estado de trabalho estado Receber estado Analisar etc no Estado 2 Se precisar adicionar um estado ao in cio do gabarito insira o ap s o BREAKPOINT somente N o apague o estado de an lise BREAKPOINT somente a menos que seja necess rio adicionar outro estado no in cio do gabarito Opcionalmente voc pode digitar coment rios nesse estado BREAKPOINT somente sobre a funcionalidade do gabarito Como adicionar um estado a um gabarito 1 Clique na guia Coletores para abrir o painel de rvore Coletores 2 Na rvore Coletores selecione um gabarito para exibir o Editor de Ga
93. recebimento Existem quatro tipos de recebimento no editor de gabarito S o elas Tempo de Espera Permite que um script continue a ser processado mesmo que n o sejam recebidos dados em um per odo de tempo especificado A sele o do tempo de espera permite ao Assistente receber dados at que o per odo de tempo de espera seja atingido conforme definido pela vari vel RX TIMEOUT DELAY Espera Usado principalmente no momento do recebimento de mensagens de eventos n o solicitadas O Assistente aguarda a dura o do tempo de espera at que sejam recebidos dados NOTA No caso dos tipos de recebimento de tempo de espera e espera o processamento no script somente prossegue depois que o n mero m nimo de bytes recebido ou quando o tempo de espera alcan ado no caso dessa op o tempo de espera do delimitador Usa uma string de caracteres predefinida para indicar ao Assistente que dados foram recebidos Os dados da caixa String Conclusiva do Delimitador s o comparados com os dados do buffer de recebimento medida que cada byte recebido Espera do delimitador Usado quando mensagens n o solicitadas s o aguardadas Uma string de caracteres definida pelo usu rio indica ao Assistente que dados foram recebidos O Assistente usa os dados da caixa String Conclusiva do Delimitador para verificar dados medida que cada byte recebido O par metro RX TIMEOUT DELAY n o tem efeito quando a op o espera do de
94. reito do mouse em um host e clique em Iniciar Portas Somente oss vel reiniciar hosts do Assistente ativos Exportando um host do Assistente Exportando um host do Assistente 1 Clique na guia Hosts do Assistente para abrir o painel de rvore Hosts do Assistente Selecione um host 2 Clique em File Arquivo gt Export Host Exportar Host O subdiret rio a seguir criado SWORKBENCH HOMES upload lt nome do host gt Esse subdiret rio pode ser movido para uma m quina remota usando o Secure Shell SSH ou um disco Depois que o subdiret rio for colocado na m quina remota execute o comando uploadhost Isso copia os arquivos necess rios nos diret rios apropriados Gerenciando hosts do Assistente 2 7 NOTA Se as configura es SNMP forem mudadas o Construtor de Coletor n o ser capaz de se comunicar com o m quina remota do momento em que o bot o Exportar for pressionado at o upload dos arquivos exportados do coletor Exibindo propriedades de hosts do Assistente Exibindo propriedades de hosts do Assistente l 2 Clique na guia Hosts do Assistente para abrir o painel de rvore Hosts do Assistente Na rvore Hosts do Assistente clique o bot o direito do mouse no host e clique em Propriedades A janela Propriedades do Assistente exibe as informa es a seguir Nome JD HostName Endere o IP Vers o Uptime Clique em OK para fechar a janela Propriedades NOTA Se o host n o e
95. retorna o resultado sa da padr o no formato nome valor par A consulta SQL para execu o lida na entrada padr o ou em um arquivo O nome no resultado nome valor par extra do do nome da coluna do conjunto de resultados Por isso o nome de coluna desejado deve ser declarado explicitamente no SQL A sintaxe exata varia de acordo com o servidor de banco de dados Esse aplicativo instalado com o Gerenciador de Coletor em WORKBENCH HOME dbconnector Guia do Usu rio do Sentinel Wizard Para obter mais informa es sobre o uso do DBConnector consulte o arquivo README que acompanha o aplicativo a documenta o de coletores do Sentinel para Entercept Host IDS 4 0 via JDBC ou acesse o eSecurity Customer Portal http www esecurityinc com Cliente Lea RDEP O lea client do Sentinel usa a API de Exporta o de Registros do OPSEC para extrair dados do Check Point Firewall 1 e ger lo no formato nome valor par O lea client geralmente usado para alimentar dados no coletor do Check Point Firewall l1 do Sentinel no qual os dados s o normalizados e dependendo da a o do evento por exemplo eliminar rejeitar ou aceitar um alerta enviado ao Sentinel Server Esse aplicativo instalado com o Gerenciador de Coletor em WORKBENCH HOME checkpoint Para obter mais informa es sobre o Ponto de Verifica o lea client consulte o arquivo README que acompanha o aplicativo a documenta o de coletores do Senti
96. rta direita clique duas vezes em Novo digite o nome da porta e pressione Enter Selecione um tipo de Rx Tx Especifique op es de configura o com base no tipo de conex o selecionado Para conex es seriais e de soquete Na caixa Nome da Porta clique o bot o direito do mouse no nome da porta e selecione Editar Valor de Rx Tx Especifique um dos seguintes conjuntos de op es Para conex es seriais Selecione a taxa de transmiss o o tamanho de palavra a paridade e os bits de fim Clique em OK a Para conex es de soquete Digite o endere o IP e o n mero da porta da m quina do host separados por dois pontos Se nenhum estado de recebimento for usado defina o tipo como Nenhum e clique em OK Para todos os outros tipos de conex o Clique duas vezes na c lula Valor de Rx Tx digite as informa es apropriadas e pressione Enter No caso do tipo de conex o de detec o de SNMP consulte Configura o de Detec o de SNMP Clique duas vezes na c lula Coletor e selecione o nome de um coletor Clique o bot o direito no mouse no nome da porta e clique em Outras Op es de Porta A caixa de di logo Outras Op es de Porta exibida Nessa caixa de di logo marque ou desmarque a caixa de sele o Executar Porta na Inicializa o selecione uma Segii ncia de Inicializa o e clique em OK Se estiver criando uma porta para o host local clique em Arquivo gt Gravar e selecione Informa es
97. s ED e E NE a E N aaa A 3 USO E E E E E E E E E E uma E ne Su i Loba Seta A 4 Servidor proxy SySIOO isesi a aaa aa ae E A a a e a a Tas Seda AEE ARE A 4 Cliente do conector SyS a a E a rea ra r a a aeaea Aa a aeaa ea aee AAS a Ea E ORE nestas sadia A 6 Configurando o registro do servidor proxy syslog e erreeeaeaer aerea near anateana A 9 Exemplo de argumentos da linha de comando rita aaaaararaaa aaa aaananaa A 10 Tabela de recursos aceitos iiiki iana aeai Dis una aven sido cubas aaoi didata eaea opina duna Eta A 12 Tabela de n veis aCeNoOS 2 228 2massiirebostio ae io rena d ia Cabin ame si bad ee a nabo Afro a E e cado iiia A 12 Notas de distribui o sssri sense sas rs sem pusaddendue os da Use Sea Sa SS asus ridade de a dana L ieii ddie eiaeiiai Lie censo A 12 Mensagens retransmitidas ao proxy syslog e rerreeareeaaaara aerea naarenaaaaaaa A 12 B Configurando um servidor de soquete em um host UNIX B 1 2 Guia do Usu rio do Sentinel Wizard Pref cio A documenta o t cnica do Sentinel consiste no guia de refer ncia e opera o para finalidade geral Essa documenta o destinada aos profissionais de seguran a da informa o O texto foi desenvolvido para ser usado como fonte de refer ncia sobre o Sistema de Gerenciamento de Seguran a Empresarial do Sentinel A documenta o adicional est dispon vel no portal do Sentinel na Web A documenta o t cnica do Sentinel
98. se do Estado Clique duas vezes em um comando de an lise para abrir o Editor de Comando Preencha as caixas Tipo e Valor para completar a edi o Para obter mais informa es sobre as descri es dos comandos de an lise consulte o Guia de Refer ncia do Usu rio do Sentinel Criando e configurando arquivos de par metro Criando e configurando arquivos de par metro l Clique na guia Coletores 2 Selecione um gabarito e clique na guia Par metros no painel direito Construindo e mantendo coletores 3 7 Template Editor Parsing Elm Parameters e ET Bitmap Rx TIMEOUT DELAY Res lerting Style See Agent standards for valid Generic ResName FRWL Res SubRes lerting Style See Agent standards for valid 4 Clique duas vezes no bot o Novo na primeira coluna da tabela Par metros Digite o nome do novo par metro esse o nome do script como 14 1 e pressione Enter Opcional Clique o bot o direito do mouse no bot o Bitmap segunda coluna segunda linha e clique em Atribuir Bitmap Na caixa de di logo Atribui o de Bitmap selecione um bot o Bitmap Clique duas vezes em cada uma das novas caixas de par metro e digite os valores apropriados Ap s a defini o de todos os valores o par metro e o arquivo de gabarito precisam ser compilados para a cria o de um script V para a se o Construindo Scripts Criando e configurando arquivos de pesquisa 3 8
99. servi o Gerenciador de Coletor NOTA Se a janela Servi os j estiver aberta clique em A o gt Atualizar e inicie o servi o Gerenciador de Coletor Guia do Usu rio do Sentinel Wizard Removendo o servi o Gerenciador de Coletor do Windows Windows Removendo o servi o Gerenciador de Coletor do Windows Windows 1 Pare o servi o Gerenciador de Coletor No prompt de comando digite o seguinte net stop agent manager Clique em Iniciar gt Configura es gt Painel de Controle Clique duas vezes em Servi os e selecione Gerenciador de Coletor Pare o servi o Gerenciador de Coletor Feche a janela Servi os No prompt de comando v para Yworkbench home 3 Digite o seguinte comando agent manager bat remove Mudando a senha do Gerenciador de Coletor para Windows NOTA Para obedecer s r gidas configura es de seguran a exigidas pela Certifica o de Crit rios Comuns altamente recomend vel que uma senha forte seja usada com as seguintes caracter sticas 1 Escolha senhas com no m nimo 8 caracteres que incluam ao menos um d gito em MATUSCULA um em min scula um s mbolo especial amp _ e um d gito num rico 0 9 2 A senha n o pode conter o nome usado no e mail nem partes do nome completo 3 A senha n o deve ser uma palavra comum por exemplo n o deve ser uma palavra registrada em dicion rio nem g ria de uso comum 4 A senha n o deve conter
100. sistente Esta se o explica como parar iniciar editar apagar e depurar uma porta do Assistente Iniciando e parando uma porta do Assistente Interface do Usu rio Quando um coletor iniciado ou interrompido o bot o Iniciar ou Parar na coluna Iniciar Parar muda no momento em que o coletor iniciado ou interrompido de fato Se voc estiver trabalhando com um coletor remoto essa mudan a pode ser retardada enquanto aguarda o recebimento do status do coletor Quando uma porta iniciada ou interrompida o script de inicializa o e o script de backout selecionados s o executados Quando todas as portas forem iniciadas uma porta somente ser iniciada se a caixa Executar Porta na Inicializa o estiver marcada em Op es de Outras Portas no menu Op es 2 10 Guia do Usu rio do Sentinel Wizard Iniciando e parando todas as portas do Assistente 1 Na janela Assistente Para parar todas as portas clique no bot o Parar na barra de ferramentas Para iniciar todas as portas clique no bot o Iniciar na barra de ferramentas Ele Edit View O m 0 02 Parar Iniciar Iniciando e parando uma porta individual do Assistente 1 Najanela Assistente Para parar uma porta clique no bot o Parar na coluna Iniciar Parar correspondente porta Para iniciar uma porta clique no bot o Iniciar na coluna Iniciar Parar correspondente porta Editando uma porta do Assistente Se a configura o de uma porta
101. slog com o filtro de inscri o acima com o ID MeulDExclusivo O ID necess rio O ID escolhido foi arbitr rio mas deve ser exclusivo entre todas as sess es de clientes do conector syslog com o mesmo proxy syslog Se outro cliente do conector syslog for configurado com o mesmo ID uma das duas conex es ser rompida Permanecer a ltima sess o a ser conectada com o mesmo ID O filtro gen rico no filtro anterior poder desperdi ar o esfor o de processamento do Coletor se as mensagens que atenderem aos requisitos do filtro que s o todas as mensagens recebidas n o forem relevantes para essa opera o espec fica do Coletor No exemplo acima deve ser bvio que a express o de filtro muito vers til O exemplo a seguir para UNIX estabelece um descri o precisa albeit mais restritiva de quais mensagens s o relevantes para o Coletor syslog SyslogConnectorAgent sh facilities usu rio kernel levels aviso erro sender 192 16 0 12 192 16 0 0 16 host 17 16 8 0 24 10 1 1 13 id MeuOutroIDExclusivo Conector syslog A 7 A 8 A interpreta o dessa linha de comando a seguinte Conecte se ao proxy syslog que escuta em 127 0 0 1 9091 em busca desta conex o facilities Inscreva se em todas as mensagens enviadas com Recursos de usu rio ou kernel levels Inscreva se em todas as mensagens enviadas com N veis de aviso ou erro sender Inscreva se em todas as mensagens identificadas pelo en
102. so a origem de mensagens envie uma mensagem sem um dos componentes Prioridade Data ou Nome de Host ela seguir o RFC 3164 BSD Syslog Protocol e inserir dados complementares Conector syslog A 1 a Depois de determinar o Recurso e o N vel da Prioridade bem como o Nome de Host o proxy publicar efetivamente a mensagem nas sess es do conector syslog que tenham interesse nela a Caso termine a sess o do cliente do conector syslog o proxy syslog colocar em fila por 10 minutos as mensagens de entrada desse cliente Esse comportamento significa garantir que o Coletor n o perca mensagens durante sua reinicializa o ou interrup o tempor ria u O proxy syslog escuta em uma porta TCP normalmente a 9091 a fim de atender s sess es do cliente do conector syslog Cliente do conector syslog a O conector iniciado como um Processo Persistente com todas as op es de tempo de execu o do conector syslog inseridas no valor de RX TX 2 O ID um par metro de tempo de execu o O ID configurado para determinado conector syslog deve ser exclusivo entre todos os conectores syslog que se conectam com o mesmo proxy syslog a poss vel especificar um filtro de conte do em tempo de execu o a fim de limitar o escopo das mensagens submetidas ao Coletor para an lise a O conector syslog estabelece uma conex o com o servi o cliente do conector proxy a O conector syslog registra seu ID e filtro de conte do no proxy syslog
103. stiver em execu o uma janela Nenhuma Resposta ser exibida quando as propriedades forem selecionadas Editando um arquivo de gabarito 2 8 Editando um arquivo de gabarito l 2 Clique na guia Coletores para abrir o painel de rvore Coletor Na rvore Coletor clique no gabarito e clique na guia Editor de Gabarito direita No Editor de Gabarito clique no estado para editar e fazer as mudan as desejadas E poss vel editar um estado usando o Editor Visual ou o Editor de Texto Para obter informa es sobre os comandos de an lise consulte o Guia de Refer ncia do Usu rio do Sentinel Guia do Usu rio do Sentinel Wizard Template Editor Parsing Em Parameters ejefejalejala State 1 Parsing E Visual Editor Text Editor 2d Debugger E El Commands E State Script G A B H E Comments H E C Comments O breskpoint COPY s Res ilertStyle R TOUPPERIs Res lertStyle COPYr s Generic ResNam a COPY s SubRes lentStyle TOUPPER s SubRes lert COPYris Generic SubResl COPr s SendETTag Se H TAIM CDa Soo gt Apagando um arquivo de gabarito Apagando um arquivo de gabarito 1 Clique na guia Coletores para abrir o painel de rvore Coletores 2 Na rvore Coletores clique o bot o direito do mouse em um gabarito e clique em Apagar Gabarito Renomeando um arquivo de pesquisa Renomeando um arquivo de pesquisa 1 Clique na guia Coletores para abrir o painel de rvore Co
104. tar a essa porta alternativa Al m disso o host de destino do cliente do conector pode ser especificado como um host que n o seja o do sistema local Caso o proxy syslog aceite sess es de clientes do conector remoto um desses clientes poder ser configurado para estabelecer uma sess o com esse proxy syslog remoto O endere o IP e a porta do cliente do conector do proxy syslog poder ser configurada com o argumento proxy O argumento log habilita o recurso de registro do cliente do conector Esse cliente gravar as mensagens logo que forem recebidas do proxy syslog Diferentemente do arquivo de registro do proxy syslog o conte do da mensagem ser filtrado pelos detalhes de inscri o registrados e cada mensagem registrada n o conter o campo lt PRI gt ou Prioridade O conte do ser consistente com o que o Coletor receber do mesmo cliente do conector syslog NOTA O arquivo de registro pode se tornar muito grande portanto verifique se a localiza o em que o arquivo ser gravado tem espa o suficiente p ex um diret rio diferente de SESEC HOME Este um exemplo em UNIX de como usar os argumentos proxy e log syslog SyslogConnectorAgent sh proxy localhost 9091 log connector messages log id MeulDExclusivo Configurando o registro do servidor proxy syslog O servidor Proxy Syslog imprime mensagens de registro no arquivo SESEC HOME wizard syslog syslog trace log Para modificar os
105. tentica o do Windows Login Password Guia do Usu rio do Sentinel Wizard Renomeando um host do Assistente Renomeando um host do Assistente 1 No Construtor de Coletor Assistente clique na guia Hosts do Assistente para abrir o painel de rvore Hosts do Assistente 2 Na rvore Hosts do Assistente clique o bot o direito do mouse no host a ser renomeado e clique em Renomear Host Somente poss vel renomear hosts ativos 3 Digite o novo nome do host e pressione Enter NOTA Quando um host renomeado n o alterado o n mero de ID atribu do a um host do Assistente quando ele instalado Essas informa es ficam armazenadas em YWORKBENCH HOME Ylwizardiagentsinames dat Apagando um host do Assistente Para apagar um host ele primeiro precisa ser removido da rede Os hosts que estejam se comunicando pela rede n o podem ser removidos Se um host estiver presente na rede mas sem se comunicar ser exibido com um X vermelho no cone do host na rvore Hosts do Assistente Apagando um host do Assistente 1 Clique na guia Hosts do Assistente para abrir o painel de rvore Hosts do Assistente 2 Na rvore Hosts do Assistente clique o bot o direito do mouse no host 3 Clique em 4pagar Host Reiniciando um host do Assistente Reiniciando um host do Assistente 1 Clique na guia Hosts do Assistente para abrir o painel de rvore Hosts do Assistente e selecione um host 2 Clique o bot o di
106. tivo espec fico Exemplos de valores para cada comando de an lise est o contidos no Guia de Refer ncia do Usu rio do Sentinel Digitando um comando de an lise via Editor de Texto 1 Clique na guia Editor de Texto no Editor de Gabaritos 2 Digite manualmente os comandos de an lise Use a tecla Tab do teclado para alinhar o texto quando estiver usando uma fonte fixa Copie corte e cole fun es de op es como faria em qualquer editor de texto padr o 3 6 Guia do Usu rio do Sentinel Wizard Editando um comando de an lise Command Editor E M Arguments Destination String Mandatory String Var M od Command Name COPY Arguments Argument Use Ty Value Search String Mandatory sm sd o A Description OK Copy strings From Rx Buffer to a string variable until search string i Cancel Argumentos Inclui todos os argumentos poss veis para o comando de an lise selecionado no Editor Visual Uso de Argumento Define se o argumento obrigat rio ou opcional Tipo Determina o tipo de vari vel por exemplo strings vari veis de strings n meros vari veis de n meros flutuantes vari veis de flutuantes ou vari veis predefinidas Valor Valor definido para a vari vel cujo nome exibido na coluna Tipo Editando um comando de an lise No Editor Visual Clique o bot o direito do mouse em um comando de an lise e escolha Adicionar Lista de An li
107. u o de nome de host realizada tamb m para esse argumento Ningu m pode esperar que em virtude da configura o de um nome de host ou de um endere o IP o filtro acomode o esquema de nomea o oposto Por exemplo a configura o do host 172 16 0 90 n o far com que um filtro encontre uma mensagem que contenha o nome de host testbox 1 mesmo que os servi os de resolu o de nomes tenha mapeado o 172 19 0 90 para testbox1 Portanto a designa o do host IP s corresponder aos endere os IP e a designa o de nome de host s corresponder aos nomes de host O filtro do exemplo acima pode ser descrito na seguinte express o Booleana Recurso usu rio ou Recurso kernel e N vel aviso ou N vel erro e Remetente 192 16 0 12 ou Remetente 192 16 0 0 16 e Host 17 16 8 0 24 ou Host 10 1 1 13 O n mero de combina es poss veis desses argumentos o produto Cartesiano de tipos de argumento onde cada tipo de argumento um conjunto De acordo com PRINCIPIA CYBERNETICA WEB http pespmcl vub ac be ASC CARTES PRODU html o produto Cartesiano A cole o de todos os n tuples solicitados que podem ser formados de modo que contenham um elemento do primeiro conjunto um elemento do segundo e um elemento do conjunto n th Essa cole o pode ser considerada como a constitui o de um espa o n dimensional em que cada n tuple designa uma c lula O produto Cartesiano mais
108. ue as p ginas da Web vinculadas est o inativas contate a Novell Inc no endere o 404 Wyman Street Suite 500 Waltham MA 02451 EUA ndice 1 Introdu o ao Assistente 1 1 e a ENERE EAE EEA EAA E AEE A AEE 1 1 Conven es usadas saridan aiie aiea A EEE aT AA EE EEA a AE AEE EE a AEEA REE 1 1 Nota S aViSO Sien ren Dan Doo a a a a AA a a re a aae re ESE E eras Bina N 1 1 otte ne oee E A E A E A A E E A E Do boagaush assada 1 1 ASSIStENTE oi rea ae t e e a E i a aaa TRENS aaa Aa Ea Eaa PERO DE PE ME NE EE E R 1 1 Erol E1 Ko KA NEE E EE E E E E a ELVAS Dea Sand een alga a Sede Ega eg 1 2 IAN Ro MINO Rol Ro E ofe IAIO M E E EE E T aa E E E E av ana 0 1 4 Arquivos de par metro yena ena aei a a a a a 1 8 Arquivos de P sgquiSa issi ieiikep iaeaea eaae aidaa eaaa iada ai daa araue pop PL ada aliada 1 8 Arquivos d Mapeamento ienaa edia e i a a i De eea 1 8 Arquivos de manifesto istisini aaea i Siad e A a aeae diea De dadde ddini 1 9 Outras refer ncias do Sentinel s skiene a a hae aaa n AE AEA a AAE AASE Eaa ANA Aa 1 10 Entrando em contato com a Novell sssi eea aeaaea a eieaa taS 1 10 2 Gerenciando hosts do Assistente 2 1 Como um host do Assistente obt m dados de coletores rear 2 1 Permiss es de hosts do Assistente i iii eristsnsessesnasasoecassenaso sans ersasenen asa pineda 2 2 Gerenciamento de Host do Assistente eererterarera arara aa areeaa aa arena arara arenas 2 2 Iniciando e parando
109. uito grande portanto verifique se a localiza o em que o arquivo ser gravado tem espa o suficiente p ex um diret rio diferente de SESEC HOME recomend vel que o proxy syslog seja executado com o m nimo de 64 MB e o m ximo de 256 MB de mem ria heap JVM Com essa configura o voc pode esperar o seguinte desempenho Limites do servidor proxy N mero m ximo de 500 eps total para todas as portas de clientes PEER EVENTOS S ssh aao eA A Ep S AR CU po do led LACAN Ad PANDA O reee taataan a Tamanho m ximo do 5000 mensagens este ser o padr o se nenhum A conector Q for especificado M ximo de conectores 5 Para modificar as configura es de mem ria edite a seguinte se o do arquivo syslog conf Tamanho Inicial do Heap Java em MB wrapper java initmemory 64 Tamanho M ximo do Heap Java em MB wrapper java maxmemory 256 Cliente do conector syslog O cliente do conector syslog se conecta ao proxy syslog que coleta as mensagens para as quais ele se inscreveu Em seguida as mensagens coletadas pelo cliente s o enviadas sa da padr o A sess o do cliente com o servidor n o termina at que o processo do cliente ou o proxy syslog seja encerrado Esse comportamento operacional e de sa da torna o adequado para ser usado pelo mecanismo do Coletor como um conector de Processo Persistente A 6 Guia do Usu rio do Sentinel Wizard Na janela de Configura o de Porta do Construtor
110. um host local do Assistente feito o download do host e ele adicionado rvore Hosts do Assistente A janela Andamento da Transfer ncia aberta e mostra o andamento do download NOTA Voc pode usar a janela Andamento da Transfer ncia para reiniciar hosts ap s uma transfer ncia NOTA Somente poss vel fazer download de um host de cada vez Se voc marcar mais de um host os downloads n o ser o feitos Fazendo download de coletores de um nico host Fazendo download de coletores de um nico host l 3 Clique em Arquivo gt Upload Download Clique no bot o Upload Download A janela Upload Download exibida Selecione na lista o host do Assistente do qual voc deseja fazer download de coletores Todos os hosts do Assistente na rede ser o automaticamente inclu dos na lista Os bot es indicam se a m quina do host est on line ou n o Clique em Selecionar Tudo para selecionar todos os hosts do Assistente na lista Clique em N o Selecionar Nenhum para desfazer a sele o de todos os hosts do Assistente na lista Clique em Download para fazer download dos coletores do host selecionado Fazendo upload de portas para v rios hosts Fazendo upload de portas para v rios hosts l 2 16 Clique em Arquivo gt Upload Download Clique no bot o Upload Download A janela Upload Download exibida Na janela Upload Download clique na guia Preencher Rede Guia
111. undo plano e automaticamente inicia o processo do Gerenciador de Coletor se for interrompido Se o processo do Gerenciador de Coletor j estiver em execu o ser interrompido e reiniciado agent manager sh console inicia o processo do Gerenciador de Coletor no primeiro plano Parando o Gerenciador de Coletor para UNIX Parando o Gerenciador de Coletor para UNIX l Como usu rio esecadm use cd para passar ao diret rio SWORKBENCH HOME 2 Digite o seguinte comando agent manager sh stop Administra o do Gerenciador de Coletor H um arquivo execut vel do Gerenciador de Coletor Windows e um script UNIX que permitem Instalar o servi o Gerenciador de Coletor do Windows somente no Windows Remover o servi o Gerenciador de Coletor do Windows somente no Windows Definir o servi o Gerenciador de Coletor Imprimir informa es de depura o extensas Exibir a vers o do build Exibir ajuda Instalando o servi o Gerenciador de Coletor do Windows somente no Windows 2 4 Instalando o servi o Gerenciador de Coletor do Windows somente no Windows l 2 No prompt de comando v para workbench home Digite o seguinte comando agent manager bat install Para iniciar o servi o No prompt de comando digite o seguinte net start agent manager Clique em Iniciar gt Configura es gt Painel de Controle Clique duas vezes em Servi os e selecione Gerenciador de Coletor Iniciar
112. visual Editor s Text Editor Ah Debugger E B State Script E E Comments E Comments se LOOKUP Setup std SS LODKUP Setup agent E LOOKUP Setup custom LOOKUP Check Setup std LOOKUP Check Setup agent O Gerenciador de Coletor permite Construir coletores o Criar e configurar arquivos de gabarito n Criar arquivos de par metro n Criar arquivos de pesquisa a Construir scripts a Criar uma porta do Assistente Construindo e mantendo coletores 3 1 Fundamentos b sicos da constru o de coletores As etapas b sicas da constru o de coletores s o Cria o e configura o de um arquivo de gabarito inclusive de pontos de decis o baseados no modo de aplica o de estados Cria o e configura o de um arquivo de par metro Cria o e configura o de um arquivo de pesquisa opcional Constru o de um script Atribui o de uma segi ncia de inicializa o Cria o de uma porta atribui o do coletor porta e inicializa o da porta Etapas b sicas da implementa o de coletores As etapas b sicas a seguir destinam se implementa o de um coletor 3 2 Determinar o que deve ser monitorado Determinar como monitorar os dados Determinar o sistema operacional do produto a Seo host e o produto estiverem no mesmo local a forma mais l gica de obter os dados l los no arquivo de registro do produto a Seo h
Download Pdf Manuals
Related Search