Novell - Guia do usuário do Sentinel
Contents
1. eenen 2 8 Senhas Tae nere To Lonas ane Saar 2 9 Sentinel Server iniciando UNIX 11 1 11 3 iniciando Windows 11 2 11 3 parando UNIX 11 1 parando Windows 11 2 11 3 service de mapeamento 10 7 Servi o de Acesso a Dados Consulte DAS servi o de mapeamento 1 7 sess o do usu rio terminando nn 9 30 sincronizador de dados 1 14 tabela Tempo Real de Evento tirando um instant neo 3 24 tags mapeamento o 10 18 remapeamento 10 18 Tela Ativa filtrando uma tabela de eventos em tempo teal irienn 3 6 mudando tipos de gr ficos 3 6 navegador visual 3 3 propriedades sines 3 3 Redefinindo par metros 3 6 Refininando a tabela de eventos 3 6 tirando um instant neo 3 24 VisualizandoO sscistssssasiomsbicansesraiicomansenes 3 3 Tela Coletor Grando oeiia cerca ido di estando viados a a dada 8 3 modificando iieiieeemeserererera 8 4 tempo real do evento navegador visual 3 3 n mero m ximo de eventos 3 3 valor em cache neniarn aien 3 3 vi ualizandO e a a ena araea a a 3 3 terminando uma sess o ativa2. 9 30 updateMapDaia 10 39 usu rio padr o esecadm eererererereneserererera 9 26 CSCCADD tura ssiasan gears IN a do sas 9 26 15 0 6 0 PPA DRE ROD RR APR E 9 26 Ate 670 BEME EEES PEA EEE EEE E 9 26 usu rio padr o ESEC CORR sis e y 9 26 usu rios padr o Consulte usu rio padr o utiliza o do espa o no banco de GadOSiiasiiisiioe ieni E NRP 10 39 verificador de regra de correla o Consulte verificador de RuleLg verificador de RuleLg 1 14 vers o do Sentinel arquivos dll l enn 11 7 arquivos exe isso 11 7 arquivos jar a AET 11 7 vers o do Sentinel UNIX 11 6 vers o do Sentinel Windows 11 7 visualiza o de parti o QUI E TETE im aeee 10 4 10 6 10 7 visualiza o de parti o linha de comando iii EAEE 10 32 ndice vii visualizando contas de usu rio 9 29 INCIdENTe Sum a e aras 4 2 par metros para uma op o de menu configura o de menu 9 21 visualizando anexos 4 6 viii Guia de Instala o do Sentinel vulnerabilidade dados do Consultor s 3 15 explora o ienee lie engano nas 3 21 SmartVIEWS casi aeai 3 17 WalChdOQ eanne aa T 1 13 WOTFKFIOW aneiens Consulte iTRAC
3. Tag Valor Gravidade 1 Nome do evento UserLoggedOut Recurso UserSessionManager Sub recurso Usu rio Mensagem Fechando sess o do lt usu rio gt nome do OS lt Nome_OS gt de lt IP gt ativado desde lt data gt no momento lt n m gt usu rios ativos A 2 Guia do Usu rio do Sentinel Usu rio efetuou login Quando o usu rio efetua login o seguinte evento interno gerado Tag Valor Gravidade 1 Nome do evento UserLoggedIn Recurso UserSessionManager Sub recurso Usu rio Mensagem Usu rio lt usu rio gt com nome do OS lt Nome OS gt em lt IP gt efetuou login no momento lt n m gt usu rios ativos Usu rio descoberto Se for reiniciado o servidor perder as informa es da sess o Ele reconstruir a sess o quando receber mensagens de usu rios ativos Quando o servidor descobrir um usu rio conectado o seguinte evento interno ser gerado Tag Valor Gravidade 1 Nome do evento UserLoggedIn Recurso UserSessionManager Sub recurso Usu rio Mensagem Usu rio ativo descoberto lt usu rio gt com nome do OS lt Nome OS gt em lt IP gt efetuou login no momento lt n m gt usu rios ativos Evento Erro ao mover arquivo conclu do T o logo conclu do um arquivo de evento movido para o diret rio de sa da Se houver falha nessa movimenta o o seguinte evento interno ser gerado Tag Valor Gr
4. 10 39 mapeamento de evento 10 8 10 13 mapeamento de eventos 10 16 mapeamento de gr ficos 3 13 mecanismo de correla o 1 14 9 5 alleate o ee E arransazindo cesta Bea iue fas SUA 9 9 interrompendo i 9 9 mensagem de evento por e Mail sosassigan asse castros nanena aaa 3 9 mensagem de incidente poreallasta eae 3 10 modificando contas de usu rio 9 29 filtro particular 9 18 filtro P DIICO siine 9 18 Meidente eiee iiser tans idae eie aeea 4 8 op o de menu configura o de menu 9 21 tela Cole O ee a aa ie ennea Eran ERE TREER 8 4 monitoramento de processos 5 10 configurando uma op o 5 10 movendo op o de menu configura o de menu 9 22 navegador visual apagando saia anttadescsaibr ao untado eotsar ais daad 3 25 detalhes de eventos sssssssstiiiios 3 7 fechando kinisi assess Liuiisatesaasvas eet 3 24 ocultando detalhes de eventos 3 9 organizando colunas 3 23 ocultando detalhes de eventos instant neo eni e aaaeaii 3 9 navegador visual eerren 3 9 op o de menu configura o de menu adicionando EPA AA EE A 9 19 adicionando o recurso de browser 9 22 apagando spedire remipedia rapena ienai aii 9 22 CIONAL linr a erea i i 9 21 modificando srs passa ma ets 9 21 MOVENdO ia cusa
5. Tag Valor Gravidade 4 Nome do evento TimeoutRefreshingMap Recurso MappingService Sub recurso ReferentialDataObjectMap Mensagem Tempo da solicita o esgotado durante a atualiza o do mapa lt nome gt lt exce o gt Erro na atualiza o do mapa Esse evento interno gerado do lado do cliente do servi o de mapeamento aquele que faz parte do Gerenciador de Coletor Quando o Gerenciador de Coletor recebe uma solicita o para atualizar o mapa porque este foi modificado ou teve sua defini o alterada o gerenciador envia um evento interno Isso significa que houve um erro n o transit rio inesperado durante a tentativa de atualizar o mapa O Gerenciador de Coletor aguardar 15 minutos e tentar novamente Se isso acontecer durante a inicializa o esta continuar e esse mapa ser ignorado at que possa ser carregado com xito Tag Valor Gravidade 4 Nome do evento ErrorRefreshingMapData Recurso MappingService Sub recurso ReferentialDataObjectMap Mensagem Erro na atualiza o do mapa lt Nome_mapa gt lt exc gt A 8 Guia do Usu rio do Sentinel Mapa muito grande carregado Esse evento interno um evento de informa o enviado pelo servi o de mapeamento notificando que um mapa muito grande foi carregado no Gerenciador de Coletor Um mapa considerado grande quando o n mero de linhas ultrapassa 100 000 Tag Valor Gravidade 0 Nome do
6. erre aeee ataraaaaea arara naaanar nana annaa A 17 ROSUMO E EEE E sia REGRA LISOS aC asi nada AET A 18 Guia do Usu rio do Sentinel Introdu o ao Sentinel NOTA O termo Agente intercambi vel com Coletor Mais para a frente Agentes ser referido como Coletores O SentinelTM 5 a solu o l der de gerenciamento de informa es de seguran a e monitoramento de conformidade que recebe informa es coletadas de v rias fontes em toda a empresa padroniza as estabelece a prioridade de cada uma delas e executa a correla o de todas em tempo real O Sentinel re ne dados de v rios produtos de seguran a no mercado e oferece a flexibilidade de coletar dados de novas tecnologias e produtos medida que os requisitos empresariais e de instala es evoluem Muitos dos recursos do Sentinel 5 resultam da remodelagem da arquitetura do Sentinel 4 0 e est o voltados para atender s necessidades dos clientes da Novell Com o aumento das amea as e press es normativas em rela o seguran a as organiza es procuram uma solu o que permita Obter a visibilidade e as informa es necess rias para gerenciar um ambiente de seguran a com uma melhor rela o custo benef cio Monitorar continuamente a conformidade com as normas e pol ticas governamentais por exemplo Sarbanes Oxley HIPAA GLBA FISMA NISPOM DCID 6 3 e DITSCAP Identificar e resolver incidentes com maior rapidez e economia por meio
7. Delimiters Pi e Eine ab Start at row o4 C Semicolon C Other Column 1 Column 2 MTP AUTH Brute Force Attempt ack Door Probe TCP 6777 Column Filtering Ok Cancel A fun o Editar permite fazer o seguinte definir os delimitadores ativar ou desativar uma coluna definir em qual linha iniciar seu mapa definir as chaves de coluna renomear as colunas criar filtro de coluna 4 Depois de fazer as altera es desejadas clique em OK Apagando as defini es de mapa Para apagar uma defini o de mapa 1 Clique na guia Mapeamento 2 Expanda a pasta desejada 3 Realce a defini o de mapa a ser apagada 4 Clique em Apagar NOTA As defini es de mapa na pasta Sentinel n o podem ser apagadas Atualizando os dados de mapa A atualiza o permite substituir por outro arquivo o arquivo de dados de origem de um mapa no servidor que est executando o DAS O novo arquivo de dados de origem do mapa deve ter o mesmo delimitador n mero de colunas e estrutura geral que o arquivo atual para que o 10 14 Guia do Usu rio do Sentinel mapa funcione adequadamente depois da atualiza o A nica coisa que o novo arquivo de dados de origem do mapa deve ter de diferente em rela o ao arquivo atual s o os valores que aparecem nas colunas Caso o novo arquivo de dados de origem do mapa tenha uma estrutura diferente do arquivo
8. Execute o seguinte comando Para Windows advisor bat Para UNIX advisor sh para para para para arquivos arquivos arquivos arquivos NOTA advisor sh e advisor bat atualizar o o banco de dados e em seguida apagar o os arquivos de ataque e alerta que foram descompactados nos diret rios de ataque e alerta Guia do Usu rio do Sentinel Download direto da internet atualiza o manual do Consultor Atualiza o de alimenta o manual do Consultor 1 V para Para Windows SESEC HOMES sentinelNbin Para UNIX SESEC HOME sentinel bin 2 Execute o seguinte comando Para Windows advisor bat Para UNIX advisor sh NOTA advisor sh e advisor bat atualizar o o banco de dados e em seguida apagar o os arquivos de ataque e alerta que foram descompactados nos diret rios de ataque e alerta Mudando a senha do servidor do Consultor e a configura o de e mail Mudando a senha do servidor do Consultor independente Este procedimento n o aplic vel para configura es independentes Mudando a senha do servidor do Consultor download direto Para mudar a senha do servidor do Consultor download direto 1 A Envie uma mudan a de senha para o Suporte T cnico da Novell Depois de ser informado pela Novell sobre a mudan a de senha para UNIX efetue login como esecadm ou para Windows efetue login com direitos administrativos cd p
9. 8 1 importando pasta de regra de correla o 9 8 importando dados 10 37 importar parti es GUI 10 5 10 6 imporiData 10 36 10 37 incident relationship with events 4 2 incidente adicionando eventos eeen 3 25 adicionando uma Tela de Incidente 4 4 apagando ses sssassiseapisrasoire sapeca pise s Esie RES 4 9 apagando workflow 4 9 configurando o viewer de anexo 4 7 Chando sis n at n aA 3 11 4 6 gravando anexos 4 6 modificando o 4 8 op o de tela en 4 4 op o de visualiza o 4 2 visualizando suas eie aisaen ad 4 2 visualizando anexos 4 6 inicializa o r pida consulta de eventos 12 4 12 6 dados de bemM sssesreeerrrerrrrrerererreeene 12 3 detec o de explora o 12 2 regra de correla o eeen 12 6 relat rio Crystal 12 5 Tela AtVA ses ETET 12 1 iniciando a camada de comunica o 11 4 iniciando a camada de comunica o UNIDO aosassaresesaaiass atrai s creri E 11 5 instant neo apando senet gde oii stage SENA ads 3 25 classificando eereereereeers 3 24 detalhes de eventos ssssssssisiiiss 3 7 fechando inenen eisene 3 24 ocultando detalhes de eventos 3 9 or
10. 9 8 contas de usu rio 9 29 fiiro global z es 9 16 filtr particular rre sirce ie 9 18 filtro P DIICO Es iTia eai tennent ee eiiiai 9 18 incidente ee eati 4 9 op o de menu configura o d Menl as es n taas 9 22 regra de correla o ecer 9 8 apagando dados importados 10 38 apagar parti es GUI 10 5 10 6 archiveConfig 10 32 10 33 archiveData eene eeenneeenen nene 10 33 ATQUILGLUFA aere nEn 1 3 arquivando dados 10 33 arquivar parti es GUI 10 5 10 6 arquivo de bloqueio removendo 11 4 arquivo de script 11 3 agent manager sh eeren 11 1 remove sonic lock bat 11 3 remove sonic lock sh 11 3 sentinel Shai eisie 11 1 11 3 start_broker bat ini 11 3 start_broker Sh sensseeeeeeeeserenereeererereeeee 11 3 stop broker bat 11 3 stop broker Sh a susa esessapimspasieianiaiass 11 3 stop_container bat eeren 11 3 stop_container Sh ereere 11 3 Assistente reiniciando teenak e 8 1 ativando op o de menu Configura o d e Menu nissen e a 9 22 atividade clicar o bot o direito do mouse 5 8 5 9 odela e PEE o NR RR 5 11 exportando nonini eai a 5 13 IMPpOrandO s4 mssssessanarisssiespasioisissoanaeddo 5 14 modificando
11. aa a ea aa ea A re Ea aaa Aaaa Ca Eana A 13 Processo Watchdog interrompido ie rreaaeacaeraanaaeaea arara nan narra anaaeaeaaneana A 14 Gerenciador Mecanismo de Coletores erre cara caea carne naraa nara ana narrannaa A 14 Inicializa o deporta opcra tirean aieiaeo iaaea ea raros ia e a aa ia eaaa aapa SANSAARA aaisan TERE A 14 Interrup o da portaisiin et a a a era E A RSS S nda LES A ta Del Ee aei A 14 Processo persistente desativado eee rereaaraenacacaenaesaenenasaanena ca stenaeennnado A 14 Processo persistente reiniciado nesse erneacaeeareacaenaenncenacantenasacaanaernanaada A 15 Servi o de Evento ETETE TA sinos insa io na oa RE ndas EA E asno Raio E add asas Ens i da ga an ria A 15 Depend ncia c clica ss erioa tne o renro iee e EEEE a ETES KE saga rien dagas SEE a a es A 15 Active Vie WS iioi ae a aa E E a a a a a aa a a aa A 15 Tela Ativa criadas eoria e a a iaae aaa a A Erara Naaa Aa Sra NaN aSa araa e qua a edi A 15 Ingresso em Tela Ativa prinsen a a a aa a a asi A 16 Tela Ativa inativa rem vida sasec masi tasesosemsasiiaiasiopenasassniPiadiopa ss pa AE apita aiaei Ria Linden isa da dabd aaa p an A 16 Tela Ativa permanente inativa Removida aterrar aaa rea ananeneanreraanaa A 16 Tela Ativa agora permanente series rerecacaenacananenanacaaanrenaenasasaaeas santa ana A 17 Tela Ativa n o mais permanente
12. Active Views Tela Ativa criada DAS Binary envia esse evento quando uma Tela Ativa criada Tag Valor Gravidade 1 Nome do evento RtChartCreated Recurso RealTimeSummaryService Sub recurso ChartManager Mensagem Criando nova Tela Ativa com filtro lt filtro gt e atributo lt atributo gt para usu rios com filtro de seguran a lt filtro de seguran a gt No momento lt n gt Tela s Ativa s em coleta Eventos de sistema do Sentinel5 A 15 Ingresso em Tela Ativa DAS Binary envia esse evento quando um usu rio estabelece conex o com uma Tela Ativa existente Tag Valor Gravidade 1 Nome do evento RtChartJoiningExistingData Recurso RealTimeSummaryService Sub recurso ChartManager Mensagem Ingressando em Tela Ativa existente com filtro lt filtro gt e atributo lt atributo gt para usu rios com filtro de seguran a lt filtro de seguran a gt No momento lt n gt Tela s Ativa s em coleta Tela Ativa inativa removida DAS Binary envia esse evento quando uma Tela Ativa n o permanente removida em virtude de inatividade Tag Valor Gravidade 1 Nome do evento RtChartInactiveAndRemoved Recurso RealTimeSummaryService Sub recurso ChartManager Mensagem Tela Ativa desativada com filtro lt filtro gt e atributo lt atributo gt para usu rios com filtro de seguran a lt filtro de seguran a gt No momento lt n gt
13. Executando dropPartition 1 Execute este comando da seguinte forma sdm action dropPartitions forceDelete lt false gt keepDays lt n mero gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Os exemplos a seguir eliminam todas as parti es que s o mais antigas do que 30 dias garantindo que todas as parti es s o arquivadas Todas as parti es que foram puladas n o removidas porque n o foram arquivadas aparecem na lista quando a opera o conclu da Exemplo do Oracle sdm action dropPartitions keepDays 30 connectFil sdm connect sdm action dropPartitions forceDelete fals keepDays 30 connectFile sdm connect Exemplo do SQL Server sdm action dropPartitions keepDays 30 connectFil sdm connect sdm action dropPartitions forceDelete false keepDays 30 connectFile sdm connect Visualizando os resumos da parti o Esta a o ViewPartitions exibe o resumo da parti o das tabelas suportadas a seguir Oracle o EVENTS CORRELATED EVENTS 2 EVT DEST EVT NAME SMRY 1 2 EVT DEST SMRY 1 2 EVT DEST TXNMY SMRY 1 EVT PORT SMRY 1 2 EVT SEV SMRY 1 EVT SRC SMRY 1 SQL Server o EVENTS CORRELATED EVENTS EVT DEST EVT NAME SMRY 1 2 EVT DEST SMRY 1 2 EVT DEST TXNMY SMRY 1 a EVT PORT SMRY 1 2 EVT SEV SMRY 1 EVT SRC SMRY 1 Gerenciador de dados do Sentinel 10 31 Este comando usa os seguintes indicadores action sta
14. Executando relat rios do Consultor Para criar um relat rio do Consultor 1 Clique na guia Consultor 2 No Navegador do Consultor clique em um gabarito de relat rio 3 Clique em Consultor gt Criar Relat rio 4 Preencha as informa es do gabarito e clique em Ver Relat rio Instala o independente Atualiza o manual do Consultor Atualiza o manual da alimenta o do Consultor 1 V para url advisor esecurityinc com advisordata 2 Digite seu nome de usu rio e sua senha Guia Consultor 7 1 7 2 V para o ltimo m s nas pastas de ataque e alerta e fa a download dos arquivos compactados Insira os novos arquivos de dados de alimenta o de ataque e alerta os arquivos estar o no formato zip no computador NOTA N o coloque os arquivos compactados nos diret rios de alerta e ataque Descompacte os arquivos de alimenta o de ataque em Para Windows lt local especificado durante a instala o de dados do Consultor gt attack ou Para UNIX lt local especificado durante a instala o de dados do Consultor gt attack Descompacte os arquivos de alimenta o de alerta em Para Windows lt local especificado durante a instala o de dados do Consultor gt alert ou Para UNIX lt local especificado durante a instala o de dados do Consultor gt alert V para Para Windows SESEC_HOME sentinel bin Para UNIX SESEC_HOME sentinel bin
15. 2 Clique em Telas de Servidor 3 Para criar uma nova tela clique em Adicionar Tela Digite seu nome de op o Para organizar os campos que deseja mostrar clique em Campos Para agrupar t tulos diferentes clique em Agrupar Para classificar por t tulo clique em Classificar Para filtrar clique em Filtrar 4 Clique em OK e em seguida em Gravar Iniciando interrompendo e reiniciando processos Voc n o pode parar o Servidor de Comunica o usando este recurso Iniciando interrompendo e reiniciando processos 1 Clique na guia Admin 2 Clique em Telas de Servidor 3 Clique duas vezes em uma tela Aparecer uma tela 9 12 Guia do Usu rio do Sentinel 4 Expanda a tela do servidor Aparecer o na lista todos os processos iL Processes Health EC tst2 Q Activity Container 9 Communication Server Workflow Server 5 Selecione um processo clique o bot o direito do mouse em gt A es gt selecione uma Jun o Iniciar Reiniciar ou Parar Communication Server 1 E Correlation Engine F DAS Binsa Goas ol acionsh sta 49 DAS RT E Query Manager E RuleLg Checker Stop E Pamali aal Pluma moema Restart Filtros Os filtros permitem o processamento de dados com base em um crit rio espec fico para os eventos em tempo real e para usu rios do sistema Os filtros permitem gerenciar os dados vistos no Sentinel Control Center O mecanismo de filtro orienta as
16. NOTA Para executar o SDM da linha de comando consulte a se o Linha de Comando do SDM deste documento Conectando se ao banco de dados 10 2 Quando o SDM for iniciado voc vai precisar estabelecer uma conex o com o seu banco de dados Na caixa de di logo Conectar ao banco de dados insira os valores apropriados para cada campo Conectando ao banco de dados l 2 3 4 5 Inicie a interface de usu rio do SDM Selecione o tipo do seu banco de dados como Oracle ou MSSQL Especifique o nome de inst ncia do banco de dados por exemplo ESEC Especifique o host do banco de dados use o nome de host ou o endere o IP Para a porta use a porta padr o 1521 para o Oracle ou a porta padr o 1433 para o MSSQL Para o nome de usu rio e a senha use o nome de usu rio e a senha do Administrador do Banco de Dados do Sentinel por exemplo esecdba NOTA Para o Windows e o MS SQL se instalou o MS SQL no modo misto voc poder efetuar login usando a Autentica o do Windows OU a Autentica o de Servidor SQL se voc instalou o MS SQL apenas no modo de Autentica o do Windows do misto voc pode efetuar login usando a Autentica o do Windows Se preferir usar a Autentica o do Windows voc ser autenticado com o banco de dados do MS SQL como o usu rio com o qual voc est atualmente conectado no Windows ou seja login nico Guia do Usu rio do Sentinel Para Oracle D Server oracle v
17. O servidor do iTRAC espera o usu rio concluir a tarefa antes de prosseguir para a pr xima atividade dentro da inst ncia do processo Details TT Variable Status CJ Accepted H Misc e E ariables Time Tue Jan 18 09 07 59 EST 2005 ESTES Duration 4Is Id 102 Incident Name port scan DataObjectT Incident Incident ID 102 Activity Process AssignUser HIPAA ssim a user or role to process IPAA this Incident N Complete Cancel A caixa de di logo com detalhes do item de trabalho mostrada acima apresenta as seguintes informa es Detalhes do item de trabalho Vari veis do item de trabalho Descri o da atividade Descri o do processo Guia iTRACIM 5 7 Estas s o as tr s etapas envolvidas na intera o com um item de trabalho Aceitar o item de trabalho Atualizar as vari veis do item de trabalho Concluir o item de trabalho Aceitando o item de trabalho Um item de trabalho ser atribu do a todos os usu rios dentro de uma fun o ou a um nico usu rio O usu rio precisa aceitar o item de trabalho antes de executar qualquer outra a o sobre esse item Ao aceitar o item de trabalho o usu rio torna se propriet rio dele e o item removido da lista de trabalho de todos os outros usu rios atribu dos Aceitando itens de trabalho 1 Na lista de trabalho voc pode clicar o bot o direito do mouse em um item de trabalho e fazer o seg
18. Os algoritmos do Servi o de Mapeamento da iSCALE processam grandes conjuntos de dados referenciais atrav s de um sistema de produ o que processa grandes volumes de dados em tempo real Esses algoritmos est o cientes das atualiza es e enviam de modo seletivo apenas as mudan as ou conjuntos de dados delta do reposit rio para a borda ou per metro do sistema 1 6 Guia do Usu rio do Sentinel Transmitindo mapas O Servi o de Mapeamento emprega um modelo de atualiza o din mica e transmite os mapas de um ponto para outro evitando o ac mulo de grandes mapas est ticos na mem ria din mica A import ncia desse recurso de transmiss o especialmente relevante em um sistema em tempo real que seja vital para os neg cios como o Sentinel no qual preciso haver uma movimenta o de dados constante previs vel e gil qualquer que seja a carga transiente no sistema Detec o de explora o servi o de mapeamento O Sentinel permite a refer ncia cruzada entre as assinaturas dos dados de eventos e os dados do Vulnerability Scanner Os usu rios s o notificados de forma autom tica e imediata em caso de tentativa de ataque para explorar um sistema vulner vel Isso poss vel gra as ao seguinte Alimenta o do Consultor Detec o de intrus o Verifica o de vulnerabilidades Firewalls O Consultor fornece uma refer ncia cruzada entre as assinaturas de dados do evento e os dados do verificad
19. Selecione a pasta de origem que vai conter a nova pasta Clique o bot o direito do mouse em gt Nova pasta Digite o nome da pasta de regra com limite de 255 caracteres que diferenciam mai sculas e min sculas sem pontos Opcional Digite a Descri o da regra com limite de 1024 caracteres Clique em OK Criando uma regra l 2 3 4 Selecione a pasta de origem que vai conter a nova regra Clique o bot o direito do mouse em gt Nova regra Abrir o Assistente de Regra selecione um dos seguintes tipos de regra Lista de Avisos Correla o B sica Correla o Avan ada Formato livre NOTA Para ver descri es dos tipos de regra v para a se o Tipos de regra de correla o Clique em Concluir Apagando uma pasta de regras de correla o ou regras Apagando uma pasta de regra de correla o ou regra i 2 3 4 Abra a janela de Regras de correla o Selecione a pasta de regra ou a regra que voc deseja apagar Clique o bot o direito em gt Apagar Aparecer uma caixa de confirma o Sim ao apagar uma pasta de regra as regras naquela pasta de regra tamb m ser o apagadas Voc n o pode recuperar uma regra apagada depois de clicar em OK N o far voc retornar janela Regras de Correla o Importando ou exportando uma pasta de regra de correla o 9 8 Importando ou exportando uma pasta de regra de correla o l 2 3 Abra a ja
20. Correla o Avan ada RuleLg de Formato Livre AVISO Voc deve estar familiarizado com o idioma de defini o da regra de correla o de RuleLg antes de usar esse tipo de regra de correla o Al m disso se renomear uma tag n o use o nome original ao criar uma regra de correla o com o RuleLg Lista de Avisos H quatro tipos diferentes de filtros dentre os quais escolher S o eles Permitir tudo Permite todos os eventos Padr o Qualquer express o regular com uma sintaxe semelhante a grep Gerenciador de Filtro Uma lista suspensa que exibe o Gerenciador de Filtro para a sele o ou cria o de um novo filtro gt Nome do Filtro String de Express o PUBLIC Operating System E fiter e DeviceCategory OS PUBLIC IDS Events fiter e DeviceCategory DS 3 PUBLIC Database Events fiter e DeviceCategory DB PUBLIC JHigh_Severity fiter e Severity 3 PUBLIC Low Severity fiter e Severity lt 2 PUBLIC Firewall Events fiter e DeviceCategory PAM PUBLIC Correlation fiter e SensorType C or e SensorType A PUBLIC Exploit Detection fiter e Mulnerabilty 1 PUBLIC External Events fiter e SensorType I and e SensorType P 3 PUBLIC ALL filter 1 1 PUBLIC Scan Events fiter e DeviceCategory SCAN PUBLIC Severe Internal fiter e SensorType l and e Severity gt 3 PUBL
21. NOTA Depois de criar a tela voc pode editar ou remover esse refinamento da tabela de eventos clicando o bot o direito do mouse na rea do gr fico e selecionando as propriedades Para obter mais informa es consulte Para redefinir par metros tipo de gr fico ou tabela de eventos de uma Tela Ativa Seu gr fico ficar semelhante a este PUBLIC High Severity Severity la x Valores Principais dos ltimos 5 Minutos Filtro PUBLIC High Severity Atributo Severity Do gt E 15 Minuto 30 Segundo Intervalos 14 45 30 14 50 30 3 a iA 13 E Classifica o Severity Total Taxa Ao 14 2 lh E 0 8 B o s m mg 03 n Bos E m 2 Bs 0 003 2 03 J 5 8 i i z E 143 14 37 00 14 38 30 14 40 00 14 41 30 14 43 00 14 44 30 14 46 00 14 47 30 14 49 00 E Hor rio gt Valores do Intervalo valores Principais DateTime SourcelP DestinationlP EventName Vulnerability af Criticality 07 07 2008 14 50 06 172 30 2 202 EventinsertionFailed CrECO aj 07 07 2006 14 50 04 ig 1432 44 57 17216 2105 Reject o T FF2964 07 07 2006 14 50 03 ag 1432 44 56 17216 2106 Reject 0 7 FF296 07 07 2006 14 50 02 99 132 44 58 17216 2107 Reject o E FF296 07 07 2006 14 50 01 ag 1432 44 55 17216 7405 Reject 0 4 FF296 07 07 2006 14 50 01 17230 2 202 fEvertinsertonFaiea i crsco 07 07 2006 14 50 01 172 30 2 202 Eventinserti
22. gerada uma lista de todas as parti es que n o foram apagadas caso n o tenham sido arquivadas sdm action deleteData keepDays 13 connectFil sdm connect Exemplo do SQL Server O exemplo a seguir elimina as parti es de todas as tabelas que s o mais antigas do que 13 dias garantindo que todas as parti es eliminadas s o arquivadas No final lista todas as parti es que n o foram apagadas caso n o tenham sido arquivadas sdm action deleteData keepDays 13 connectFil sdm connect Gerenciamento de importa o Listando os arquivos a serem importados Esta a o filesToImport usada para listar os arquivos necess rios para importar os dados entre as datas determinadas das seguintes tabelas suportadas Oracle 2 HIST EVENTS 2 HIST CORRELATED EVENTS SQL Server 2 HIST EVENTS 2 HIST CORRELATED EVENTS Este comando usa os seguintes indicadores action filesToImport startDate lt mm dd aaaa hh24 mi ss gt endDate lt mm dd aaaa hh24 mi ss gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt NOTA hh24 s o as horas representadas no formato 24 horas Por exemplo 1 15 00 p m 13h15min00 e 3 00 00 a m 03h00min00 Executando files Tolmport 1 Execute este comando da seguinte forma sdm action filesToImport startDate lt mm dd aaaa hh24 mi ss gt endDate lt mm dd aaaa hh24 mi ss gt connectFile lt caminho para o nome de arquivo g
23. i 5 13 atualizando a chave de licen a ID do host UNIX ll 11 10 ID do host Windows 11 10 camada de comunica o iniciando UNIX 11 5 iniciando Windows ssec 11 4 parando UNIX 11 5 parando Windows 11 5 removendo o arquivo de bloqueio UNIX i isto passas aias 11 4 removendo o arquivo de bloqueio WindOWS ioie oin e aar 11 4 camada de comunica o do Sentinel iniciando UNIX seeeeeeeeeeeeeseeeeeeeree 11 5 iniciando Windows seeen 11 4 parando UNIX 11 5 parando Windows seeen 11 5 removendo o arquivo de bloqueio UNIX eioi a aa 11 4 removendo o arquivo de bloqueio Windows s zisszetissssseoaira iesiasemaaipan do 11 4 chave de licen a atualizando scieeeeserererera 11 10 ndice i clonar contas de usu rio 9 29 op o de menu configura o de menu 9 21 clone filtro particular 9 18 filtro p blico z sii eiir oa 9 18 Coletor iniciando nine ea erra 8 4 interropendo 8 4 monitorando e 8 1 mostrar detalhes 8 4 colunas de evento QUIAS E E E tes das do apare 10 21 mapeamento o 10 18 remapeamento 10 18 renomeando ssa 10 21 condi o l gica g la RR ERR RR RR RR RR RR 9 6 igual Metatag 9 6 igual a REgeX en ce rana 9 7 igual sub rede 9 7 maior do QUE
24. o n o s o arquivadas Este comando usa os seguintes indicadores action archiveData connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Executando archiveData 1 Execute este comando da seguinte forma sdm action archiveData connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Exemplo do Oracle O exemplo a seguir arquiva eventos seus valores reservados e personalizados e os eventos correlacionados da tabela EVENTS EVT RESERVED VALUES EVT CUSTOM VALUES e ASSOCIATIONS de acordo com o valor definido na configura o do seu arquivo archiveConfig Usando este valor definido no exemplo Gerenciador de dados do Sentinel 10 33 fornecido na se o em Gerenciamento de arquivo ser poss vel arquivar dados mais antigos do que 13 dias sdm action archiveData connectFile sdm connect Exemplo do SQL Server O exemplo a seguir arquiva os eventos e os eventos correlacionados de acordo com o valor definido na configura o do seu arquivo archiveConfig Usando este valor definido no exemplo fornecido na se o em Gerenciamento de arquivo ser poss vel arquivar dados mais antigos do que 13 dias sdm action archiveData connectFile sdm connect Apagando dados 10 34 Esta a o deleteData apaga os dados mais antigos do que os dias de conserva o do nome de tabela dado Ela apaga dados de Oracle 2 EVENTS CORRELATE
25. Agrupar por Classificar Filtro Exibi o em rvore 4 Clique em Aplicar e em Gravar Esta uma tela com a exibi o em rvore definida como UUID de Gerenciador x TE 1 Collectors Health E 4 3D3FC720 EFE7 1028 9AEC Noise amp gent on o 1 8125 DemoEvents off o 1 844s LC SendMuttipleevents Jon lo has Pronto Atualizar 7 Op es Atualizado Em 07 07 2006 14 49 59 Interrompendo Iniciando Detalhes dos coletores Interrompendo Iniciando coletores 1 Clique na guia Coletores 2 Abra um Gerenciador da tela Coletor 3 Para interromper iniciar mostrar detalhes em um nico Coletor clique o bot o direito do mouse em um Coletor gt A es gt Iniciar ou Parar Guia do Usu rio do Sentinel Guia Admin NOTA O termo Agente sin nimo de Coletor De agora em diante Agentes ser o referidos como Coletores Para usar este recurso voc deve ter a permiss o adequada Caso essa permiss o n o seja concedida nenhuma das outras permiss es relacionadas s a es que usam essa guia estar dispon vel N Novell Sentinel Control Center login como esecadm k l0 xl Arquivo Op es Windows Active Views Incidentes IRAC An lise Consutor Colectors Admin Ajuda alala alaale EB active views Li ncidentes amp itRac 4d An lise Consutor Colectors E Admin Configura o de R
26. NOTA O termo Agente intercambi vel com Coletor Mais para a frente Agentes ser referido como Coletores Voc deve ter permiss o adequada para usar a guia Consultor Caso essa permiss o n o seja concedida nenhuma das outras permiss es relacionadas s a es que usam essa guia estar dispon vel O Consultor um m dulo opcional Se voc n o tiver licen a do Consultor quando clicar na guia Consultor obter uma tela de notifica o indicando esse fato O Consultor do Sentinel fornecido pela SecurityNexus O Consultor fornece informa es em tempo real quanto a vulnerabilidades da empresa conselhos de especialistas e passos recomendados para a resolu o O Consultor fornece uma refer ncia cruzada entre assinaturas de ataque de IDS em tempo real e a base de conhecimentos de vulnerabilidades do Consultor Visite http www esecurity net Software Products Advisor asp para obter mais informa es A alimenta o de dados do Consultor cont m duas partes Dados de alerta Informa es relacionadas a vulnerabilidades e amea as de seguran a conhecidas Dados de ataque Normaliza o de assinaturas de detec o de intrus o e plug ins de explora o de vulnerabilidade NOTA Durante a instala o e at a alimenta o de dados inicial do SecurityNexus a fun o de clique o bot o direito do mouse em um evento com o campo rt 1 preenchido dos dados do Consultor n o estar totalmente operacional
27. attackSignatureNormalization DeviceCategory Map Column Normalizedattackid z EventContext SourceThreatLevel Key Configuration SourceUserContext Event Tag DataContext i i SourceFunction Corrannar atinn alo ontevh Key Key Attackld entry NormalizedAttackld 3 Troja Backdoor SubSeven 3 Troj n Backdoor SubSeven 4 Syn Microsystems Solaris nwall Elevated F Pun Microsystems Solaris wall Elevated F ea un Microsystems Solaris nwall Elevated F I WEB WEt l access icrosoft Exchange Server Arbitrary Code RealSecure SMTP Exchange Verb DoS 12 Microsoft Exchange Server Arbitrary Code Configurando tags de Evento colunas para usar o Mapeamento 1 Clique na guia Eventos 2 Realce uma entrada de tag de evento da lista Colunas de evento NOTA O nome original da Tag de evento aparece acima do campo R tulo Al m disso fornecida a descri o da coluna de evento Event Columns Severity vulnerability 3 Clique em Referido no Mapa para configurar a tag de evento a ser preenchida com os dados de um mapa Clique em Externo para manter qualquer valor que o Coletor colocar na tag do evento se houver 4 Clique na seta para baixo do campo Nome do mapa Guia do Usu rio do Sentinel Data Source External Referenced From Map Map Name af Asset af Asset af AssetToRegulation SH AttackSignatureNormalization map IpToCountry T IsExploitwatchlist Map Column
28. es linha de COMaNdO an e a aa e 10 30 Agrega o diiisg iieri ioiii 10 23 apagando dados linha de comando 10 35 arquivos a serem importados linha de comando o 10 35 atualiza o do mapa 10 15 configura o de parti o linha de comando s o 10 29 eliminando parti es linha de comando eeta eseas o ae 10 31 exclus o do mapa sssrin 10 14 gravando a conex o seee 10 28 listando arquivos a serem importados 10 35 utiliza o do espa o no banco de dados linha de comando 10 39 visualiza o de parti o GUI 10 6 10 7 visualiza o de parti o linha de comando s 10 32 gerenciando do banco de dados renomenado colunas de evento 10 21 girando gr fico 3D em barras 3 7 gr fico 3D em faixas 3 7 gr fico 3D em barras girando anma RREO RENAS RUE RR i 3 7 gr fico 3D em faixas girando assis tesao e ann a faia 3 7 graph mapping 3 12 gravando anexos 4 6 gravando prefer ncias 2 9 hor rio de alimenta o de dados mudando iieiaei 7 4 Host do assistente criando um viewer do Gerenciador d Coletor RR RR RR RR RR 8 3 criando uma tela Coletor 8 3 modificando uma tela Coletor 8 4 monitorando etereeereeeenaaos 8 3 Host do Assistente monitorando
29. o tempo m dio para processar uma solicita o em segundos wait Tamanho m dio da fila de espera run Tamanho m dio da fila de execu o As informa es s o divididas em tr s se es Solicita es Servi os ThreadPools Em Solicita es mant m todas as solicita es por canal tais como services CorrelationService Em servi os faz o mesmo por servi o s vezes fornece uma decomposi o acrescentando lt category gt no nome como Services CorrelationService ou Services RemoteObjectService EMap getMapPK Em Servi os todas as chamadas de m todo remoto dos servi os definidos pelo usu rio seus servi os XML est o em services RemoteObjectService Al m disso coloca o nome do servi o EMap no exemplo acima e se solicitado o nome do m todo getMapPK acima Quando uma solicita o recebida por um servidor como DAS Query criada e agendada uma tarefa A tarefa ent o atribu da a um pool de thread para execu o Pode haver mais de um pool de thread e um pool de thread pode atender a m ltiplos servi os Por essa raz o a solicita o pode ter que esperar um thread dispon vel mesmo que o servi o n o esteja sendo muito usado Caso as estat sticas indiquem que o tempo de espera para uma solicita o seja grande e o n mero de solicita es para este servi o seja baixo verifique as informa es sobre os pools de thread Os n meros pr ximos a uma entrada s o a so
30. voc tem a op o de fazer uma das seguintes op es Usar browser padr o usa o browser padr o aplicativo que est associado com a extens o de arquivo definida no campo Extens o de arquivo Use os seguintes comandos para iniciar um browser permite especificar um aplicativo espec fico a ser iniciado Ao usar um navegador diferente do browser padr o sua linha de comando deve ser seguida por um URL Por exemplo C NArquivos de ProgramasNInternet ExplorerVIEXPLORE EXE SURL T A seguir h um exemplo em que a sa da da Op o do menu abrir no Bloco de notas N Configura o de Menu xj V Usar browser externo C Usar browser padr o Use os seguintes comandos para iniciar um browser Procurar Teste Extens o padr o fhtm Ok Cancelar Ajuda 3 Depois de ajustar sua configura o clique em OK Guia Admin 9 23 Estat sticas DAS 9 24 Esse recurso para monitoramento interno do seu sistema Sua inten o n o o usu rio m dio As Estat sticas DAS monitora o seguinte DAS Binary DAS Query DAS rt As estat sticas s o divididas da seguinte forma Servi o nome do servi o como DAS Query Hora Hora desde a ltima atualiza o num n mero de solicita es processadas para esta entrada Tempo de espera tempo de espera m dio em segundos para uma solicita o antes de o processamento iniciar Tempo de execu
31. 1 EventDestSummary Min Event Time Mon Jan 10 13 27 02 EST Mon Jan 10 13 57 02 EST 2005 events 20050110 1 a 2 EventDestSummary levents 20050110 1 Mon Jan 10 13 57 03 EST Mon Jan 10 14 27 03 EST 2005 3 EventDestSummary levents 200501 10_1 Mon Jan 10 14 27 53 EST Mon Jan 10 14 43 12 EST 2005 4 EventDestSummary jevents 20050110 1 Mon Jan 10 14 48 25 EST Mon Jan 10 15 19 17 EST 2005 5 EventDestSummary events 20050110 1 Mon Jan 10 15 15 17 EST Mon Jan 10 23 44 00 EST 2005 6 EventDestSummary levents 20050110 1 Mon Jan 10 15 50 33 EST Mon Jan 10 16 20 33 EST 2005 7 EventDestSummary events 20050110 1 Mon Jan 10 16 20 40 EST Mon Jan 10 16 50 40 EST 2005 amp EventDestSummary levents 20050110 1 Mon Jan 10 16 46 31 EST Mon Jan 10 17 20 40 EST 2005 9 EventDestSummary events 20050110 1 Mon Jan 10 17 16 32 EST Mon Jan 10 17 50 40 EST 2005 10 EventDestSummary events 20050110 1 Mon Jan 10 17 46 42 EST Mon Jan 10 18 20 49 EST 2005 11 EventDestSummary events 20050110 1 Mon Jan 10 18 20 38 EST Mon Jan 10 18 50 40 EST 2005 12 EventDestSummary events 20050110 1 Mon Jan 10 18 50 40 EST Mon Jan 10 19 20 41 EST 2005 13 EventDestSummary events 20050110 1 Mon Jan 10 19 20 42 EST Mon Jan 10 19 50 43 EST 2005 14 EventDestSummary events 20050110 1 Mon Jan 10 19 50 44 EST Mon Jan 1
32. 9 will be set to AA CustomerVar9 4 CustomerVar 9 will be set to BB CustomerVar9 300 CustomerVar89 will not be set Internamente o Sentinel converte os endere os IP e as datas em um inteiro para tags do tipo IPv4 e Data As tags Ipv4 s o as seguintes DestinationIP dip SourcelP sip As tags de data s o as seguintes CustomerVarll a CustomerVar20 cvll a cv20 DateTime dt ReservedVarll a ReservedVar20 rvll a rv20 Para obter mais informa es sobre as metatags consulte o Guia de Refer ncia do Sentinel Cap tulo 5 Metatags do Assistente e Sentinel Por exemplo na tabela a seguir a coluna 1 o intervalo num rico equivalente a um intervalo de IP de 10 0 0 0 a 10 0 2 255 167712160 167772415 AAA 167772416 167772671 BBB 167772672 167772927 CCC Usando a mesma configura o que o exemplo anterior se a Tag de Evento configurada como DestinationIP e a coluna de chave configurada como coluna 1 intervalo Coluna de Mapa como coluna 2 valor 2 Os valores de sa da para CustomerVar89 Guia do Usu rio do Sentinel The first 500 rows are shown 1 comi Column 2 Name range alue Type umberRange tring o k 4 167772672 167772927 r Data Source External Referenced from Map Map Name af Maps e Securityquerty Map Column value 7 Key Configuration DIPCountry Map Key Field Event Tag C
33. A senha n o deve ser uma palavra comum por exemplo n o deve ser uma palavra registrada em dicion rio nem g ria de uso comum 4 A senha n o deve conter palavras de idioma algum pois existem v rios programas de invas o de senha capazes de verificar milh es de possibilidades de combina es de palavras em segundos 5 Escolha uma senha de que possa se lembrar mas que seja complexa Por exemplo Mft5 AIdade meu filho tem 5 anos de idade OU EmnCh5 a eu moro na Calif rnia h 5 anos Para mudar sua senha do Sentinel Control Center 1 Clique em Op es gt Mudar Senha 2 Digite a senha antiga 3 Digite a nova senha duas vezes para confirm la NOTA A Novell recomenda como melhor pr tica uma extens o m nima de senha de oito caracteres que incluam alfanum ricos 4 Clique em OK Navegando pelo Sentinel Control Center 2 9 2 10 Guia do Usu rio do Sentinel Guia Active Views NOTA O termo Agente intercambi vel com Coletor Mais adiante Agentes ser referido como Coletores Voc deve ter a permiss o adequada para usar a guia Active ViewsTM Caso esta permiss o n o seja concedida nenhuma das permiss es relacionadas s a es que usam esta guia estar dispon vel A guia Active Views permite monitorar eventos quase em tempo real e realizar consultas nesses eventos Voc pode monitor los no formato de tabela ou por meio de representa o gr fica 3D em barras 2D de
34. Environment Ambiente de Desenvolvimento Integrado que permite ao usu rio criar novos Coletores para analisar dados dos dispositivos de origem usando uma linguagem interpretativa com finalidade especial desenvolvida para lidar com a natureza dos eventos de rede e de seguran a Servi os comuns Todos os componentes descritos acima na camada de coleta e enriquecimento s o orientados por um conjunto de servi os comuns Esses servi os utilit rios estruturam a coleta e enriquecimento de dados e auxiliam na filtragem do ru do das informa es por meio de filtros globais aplicando tags definidas pelo usu rio para enriquecer as informa es dos eventos por meio dos servi os de mapeamento de taxonomia e relev ncia comercial e controlando as fun es dos Coletores de dados por meio de servi os de comando e controle Taxonomia quase todos os produtos de seguran a geram eventos em formatos e conte dos diferentes Por exemplo o Windows e o Solaris registram as falhas de maneiras distintas A taxonomia do Sentinel traduz automaticamente os dados de produtos heterog neos em termos intelig veis permitindo uma visualiza o homog nea em tempo real de toda a seguran a da rede A taxonomia do Sentinel formata e filtra dados iniciais de eventos de seguran a antes de adicionar o contexto dos eventos ao fluxo de dados Esse processo formata todos os dados de seguran a numa estrutura otimizada para que o mecanismo Sentinel Correl
35. Iniciando ou terminando um processo l 2 Clique na guia iTRAC Clique no bot o Gerenciador de Op es de Tela 2 Clique duas vezes em uma das telas padr o ou crie uma nova tela As telas padr o s o Todos os Processos Processos por Incidente Processos por Status No Gerenciador de Processos Ativos realce um processo clique o bot o direito do mouse e selecione Iniciar Processo ou Terminar Processo Criando uma atividade usando a estrutura de atividades Criando uma atividade l 2 3 4 Clique na guia iTRAC No Navegador clique em Administra o do iTRAC gt Gerenciador de Atividades Clique o bot o direito em Nova Atividade Selecione uma das seguintes op es Activity Wizard Select Activity type name and description Type Usage Incident Command Activity Incident Command Activity Incident Internal Activity Incident Composite Activity Guia iTRAC 5 11 5 12 Atividade de Comando de Incidente inicia um comando espec fico com ou sem argumentos Sa da de Incidente oferece os seguintes argumentos o DIP o SIP o DIP Porta o SIP Porta o Incidente o Texto 2 RTI DeviceAttackName O usu rio pode personalizar seus pr prios argumentos Para esta atividade voc tamb m pode configurar o envio do resultado por e mail e ou anexar o resultado ao incidente Activity Wizard xi Activity Wizard xi Command Arugments Wizard Command Attachment Wizard Provide
36. Key Configurati Physical ssetN Selecione um dos seguintes mapas padr o ou um mapa que voc criou Bem Cont m os dados do arquivo de origem de dados de mapa asset csv O asset csv automaticamente gerado a partir dos dados de bens do Banco de Dados do Sentinel quando um Coletor de bem executado Esse arquivo poderia ser preenchido manualmente no lugar caso desejado AssetToRegulation Cont m os dados do arquivo de origem de dados de mapa AssetToRegulation csv Esse arquivo deve ser preenchido manualmente AttackSignatureNormalization Cont m os dados do arquivo de origem de dados do mapa attackNormalization csv assinaturas IDS O arquivo attackNormalization csv automaticamente gerado a partir dos dados do Advisor do Banco de Dados do Sentinel quando se completa uma alimenta o do Advisor IpToCountry Cont m os dados do arquivo de origem de dados de mapa IpToCountry csv Esse arquivo deve ser preenchido manualmente IsExploitWatchlist Cont m os dados do arquivo de origem de dados de mapa exploitDetection csv vulnerabilidades e amea as O arquivo exploitDetection csv automaticamente gerado a partir dos dados do Advisor e de Vulnerabilidade do Banco de Dados do Sentinel quando se completa uma alimenta o do Advisor ou executado um Coletor de vulnerabilidade Clique no campo Coluna de mapa e selecione um nome de Coluna de mapa Dependendo da sua escolha de nome de map
37. Tela s Ativa s em coleta Tela Ativa permanente inativa Removida DAS Binary envia esse evento quando uma Tela Ativa permanente removida em virtude de inatividade Telas Ativas permanentes s o aquelas gravadas nas prefer ncias do usu rio e expiradas ap s v rios dias de inatividade por padr o Tag Valor Gravidade 1 Nome do evento RtPermanentChartRemoved Recurso RealTimeSummaryService Sub recurso ChartManager Mensagem Tela Ativa permanente inativa com filtro lt filtro gt e atributo lt atributo gt para usu rios com filtro de seguran a lt filtro de seguran a gt No momento lt n gt Tela s Ativa s em coleta A 16 Guia do Usu rio do Sentinel Tela Ativa agora permanente DAS Binary envia esse evento quando detecta uma Tela Ativa que acabou de se tornar permanente Essa verifica o acontece periodicamente portanto pode ser feita v rios minutos ap s a grava o da Tela Ativa nas prefer ncias antes da gera o desse evento Tag Valor Gravidade 1 Nome do evento RtChartIsNowPermanent Recurso RealTimeSummaryService Sub recurso ChartManager Mensagem Tela Ativa com filtro lt filtro gt e atributo lt atributo gt para usu rios com filtro de seguran a lt filtro de seguran a gt agora permanente Tela Ativa n o mais permanente DAS Binary envia esse evento quando detecta uma Tela Ativa anteriormente permanente e que deixou de s
38. ii icreecaeenacarenaa aaa raeaaca rena anareaaa atenas 9 30 10 Gerenciador de Dados do Sentinel 10 1 Instalando o SDM 2 cestas atas e Ene DSO ES O e es DES S eS E 10 1 Iniciando a interface do usu rio do SDM eee eere acer a cre aaara acena carnes 10 2 Conectando se ao banco de dados ereta eaeaanaraaaaeaanaraaaaaaa nara naeaananana 10 2 PartiGhE Snp e a SL DAS DESL ep ASSIS T aaa Ea LOS Essas E TE 10 4 Tabelas asas seca E E E agia COS OG RARA COBRADOS Mto NE A pa DEAR ga ADA dl E Da 10 6 Guia Mapeamento riie ires i aadasuas e E a a a nal resets saia 10 7 Guia EVentOS ssni errian aren ee nrn aeee etaa SU E eate SS GU deaa eea anad EUA eae Eaa yia Eua di 10 16 G ia Relatando dados s sp ean ir eae A A aeaa aaa E a NES Ra GDA A A aea a Eaa AEE AER E RaT 10 22 Linha de comando SDM Li sussa csssqpartessgeo eiei ta oeiee aeaaea eiee aike taner aere taiea DEUS dias 10 27 Gravando as propriedades da conex o no Gerenciador de Dados do Sentinel 10 27 Gerenciamento de parti o er i aa o i aa a e a ap esT iaa Gerenciamento de arqUV Oin aeee eean arena aaa e e aa a Aaa aa Taa a aa ra aaa Aa aa aaea eaa anaana anaiai Gerenciamento de importa o ii ereerreaaerecarea aaa anar aaa anar anna anaraanaa Gerenciamento de tabelas ir eereerrreaaeacarea aaa esae ah oeiee a okie Atualizando os mapeamentos linha de comando e eerreea
39. lt nome gt iniciada Distribui o de regra interrompida Esse evento enviado quando um mecanismo descarrega uma distribui o de regra com xito Essa mensagem enviada independentemente do estado de execu o do mecanismo Tag Valor Gravidade 1 Nome do evento DeploymentStopped Recurso CorrelationEngine Sub recurso Distribui o Mensagem Distribui o lt nome gt interrompida A 12 Guia do Usu rio do Sentinel Distribui o de regra modificada Esse evento enviado quando um mecanismo recarrega uma distribui o de regra com xito Essa mensagem enviada independentemente do estado de execu o do mecanismo Tag Valor Gravidade 1 Nome do evento DeploymentModified Recurso CorrelationEngine Sub recurso Deployment Mensagem Distribui o lt nome gt modificada WatchDog Processo controlado iniciado Watchdog executado como um servi o Sua finalidade principal manter os processos do Sentinel em execu o Se um processo desativado o Watchdog reiniciar automaticamente esse processo Esse evento enviado quando um processo iniciado Tag Valor Gravidade 1 Nome do evento ProcessStart Recurso WatchDog Sub recurso Processo Mensagem Processo lt Nome_programa gt inicializado lt pid gt Processo controlado interrompido Esse evento enviado quando um processo interrompido A gravidade def
40. o Avan ada H quatro tipos diferentes de filtros dentre os quais escolher S o eles Permitir tudo Permite todos os eventos Padr o Qualquer express o regular com uma sintaxe semelhante a grep Gerenciador de Filtro Uma lista suspensa que exibe o Gerenciador de Filtro para a sele o ou cria o de um novo filtro Construtor Cria o de crit rios para inclus o ou exclus o de eventos com base na lgebra booleana Esta regra permite que voc Conte o n mero de vezes que certas condi es s o atendidas dentro de determinado per odo de tempo Incorpore todos os recursos da regra de correla o simples e tamb m avalie eventos em rela o a eventos passados Por exemplo uma regra de Correla o Avan ada pode procurar por eventos do mesmo endere o IP fonte para o mesmo endere o de destino com o mesmo nome de evento que ocorre tanto dentro quanto fora de um firewall o que quer dizer que o ataque ocorreu atrav s do firewall Correla o de RuleLg de formato livre A linguagem de defini o de regra de correla o RuleLg permite que voc tenha controle total sobre a defini o das regras de correla o Para usar esse tipo de regra de correla o voc deve estar familiarizado com a linguagem de defini o das regras de correla o RuleLg Distribui o da regra do mecanismo de correla o Para usar esse recurso voc deve ter a permiss o de usu rio Iniciar Parar Mecanismo
41. o Incidente de E mail El Digite Endere o de E mail Assunto do E mail Mensagem de E mail Clique em OK A mensagem de e mail ter anexos em html com detalhes do incidente eventos bens vulnerabilidades informa es do consultor e hist rico do incidente Guia do Usu rio do Sentinel Criando um incidente Para executar esta fun o voc deve ter a permiss o do usu rio Criar Incidente s Essa fun o til no agrupamento de um conjunto de eventos reunidos como um todo representando alguma coisa de interesse um grupo de eventos semelhantes ou um conjunto de eventos diferentes que indicam um padr o de interesse como um ataque NOTA Se os eventos n o forem exibidos inicialmente em um Incidente rec m criado a causa prov vel uma lacuna entre o momento da exibi o na janela Eventos em Tempo Real e o instante da inser o no banco de dados Se isso ocorrer aguarde alguns minutos para que os eventos originais sejam finalmente inseridos no banco de dados e exibidos no incidente Para criar um incidente 1 Em uma tabela Tempo Real de Evento do Navegador Visual ou uma Tabela de Tempo Real de Eventos de Instant neos selecione um evento ou grupo de eventos clique o bot o direito do mouse e selecione Criar Incidente Show Details Add To Incident 2003 12 29 12 03 11 PMEST Na janela Novo Incidente est o as seguintes guias Eventos mostra quais eventos comp em o incide
42. o de Menu 9 22 detalhes filtro particular 9 18 filtro p blico 9 18 detalhes da fun o Vi alizandO nac i 9 30 detalhes de eventos instant neo siri 3 7 navegador visual eeen 3 7 detec o de explora o 1 7 distribuindo regras de correla o 9 9 dropImported 10 31 10 37 10 38 dropPartition 10 30 editando janela de correla o secere 9 9 eliminando parti es 10 31 email execution properties eeen 4 8 Laet 5 M E ERR CRER ER AR PER 4 8 e mail do Consultor 7 4 eSecurity service Consulte Watchdog EVENTO Ss ri E SS O pe GU US a SSD 1 2 eventos visualizando eventos que acionaram um evento correlacionado 3 12 events investigating 3 12 relationship with incidents 4 2 executando Crystal Report sin 6 2 7 1 relat rio de consulta de evento 6 2 relat rio de eventos correlacionados 6 3 execution properties 4 8 exportando pasta de regra de correla o 9 8 filesTolmport 10 35 filtro global 9 14 apagando siioni asma eeoa 9 16 banco de dados 9 15 banco de dados e GUI 9 15 Coldt po o n a RR RO a RR RR 9 15 queda i apse a a Sega cesar 9 15 re
43. regra Sia ea aena aaa aae ea a e ae 9 3 regras de correla o 9 3 distribuindo 9 9 exportando Nin 9 6 importando inane aa 9 6 regras de evento 9 3 Relat rio de an lise configurar URL 9 1 Relat rio de consultor configurar URL 9 1 relat rio de eventos correlacionados executando menna a n BUS 6 3 Relat rio do Consultor ETAO 6 EAE E ATT 7 1 Remedy EE T E E 3 22 renomeando os cabe alhos da coluna de evento 10 21 rulelg_checker surrer 1 14 saveConnection executando iereeereeereanaos 10 28 SDM Consulte o Gerenciador de Dados do Sentinel senha Sentinel Control Center 2 9 Senha do Consultor download direto s 7 3 Sentinel arquitetura niisiis iia 1 3 eletto 0 VO ME E 1 3 DrOCESSOS era fi asian TRAI 1 12 Sentinel Control Center colocando janelas em cascata 2 7 fechando janelas 2 8 iniciando UNIX 2 2 iniciando no Windows 2 2 janela de navega R o flutuando 2 7 janela do navegador ancorando 2 7 janela do navegador mostrando 2 7 janela do navegador ocultando 2 7 lado a lado tes esias assa dotes en dinia ass anaana 2 8 minimizando janelas s e 2 8 posi o da guia ieaie eee 2 7 restaurando janela 2 8 restaurando janelas
44. rios de hist rico Encerramento Inicializa o do Sentine Gerenciamento de Host do Assistente Avalia o de vulnerabilidade Incidentes Monitoramento de eventos Casos Filtragem de eventos Gerenciamento de usu rios Correla o de eventos Workflow Gerenciador de Dados do Sentinel Volume III Guia do Usu rio do Assistente Este guia aborda o seguinte Opera o do Construtor de Coletor Gerenciamento de Host do Assistente Assistente Constru o e manuten o de coletores Gerenciador de Coletor do Assistente Coletores Volume IV Guia de Refer ncia do Usu rio do Sentine Este guia aborda o seguinte Linguagem de cria o de scripts do g assistente a Comandos de an lise do Assistente a Fun es do administrador do Assistente n Metatags do Assistente e do Sentinel Mecanismo de correla o do Sentinel Permiss es de usu rio Op es da linha de comando de correla o Esquema do banco de dados do Sentinel Volume V Guia de Integra o de Terceiros do Sentinel Remedy g Opera es do HP OpenView HP Service Desk Sum rio 1 Introdu o ao Sentinel 1 1 Arquitetura t nci r ls iepa aaraa aaa a aaa aaaea a Eea paaa aa Aaaa NE area E A AEAEE sds 1 3 Rec rsosdo Sentinelanieenennne iae A a a A a E a e a LES ISA n a e a T 1 3 Vis o geral da arquitetura nisiende rinadi dae riad eNi iie SNE aa aiderait 1 3 Plataforma SCALE usasse EE E E E
45. rtf Excel ou como Relat rio Crystal clicando em Exportar envelope Crystal Report rpt Microsoft Excel 7 0 xls Microsoft Word doc Rich Text Format rtf Portable Document Format pdf Consulta de Eventos Semelhante ao Analista de Seguran a se voc tiver um evento ou eventos de interesse nos relat rios poder executar uma Consulta de Evento na guia An lise Para realizar uma consulta realce Eventos de Hist rico gt Consultas de Evento de Hist rico e clique em Criar Relat rios lente de aumento Para obter mais informa es consulte Analista de seguran a Exemplo de cen rio de consulta de eventos Administradores Correla o B sica 12 6 A correla o o processo de analisar eventos de seguran a para identificar relacionamentos em potencial entre dois ou mais eventos A correla o permite uma r pida associa o de ataques priorit rios com base em elementos comuns de dados do evento Em refer ncia ao cen rio telnet em Analista de seguran a Exemplo de cen rio de consulta de eventos pode se criar uma Regra de Correla o B sica que acionar um evento correlacionado quando forem feitas quatro tentativas de telnet em um per odo de 10 segundos Para criar uma regra de correla o 1 V at a guia Admin e realce as Regras de Correla o na barra de navega o 2 Crie uma pasta e coloque sua regra nela Faz se isso atrav s de uma op o com o bot o direito 3 Realc
46. selecionada direita da express o Regex valor num rico Use um ponto e um asterisco com o string para o string valor Sub rede valor num rico Uma opera o correspondente de sub rede string corresponder caso o endere o IP que est sendo comparado estiver na mesma sub rede como especificado na opera o de sub rede de correspond ncia Abrindo a janela Regras de Correla o A janela Regras de Correla o permite fazer o seguinte Nova pasta para criar uma nova Pasta de Regra Nova regra para criar uma regra para uma pasta Copiar uma pasta de regra permite modificar as Pastas de Regra copiadas ou as Regras enquanto grava a Pasta de Regra ou a Regra original Apagar uma pasta de regra ou regra voc n o pode recuperar uma Pasta de Regra ou Regra apagadas depois de confirmar a exclus o Renomear para renomear uma regra ou pasta de regra Importar uma pasta de regra abrir uma janela do browser Exportar uma pasta de regra abrir uma janela do browser exportando a pasta de regra como arquivo xml Editar permite editar e visualizar as regras e as propriedades da pasta Abrindo a janela de Regras de Correla o 1 Clique na guia Admin 2 No Navegador de Admin clique em Regras de Correla o Copiando e criando uma pasta de regra ou regra Criando uma pasta de regra 1 Abra a janela de Regras de correla o Guia Admin 9 7 5 6
47. um exemplo de um WEB MISC amazon 1 click cookie theft Guia Active Views 3 15 Advisor Summary IWEB MISC amazon 1 click cookie theft 2991272 1087 1194 8835 9010 IWEB MISC amazon 1 click cookie theft 2992801 1194 8835 9010 Advisor Report 3 4 Microsoft Excel contains a flaw that may allow a malicious user to rui warning the user The issue is triggered when a malicious user creat Excel macro commands and embed commands in a spreadsheet that launch the macro without asking the user for permission If may be p user to persuade the user to launch the file containing embedded ma loss of integrity and or availability of data Urgency Severity Scenario Impact Loss of Integrity Safeguards gt An lise Visualizando dados de bens Esta fun o permite visualizar e gravar sua tela como um arquivo HTML do Relat rio de Bens Voc deve executar o Coletor de gerenciamento de bens para visualizar estes dados Estes s o os dados dispon veis para visualiza o Hardware Endere o MAC Valor Nome Import ncia Tipo Distin o Fornecedor Ambiente Produto Local Vers o Rede Endere o IP HostName Software Nome Produto Tipo Vers o Fornecedor Contatos Ordem E mail Nome Telefone Fun o Local Sala Endere o Rack 3 16 Guia do Usu rio do Sentinel Para visualizar os Dados de Bens 1 Em uma tabela Tempo Real de Evento do Navegador Visual
48. veis de acordo com a guia ativada e com as permiss es do usu rio Menu Arquivo Gravar Prefer ncias Sair Menu Op es Mudar Senha Posicionamento da Guia 2 Acima 2 Abaixo Ancorar Navegador Mostrar Navegador 2 2 Guia do Usu rio do Sentinel Menu Janelas Colocar Tudo em Cascata Colocar Tudo Lado a Lado a Lado a Lado com o Melhor Ajuste 2 Lado a Lado Horizontal 2 Lado a Lado Vertical Minimizar Tudo Restaurar Tudo Fechar Tudo Active Views Propriedades Criar Tela Ativa Consulta de Eventos Tempo Real de Evento o Instant neo o Gerenciar Colunas Incidentes Exibir Gerenciador de Telas de Incidentes Criar Incidente Configura o de Viewer de Anexos ITRACTM Exibir Gerenciador de Processos An lise Criar Relat rio Consultor Criar Relat rio Coletores Exibir Gerenciador de Telas de Coletor Admin Configura o de Relat rios Regras de Correla o Gerenciador de Mecanismos de Correla o Configura o de Filtro Global Configura o de Menu Configura o de Filtro Configura o do Usu rio Ajuda Sobre o Sentinel Navegando pelo Sentinel Control Center 2 3 Barra de Ferramentas Cinco bot es que abrangem o sistema s o constantemente exibidos na barra de ferramentas Os outros bot es s o exibidos de acordo com a guia ou janela ativada e com as permiss es do usu rio Barra de ferramentas no mbito do sistema E
49. 1 10 sdm action partitionConfig freq 1D days 10 connectFile sdm connect No exemplo a seguir o sistema adicionar uma parti o 1 parti o por 7 dias 1 10 7 sdm action partitionConfig size 1W days 10 connectFile sdm connect Adicionando parti es Esta a o addPartitions adiciona o n mero necess rio de parti es de acordo com a configura o de parti o nas tabelas a seguir Oracle 2 EVENTS a CORRELATED_EVENTS EVT DEST EVT NAME SMRY 1 2 EVT DEST SMRY 1 2 EVT DEST TXNMY SMRY 1 EVT PORT SMRY 1 2 EVT SEV SMRY 1 2 EVT SRC SMRY 1 SQL Server 2 EVENTS a CORRELATED EVENTS 2 EVT DEST EVT NAME SMRY 1 2 EVT DEST SMRY 1 EVT DEST TXNMY SMRY 1 EVT PORT SMRY 1 2 EVT SEV SMRY 1 2 EVT SRC SMRY 1 Caso sua configura o tenha 10 dias que mere am parti es todas as vezes que voc executar addPartitions o sistema verificar se voc tem 10 dias de parti es no futuro Se voc tiver parti es suficientes para os pr ximos 10 dias ele n o far nada Caso contr rio acrescentar o n mero necess rio de parti es por 10 dias Gerenciador de dados do Sentinel 10 29 Esta a o usa os seguintes indicadores action addPartitions connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Executando addPartitions 1 Execute este comando da seguinte forma sdm action addPartitions connectFile lt caminho para o nome de arquivo gravado por s
50. 172167105 186 45 34 122 17216 5105 172 30 2 202 172 30 2 202 6 07 07 2006 14 51 16 172 30 2 202 07 07 2006 14 51 11 6 07 07 2006 14 51 11 07 07 2006 14 51 10 amp 07 07 2006 14 51 06 172 30 2 202 E E 186 45 34 122 17216 2106 89 62 44 56 17216 2106 07 07 2006 14 51 06 172 30 2 202 07 07 2006 14 51 06 172 30 2 202 07 07 2006 14 51 03 6 07 07 2006 14 51 01 07 07 2006 14 51 01 NF N7 2NNR 145101 4 Guia do Usu rio do Sentinel 34 55 7412 17218 2105 Do irz302202 Do trr23022 172302202 F 2 Se voc quiser ver detalhes como a hora em que abriu o Sentinel Control Center clique em Arquivo gt Gravar Prefer ncias ou clique no bot o Gravar Prefer ncias do Usu rio bd Para ocultar detalhes de um evento 1 Em uma tabela Tempo Real de Evento do Navegador Visual ou Instant neo com os detalhes dos eventos exibidos no painel esquerdo clique duas vezes ou clique o bot o direito do mouse em um evento e clique em Mostrar Detalhes A janela de detalhes do evento ser fechada 2 Se voc n o quiser ver detalhes exibidos ao abrir novamente o Sentinel Control Center clique em Arquivo gt Gravar Prefer ncias ou clique no bot o Gravar Prefer ncias do Usu rio ta Enviando mensagens sobre eventos e incidentes por e mail A capacidade de enviar e mails definida no arquivo execution properties durante a instala o Esse arquivo
51. 514 shell TCP 587 submission TCP 587 submission TCP 587 submission TCP 5 87 submission TCP 587 submission TCP 587 submission TCP 587 submission TCP 58 submission TCP 587 submission TCP 587 submission TCP 6000 x11 TCP 7100 font sarvica TCP a27 78isometirnes rpei 9 TCP 22779 sometimes rpra1 TCr a2779 sometimes rpca1 TCP 32779 sometimes rpca1 TCR 172 140 132 18 O JTCP 21 Ftp TCP 21 ftp TCP 21 ftp TCP Z2 ssh JTCP Z2 ssh TCP 22 ssh TCP 23 telnat TCP 23 talnet TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 587 submission TCP 587 submission T CP 587 submission TCP 124 nessus TCP 1241 nessus TCP 3306 mysql TCP 1214071 as OJJFTCP O JZ TCP 21 fp TCP 27 Ftp TCP 22 ssh f TCP 23 telnat TCP Z3 talnet f TCP 23 telnet TCP 25 srtp TCP 25 smtp TCP 25 srtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 99 dnsix TCP M dnsiz TCP M dnsix 4T CP 20 dnsik TCP dnsix TCP 90 dnsik f TCP 90 dnsixj TCP 90 dnsik TCP 111 sunrpo TCP 1141 sunrpc TCP 161 snmp UDP 512 axec TCP 513 login TCP 514 shellj TCP 587 subrnlssion fTCP 587 subrnisslon STCP Sar subrmisslonjsTCr 5ar submisslonj TCR 587 submission TCP 587 submissionjt TCP 587 subrnilsston STCP 587 subrnisslon STCP Sar subrmisslon 4TCP 5a7 submisslon TCP 6000 x11 TCP 71D0 font service T C
52. 6 2 UNKNOWN DESKTOP UNKNOWN UNKNOWN devbox06 04 2 44 65 JINKNOYWN DE OP UNKNOWN UNKNOWN UNKI 192 168 0 6 04 23 A3 44 33 UNKNOWN DE UNKNOWN UNKNOW devhox07 04 23 A3 44 65 lt NOVIN DESK JNKNOWN UNKNOWN UNK 192 168 0 7 A34 UNKNOWN DESKTOP UNKNOWN UNKNOWN UN devbox 3 A3 44 65 85 UNKNOWN DESK UNKNOWN UNKNOWN UNKA Back Next Cancel Selecione o seu arquivo de defini o de mapa Clique em Avan ar NOTA Para os arquivos de mapa que contiverem mais de 500 linhas voc n o ver todas as linhas no SDM 8 Najanela Defini o de novo mapa configure o seguinte Delimitador pipe v rgula ponto e v rgula etc de dados nas linhas do arquivo de origem de dados do mapa Iniciar na linha o n mero de linhas a serem puladas a partir do in cio do arquivo de origem dos dados de mapa Nomes de coluna Tipos de colunas Os tipos de colunas suportados s o String Uma string um grupo de caracteres usados como um nico objeto por um computador Uma string pode ser formada de uma nica letra palavra ou n mero A palavra FINAN A ou o endere o IP 192 168 2 40 poderia ser uma string Uma string tamb m pode ser formada por uma combina o de palavras espa os e n meros O endere o 1313 LION DOG TOWER
53. Ajuda na caixa de di logo Configura o de Menu ou v at o cap tulo Metatag no Guia de Refer ncia do Usu rio Sentinel 4 Clique em OK A nova op o adicionada lista de itens de menu na janela Configura o do Menu Modificando uma op o de menu Configura o de Menu Para modificar uma op o de menu de Configura o de Menu 1 Abraa janela Configura o de Menu 2 Clique duas vezes em uma op o do menu 3 Digite suas mudan as desejadas e clique em OK Visualizando os par metros da op o Configura o de Menu Para visualizar os par metros para uma op o de menu Configura o de Menu 1 Abraa janela Configura o de Menu 2 Realce um item do menu e clique em Detalhes Guia Admin 9 21 Ativando ou desativando uma op o de menu Configura o de Menu Para ativar ou desativar uma op o de menu Configura o de Menu 1 Abraa janela Configura o de Menu 2 Selecione uma op o de menu clique o bot o direito do mouse e selecione Ativar ou Desativar traceroute Whois Add Lauch Esecu Details Clone Delete Up Down Deactivate Reorganizando as op es do menu de evento Para mover uma op o de menu Evento para cima ou para baixo 1 Abra a janela Configura o de Menu 2 Selecione uma op o de menu e clique em Para cima ou Para baixo Apagando uma op o do menu Configura o do Menu Para apagar uma op o de menu Configura o de Menu 1 Abra
54. Avan ar Scheduled Task Wizard xj Select the time and day you want this task to start Start time E 42 AM een Perform this task Every Day C Weekdays C Every f days Start date 7413 2005 z Kea 8 Insira um nome com o qual esta tarefa ser executada O usu rio n o pode ser a conta de sistema local Deve ser executado como usu rio espec fico Clique em Avan ar 9 Clique em Concluir para encerrar como tarefa agendada Gerenciador de dados do Sentinel 10 43 10 44 Guia do Usu rio do Sentinel Iniciando e parando o Sentinel Server o Gerenciador de Coletor e o UNIX NOTA O termo Agente sin nimo de Coletor De agora em diante Agentes ser o referidos como Coletores Iniciando o Sentinel Server do UNIX No UNIX a inicializa o do Sentinel Server tamb m inicia o Servidor de Comunica o Iniciando o Sentinel Server do UNIX 1 Como usu rio esecadm use o comando cd para trocar para o diret rio ESEC HOME sentinel scripts 2 Execute o seguinte comando sentinel sh start Parando o Sentinel Server do UNIX No UNIX parar o Sentinel Server tamb m p ra o Servidor de Comunica o Parando o Sentinel Server do UNIX 1 Como usu rio esecadm troque para o diret rio SESEC HOME sentinel scripts usando o comando cd 2 Execute o seguinte comando sentinel sh stop Iniciando o Gerenciador de Coletor do UNIX Iniciando o Gerenciador de Coletor do UN
55. E E E E E EET 1 4 Evento do SENIN Ela A e a Ea a ee a a a a e aae A a dh das aa eaae ir tea aaia Epi in 1 6 ElOnarios Pes ss fes al ate ido TENE A TA EAE EE AAE TA AEA ART 1 10 Eventos internos ou de sistema ii itererereeereeeerererenaaaarereeeeeaaanaerereeeeaaaaaerererenanenanaas 1 12 PLOCeSSOS uia as ia de NS O A SON NGS o pa AA GNR E 1 12 Ar itet ra o o os WARS ca NUR O ERR RR RENT RES RD NOR OR O E RR 1 15 Camada de coleta e enriquecimento errar cara caeaa ceara naraa caraca nana 1 16 Camada de l gica comercial aniser eee i kaiii siie riu cepas i EE eiis 1 19 Camada de apresenta o niinen oe aaae a EA Ea Tet OAA R e aS 1 23 M d loS dO p go o 5 O e a RR RAR RS RR RNA a a E RU OND RO SR 1 24 Sentinel Control Center sam E seem pio dorsais EE ssa sda dias deal AE dos in adia so E danado si bacias Sa SD 1 24 Sentinel Wizard ererererereeeeeererererererererereeeeeeeee aeee aeaeneaeaeaererenererea area area ea esa arenas naaaa 1 24 e SQMINSlAVISOL yiee rer enea eraa e Dadas valia surda ESA a a Era empadas 1 24 fais e PEP A E IEN o OS EN E REQ UN AE RO RR RR A PR E RR 1 24 Conven es USadaS ikisi ache anseianaoado dies ands ii cido dia n fas silas Dada pa dRS aa Legaus doada q dba du dao 1 25 NotaresaVISOS s stsmasA trata an mal ido os Marcada cio Sta Siena Alia oba Siam ia a RA Lida CAR o AATE REA Sd 1 25 Comandos lt t L0 I3siissrastasoss A E A A EA T AN STS A E A A asa EL EEE E Sos 1 25 Qutras
56. Ferramentas sausasastgestas cutndnasb aiges a a o Oni r ds Into ud ada na ada ler dani a ata r 2 4 Barra de ferramentas no mbito do sistema iieseeeeeeeteeeeeeseeeaneaaereesaneaaaeaaaeeeaa 2 4 QuiasAciive Mies Ms x 28 db ias qo cas AT A O AAA E oO RaIE Cito ba dho T CR nas Saio sado 2 4 Quia Ihcidentes nE E E EE E E E EE aaa EE AE EE DUNGA a EE E ndo a Sta sdE dis 2 5 aTa OEE EEEE O RAAE AEA E AA A A E A AE EENS 2 5 G aA An l S e ConsUtOr a e T a T a e GUEDES aa a a e dis aa aea La an ga 2 5 Guia 670 ci To d PR 2 6 Quia AdMin aa a a pino peguei ganda S USO pule naa OO ESaUaaiU ea 2 6 Sum rio 1 Mudando a apar ncia do Sentinel Control Center Definindo a posi o da guia Mostrando ou ocultando a janela do Navegador Ancorando ou flutuando a janela do Navegador Colocando as janelas em cascata Colocando as janelas lado a lado Minimizando e restaurando todas as janelas Para restaurar todas as janelas ao tamanho original Para restaurar uma janela individual erre caaeaa aerea aca ranaanarenaaaaeana aereas Fechando todas as janelas abertas de uma vez Gravando prefer ncias do usu rio Mudando a senha do Sentinel Control Center ese eerereaaeaeeeacaneraaaaeaaaneaeaana 3 Guia Active ViewsTM Guia Active Views DeSCri o 2a hernaniarra a irena i a da aquilo reo AA R ane bb tags
57. Gravar Visualizando os detalhes de um filtro p blico e particular Para ver um filtro p blico ou particular 1 Abra a janela do Gerenciador de Filtro 2 Selecione um filtro e clique em Detalhes Apagando um filtro p blico e particular Para apagar um filtro p blico e particular 1 Abra a janela do Gerenciador de Filtro 2 Selecione um filtro e clique em Apagar 3 Abrir uma janela de confirma o Definir configura o do menu Para usar este recurso voc deve ter a permiss o do usu rio Configura o de Menu Use a janela Configura o de Menu para criar os itens de menu que aparecem no menu Evento que aparece em qualquer tabela que exibe um evento por exemplo janela Tempo real de evento janela Instant neo janela Eventos de incidentes etc ao selecionar um ou mais eventos e clique o bot o direito do mouse O Sentinel tem os seguintes itens padr o de Configura o do Menu que voc pode clonar ativar ou desativar ping Faz ping do IP de destino do evento selecionado nslookup Realiza um nslookup no IP de origem do evento selecionado 9 18 Guia do Usu rio do Sentinel traceroute tracert no MS SQL Realiza um traceroute do IP de origem do evento selecionado no Sentinel Server Whois Realiza uma pesquisa ARIN Whois no IP de origem do evento selecionado A Configura o do Menu permite fazer o seguinte Adicionando uma op o ao menu de Configura o de Menu Clonando uma
58. Recurso User Authentication Sub recurso Autenticar Mensagem Falha na autentica o do usu rio lt nome gt com nome de SO lt Usu riodom gt de lt IP gt Evento de usu rio n o existente Quando um usu rio tenta efetuar login no aplicativo e a autentica o bem sucedida mas ele n o um usu rio do Sentinel o seguinte evento gerado Tag Valor Gravidade 4 Nome do evento NoSuchUser Recurso User Authentication Sub recurso Autenticar Mensagem N o foi encontrado nenhum usu rio com o nome lt nome gt Eventos de sistema do Sentinel5 A 1 Objetos de Usu rio Duplicados Quando h um segundo objeto usu rio ativo inesperado isso n o deveria acontecer o seguinte evento gerado Esse um erro interno Tag Valor Gravidade 4 Nome do evento TooMany ActiveUsers Recurso User Authentication Sub recurso Autenticar Mensagem Erro na tabela de usu rio foram encontrados v rios usu rios com o nome lt nome gt Conta bloqueada Quando uma conta de usu rio bloqueada durante uma tentativa de efetuar login o seguinte evento gerado Tag Valor Gravidade 4 Nome do evento LockedUser Recurso User Authentication Sub recurso Autentica o Mensagem Tentativa de login usando conta bloqueada lt conta gt Sess es do usu rio Usu rio efetuou logout Quando o usu rio efetua logout o seguinte evento interno gerado
59. Sentinel que n o sejam saveConnection Se voc tiver executado a interface de usu rio do SDM voc pode usar o arquivo sdm connect que foi criado com a interface de usu rio Ele est localizado em WESEC_HOME sdm no Windows e em ESEC_HOMF sdm no UNIX A fun o de gravar conex o grava os seguintes detalhes da conex o junto com a senha criptografada usando o keystore especificado em configuration xml no arquivo especificado Este comando usa os seguintes indicadores action saveConnection server lt oracle ou mssql gt host lt endere o IP do host do banco de dados ou o nome de host ao qual se conectar gt port lt n mero da porta do banco de dados ao qual se conectar padr o Oracle 1521 SQL Server padr o 1433 gt database lt nome SID do banco de dados ao qual se conectar gt user lt nome de usu rio do banco de dados gt password lt senha do banco de dados gt winAuth Usado para autentica o do Windows Ao usar esta op o n o use user e password connectFile lt nome de arquivo para gravar os detalhes de conex o nome de arquivo de sua escolha gt O aplicativo grava todos os detalhes de conex o acima junto com a senha criptografada no arquivo especificado O aplicativo usa os detalhes gravados da conex o para executar o resto dos comandos Essa etapa deve ser completada na primeira vez em que voc iniciar o aplicativo e todas as vezes que desejar alterar os detalhes da conex o que o a
60. To Incident 2005 01 a dei 005 01 view Trigger Events 2005 01 Investigate 2005 01 5005 01 Analysis E O 2005 01 K 3005 01 nslookup 2005 01 tracert 2005 01 2005 01 whois Gerenciando as colunas em uma janela Instant neo ou Navegador Visual Para selecionar e organizar colunas em um Instant neo ou Navegador Visual 1 Com um janela aberta do Instant neo ou Navegador Visual clique em Tela Ativa gt Tempo Real do Evento gt Gerenciar Colunas ou clique na op o Gerenciar Colunas da Tabela de Tempo Real de Eventos 2 Use os bot es Adicionar e Remover para mover os t tulos das colunas entre as listas Colunas Dispon veis e Mostrar Colunas nesta Ordem O bot o Inserir pode ser usado para colocar um item de coluna dispon vel em uma posi o espec fica Por exemplo na ilustra o a seguir se o usu rio clicasse no bot o Inserir colocaria a coluna AttackId acima da DateTime Available columns Show these columns in this order DateTime SourcelP DestinationIP EventName vulnerability Criticality w EventID SourceID El WizardPort CorrelatedEventUuids Cti Ct3 Customervari add m CustomerYar10 CustomerVar 100 Insert me Customervarii Remove Customervari2 Customervari3 Customervar14 Customervaris Customeritar 1 A Guia Active ViewsTM 3 23 Use os bot es de seta para cima e para baixo para organizar a ordem das colunas como quise
61. a alta taxa de throughput de dados que atravessam os componentes independentes do sistema Os eventos s o compactados e criptografados via cabo para distribui o segura e eficiente da borda da rede ou pontos de coleta para o hub do sistema no qual s o realizadas an lises em tempo real O barramento de mensagens da iSCALE emprega uma s rie de servi os de enfileiramento que melhoram a confiabilidade da comunica o al m dos aspectos de seguran a e desempenho da plataforma Com in meras filas transientes e permanentes o sistema oferece confiabilidade e toler ncia a falhas inigual veis Por exemplo mensagens importantes em 1 4 Guia do Usu rio do Sentinel tr nsito s o gravadas ao serem colocadas em fila em caso de falha na via de comunica o A mensagem em fila enviada ao destino depois que o sistema se recupera do estado de falha SENTINEL CORRELA O CONTROL CENTER iTRAC REPOSIT RIO INSCREVER CANAIS E EVENTO CONTROLE BARRAMENTO DE MENSAGEM iSCALE STATUS R NORMALIZAR GERENCIADOR DE COLETOR GERENCIADOR DE COLETOR PUBLICAR ERNONOMIA NCIA COMERCIAL DE EXPLORA O Saia o E i E a deco eo efe o E a 1 E os a i IZB L DZ AE Wy TE og x Aplicativos Firewall Gerenciamento Gerenciamento Esta es de Laptops p RDBMS 7 doBens dePatchos trabalho A Compra ais i W IDS de host Ef i i a a H Se z 3 l f 4 i H i ua m Antivirus
62. a express o modificada com o editor de formato livre o editor de tabela n o pode ser usado com a express o Selecione os crit rios para as seguintes colunas Propriedade Operador Colunas de valor Suas escolhas s o exibidas na caixa String de express o Na caixa Corresponder se clique em Todas as condi es s o atendidas e Uma ou mais condi es s o atendidas ou Para criar outra express o de filtro clique no bot o Criar uma Nova Express o de Filtro para adicionar outra linha tabela de express o do filtro Guia Admin 9 17 10 Para remover uma express o de filtro selecione uma express o de filtro da tabela e clique no bot o Remover a Express o Selecionada 11 Clique em Gravar Para clonar um filtro p blico e particular A clonagem uma forma conveniente de duplicar um filtro para garantir consist ncia de crit rios entre um grupo de filtros ou usu rios Para clonar um filtro p blico e particular 1 Abraa janela do Gerenciador de Filtro 2 Clique em Clonar 3 Insira um novo nome de filtro 4 Mude qualquer crit rio do filtro original 3 Clique em Gravar Modificando um filtro p blico e particular Para modificar um filtro p blico e particular 1 Abra o Gerenciador de filtro 2 Selecione um filtro e clique em Detalhes 3 Mude qualquer crit rio conforme desejado Voc n o vai conseguir mudar o ID do Propriet rio e o Nome do Filtro 4 Clique em
63. as atividades e informa es sobre atividades espec ficas Os gabaritos cont m atributos que podem ser modificados pelo usu rio O iTRAC permite que os usu rios definam atributos de tempo de espera em um gabarito do iTRAC Uma atividade uma unidade de trabalho l gica e completa dentro do processo do iTRAC Uma atividade representa o trabalho que ser processado pelos usu rios fun es atividade manual ou pelos aplicativos de computador atividades autom ticas As atividades tamb m possuem tempos de espera que os usu rios podem ativar desativar em todas as atividades manuais ou autom ticas Nas atividades manuais al m dos atributos de tempo de espera os usu rios podem configurar o atributo de recurso que determina o usu rio fun o que est executando a respectiva atividade Nas atividades autom ticas al m dos atributos de tempo de espera os usu rios podem configurar a atividade autom tica na estrutura de atividades do Sentinel a ser executada Guia iTRAC 5 1 Template Manager OiTRAC permite que os usu rios criem novos gabaritos manipulem atributos de processo e atividade em um gabarito existente e apaguem gabaritos usando a janela do gerenciador de gabaritos na guia iTRAC Para acessar o gerenciador de gabaritos basta clicar no n Gerenciador de Gabaritos na rvore do navegador na guia iTRAC N Gabaritos EH Novell EN Conformidade E 3 HIPAA 2 Sarbanes Oxley E 9 Seguran a gt R
64. as op es do menu de evento ee ereaeaeaeaeacaraaeanaaraeanaaeaa 9 22 Apagando uma op o do menu Configura o do Menu ese eereaeraaanaa 9 22 Editando as configura es de browser Configura o do Menu 9 22 Estat sticas DTE sis E Rss Reco rE ata Dea ae ana A E a EA O ra ago AE 9 24 Informa o do arquivo de eventos ie rerteacareneaaaa cena care aa aaa rena nara anarenaarernaa 9 25 Configura es do SU IO z e e iaaea E angra ticas Que E EE E Se aaO De sa Ron Ea dl apra Su esa ERE er iiS 9 26 Abrindo a janela do Gerenciador de usu rio eee erereacareanerracaeeanernanaaananaa 9 27 Criando uma conta de USU RIO oreesa aiseee at e Soa DA GORE aeaee ac oa aeae iaae AAA E nakie Ra 9 27 Modificando uma conta de usu rio reecarra caraca aeee carne ceara caraanaenanarana 9 29 Visualizando detalhes de uma conta de usu rio eeeecera rara araaaarnannaa 9 29 Clonando uma conta Je SU iieiea iva ienaa aaaea ae aea aaa aprasiia justos Si esan ia 9 29 Apagando uma conta dELuUSU riO rnorsu sihin ikindi iente saeta asen Ea aeaea epia Eoaea eea o aa ar sasi 9 29 Encerrando uma sess o aliVa sua seas aim cteniposicsibasssa deste i athean pe E aaa aaae Sds nad Ea a trapai aanak diia 9 30 Adicionando uma fun o TRAC errer acena ater aaa acaeaceaa nara naa ana 9 30 Apagando uma fun o ITRAC rir cee arara cara a a aaa Ea ade 9 30 Visualizando detalhes de uma fun o
65. de Anexo 1 Clique na guia Incidente 2 Clique em Incidentes gt Configura o de Viewer de Anexo ou clique em Configurar Viewers de Anexos al Attachment viewers Ext DEFAULT html doc Appl C Program Filesi wi C Program FilestInl C Program Files Mi ADVISOR DEFAULT 3 Clique em Adicionar Attachment Identification Extension Type DEFAULT Subtype DEFAULT Attachment Viewer Application Browse Parameters kFILE Ok Cancel Digite o tipo de extens o como doc xls txt html etc e clique em Procurar ou digite o aplicativo a ser usado para abrir o tipo de arquivo escolhido por exemplo notepad exe para o Bloco de Notas 4 Clique em OK Guia Incidentes 4 7 Enviando um incidente por e mail A capacidade de enviar e mails definida no arquivo execution properties durante a instala o Para configurar esse arquivo consulte o Cap tulo 11 Utilit rios Enviando um incidente por e mail l 2 Clique na guia Incidentes Se dispon vel no Navegador expanda a pasta Incidentes ou clique em Incidentes gt Visualizar Lista de Incidentes ou clique em Visualizar Lista de Incidentes Clique duas vezes no nome de uma Tela de Incidente Clique duas vezes em um incidente Clique em Incidente de E mail E Digite Endere o de E mail Assunto do E mail Mensagem de E mail Clique em OK A
66. de an lise e consultor Para configurar o URL para os Relat rios de an lise e consultor 1 Clique na guia Admin 2 No Navegador de Admin clique em Configura o de Relat rio Guia Admin 9 1 3 Najanela de Configura o de Relat rio clique em Modificar Na caixa URL de An lise insira o URL para o Crystal Enterprise Server e clique em Atualizar http lt IP gt GetReports asp APS lt IP gt amp user Guest amp passwor d amp tab Analysis NOTA lt IP gt o endere o IP do Crystal Enterprise Server Na caixa URL de Consultor insira o URL para o Crystal Enterprise Server e clique em Atualizar http lt IP gt GetReports asp ASP lt IP gt amp guser Guest amp passwor d amp tab Advisor NOTA lt IP gt o endere o IP do Crystal Enterprise Server Para obter mais informa es consulte o Guia de Instala o N Configura o de Relat rios ol xj Op es de Relat rios URL de An lise O stuaiz URL de Consultor O atual Usar browser externo O Usar browser padr o O Useos seguintes comandos para iniciar um broyyser Procurar A ta Ler Renderizar relat rios usando HTML with frames Y A op o de browser externo permite usar seu browser padr o ou outro browser Ao usar um navegador diferente do browser padr o sua linha de comando deve ser seguida por um URL Por exemplo C NArquivos de Programas Internet ExplorerVI
67. de uma hora tempo do evento No caso do EventSevDestPortSummary quando ativo grava a contagem de eventos para cada combina o exclusiva de porta de destino e severidade para um per odo de tempo de uma hora Esses c lculos gravados dos dados de evento permitem a cria o mais r pida de relat rios e pesquisas de resumo Esses relat rios s o usados pelo Crystal Reports Consulte os cap tulos de instala o do Crystal Reports no Guia de Instala o do Sentinel para obter mais informa es Certos resumos v o precisar estar ativos para que os relat rios de resumo sejam precisos A agrega o o processo de c lculo da contagem em execu o para todos os resumos ativos como fluxo de eventos atrav s do sistema Essas contagens em execu o s o gravadas no banco de dados nas respectivas tabelas de resumo Benef cios dos resumos Ampla redu o do conjunto de dados de evento Dimens es adequadas que permitem a capacidade de detalhar acomodar e esquadrinhar os dados de evento Os relat rios de Resumo s o executados com muito mais rapidez do que os resumos pr calculados Benef cios da Agrega o Apenas processa os resumos ativos N o afeta a inser o de eventos no banco de dados de tempo real A guia Relatando dados permite o seguinte ativar desativar quaisquer resumos predefinidos visualizar os atributos de cada resumo vera validade de um resumo para um per odo de tempo pesquisar os arq
68. de uma fun o Para visualizar detalhes da fun o 1 Abraa janela do Gerenciador de fun es 2 Selecione uma fun o e clique o bot o direito do mouse em gt Detalhes da Fun o 9 30 Guia do Usu rio do Sentinel Gerenciador de Dados do Sentinel NOTA O termo Agente intercambi vel com Coletor Mais para a frente Agentes ser referido como Coletores SDM Consulte o Gerenciador de Dados do Sentinel O Gerenciador de Dados do Sentinel SDM uma ferramenta com a qual os usu rios podem gerenciar o banco de dados do Sentinel O SDM permite que os usu rios realizem as seguintes opera es Monitorar a utiliza o do espa o do banco de dados Vere gerenciar as parti es do banco de dados Gerenciar arquivos do banco de dados Importar dados para o banco de dados Configurar o mapeamento de dados Configurar nomes de tags de eventos Configurar defini es de relat rios de resumo Instalando o SDM O SDM pode ser instalado diretamente atrav s do Assistente do Sentinel 5 InstallShield selecionando o componente Gerenciador de Dados do Sentinel na tela Sele o de recurso do Sentinel 5 Aplicativos Construtor de Coletor do Sentinel M Centro de Controle do Sentinel Gerenciador de Dados do Sentinel Apenas Oracle Observe que para o SDM se comunicar com os bancos de dados do Oracle voc tamb m deve efetuar o download manual do driver Oracle 9 2 0 4 ou 9 2 0 5 JDBC e copiar
69. do Active View usando o filtro de correla o voc criou Crie uma janela de Eventos do Active View usando o filtro de correla o fornecido Crie uma janela de Eventos do Active View usando o filtro Todos fornecido tire um instant neo e classifique por Sensor Type veja todos os eventos com SensorType iguala C Fa a uma consulta r pida usando o filtro que voc criou ou usando o filtro de correla o Clique o bot o direito do mouse no evento correlacionado e selecione Mostrar Eventos Acionadores para ver como muitos eventos de telnet poderiam ser mais de quatro acionaram essa regra de correla o O E RT 22 5 18 0 22 2 56 EDT DestinationlP 1 89 168 10 23 Show Details 12 22 58 EDT 190 168 12 21 190 168 12 21 Program 12 22 58 EDT 206 158 21 6 190 168 12 21 Failed lo Emel 12 22 58 EDT 189 168 10 22 189 168 10 23 Attempte Create Incident 12 22 58 EDT 206 158 21 6 189 168 10 22 Successf PER adia 12 22 58 EDT 199 168 10 25 199 168 11 22 Repeate 12 22 58 EDT 206 158 21 6 199 168 10 25 Failed st View Trigger Events 12 22 58 EDT 199 168 10 22 199 168 10 22 Failed st RR 12 22 58 EI 206 158 21 6 199 168 10 22 Repeate nvestigate gt 206 158 21 6 199 168 10 25 Repeate Analysis 207 25 71 204 207 25 71 204 Security e 207 25 71 204 207 25 71 204 Success 12 22 58 EDT 206 158 23 8 207 25 71 204 Success nslookup 12 22 58 EDT 2
70. do banco de dados do Sentinel para todas as tabelas do Sentinel nos grupos de arquivos do Oracle e do Sentinel no MS SQL Este comando usa os seguintes indicadores action dbstats connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Vendo a utiliza o do espa o no banco de dados do Sentinel linha de comando 1 Execute o seguinte comando sdm action dbStats connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Exemplo do Oracle O exemplo a seguir exibe as tabelas do banco de dados do Sentinel com seu espa o total espa o usado e espa o livre dispon vel sdm action dbStats connectFile sdm connect Exemplo do SQL Server O exemplo a seguir exibe os grupos de arquivo do banco de dados do Sentinel com seu espa o total espa o usado e espa o livre dispon vel sdm action dbStats connectFile sdm connect Atualizando os mapeamentos linha de comando Esta a o updateMapData permite substituir um arquivo de dados de origem de mapa por outro Seu novo arquivo de dados de origem deve ter os mesmos delimitadores colunas de chave e a coluna ativada do mapeamento anterior Caso n o tenha use o recurso Editar da interface de usu rio do SDM Este comando usa os seguintes indicadores action updateMapData map lt nome do mapa gt file lt nome de arquivo gt backup lt verdadeiro falso gt padr o verdadeiro connectFile lt cam
71. e rererereeaneaarraanaa 9 9 Distribuindo as regras de correla o ie rreeeacarenanaaeana ana ranaa nara aaaaeaaanaranaa 9 9 Tel s de Servidor liege tese cole sin to ae eee ea LES ae eer aa a eah e eana e ee ea cd E O Petrea raent Monitorando um processo enn re ea aaraa EEEa a aaaea CEE Eaa d EANTA ae aenenas an nen acatar ae annnaaa Criando uma tela de servidor Iniciando interrompendo e reiniciando processos ireeereneaearaeanaeeaanareanaa 9 12 FARTOS 222m 202021520 0cams isso EAE OBRA Ei Arad nto SEDUIE DES Fou nOLa AR EE EAS Pb sd Gde aaa poa S SiS ca cs std o PARIS ES AEO Ds aa 9 13 Filtros P bli OS annnars ie a e eaa TE Ear a a ar o edrat Ue tS etaik 9 13 Filtros partic la eS E aa a a a a ai o Ins aea Aa A aea aE NE aa e a aaa a a 9 14 FiltrosGlop iS s npn a o a e a a a a a a 9 14 Configurando filtros p blicos e particulares er ceereeere aerea nana narana 9 16 Definit configura o do Menu irese tiiir a poapoa raiekin atas A eaa a ananipa dE EAA Eaa e ai Siiani assi 9 18 Adicionando uma op o ao menu de Configura o do Menu 9 19 Clonando uma op o de menu Configura o de Menu ereeerarraaenana 9 21 Modificando uma op o de menu Configura o de Menu rrenan 9 21 Visualizando os par metros da op o Configura o de Menu ea 9 21 Ativando ou desativando uma op o de menu Configura o de Menu 9 22 Reorganizando
72. es Guia do Usu rio do Sentinel Nessa janela voc tamb m pode configurar o seguinte Campos Agrupar por Classificar Filtro Exibi o em rvore Clique em Aplicar e em Gravar Na janela Gerenciador de Vis o de Incidente clique duas vezes no nome de uma tela Segue uma tela padr o da janela Todos os Incidentes A tela a seguir est classificada por gravidade com os campos gerenciamento de colunas referentes s primeiras quatro colunas definidos como Gravidade Data de Cria o Prioridade e Classifica o de Import ncia Do O Hahto oaio Moreo po po been Medium 3 05 09 2005 None 0 no Joo fesecadm Low 2 05 09 2005 None 0 no Joo fesecadm Pen GI bemors Meam ho ho ean Guia Incidentes 4 3 Esta tela foi agrupada por t tulo try JT lo to Medium 3 05 09 2005 None 0 oo oo fesecadm O S O S Doo Low 2 05 09 2005 None 0 oo o PS dO SE CEEE Adicionando uma Tela de Incidente Ao adicionar uma Tela de Incidente voc tem as op es Campos Agrupar por Classificar Filtro Exibi o em rvore Para adicionar uma Tela de Incidente 1 No Gerenciador de Vis o de Incidente clique em Adicionar Tela 2 Digite o Nome da Op o e selecione as op es desejada Clique em Gravar 4 4 Guia do Usu rio do Sentinel Campos e detalhes do Incidente Campos do Incidente T tulo Nome d
73. evento LoadedLargeMap Recurso MappingService Sub recurso ReferentialDataObjectMap Mensagem Carga do mapa conclu da lt nome gt com id lt ID gt e lt n m gt entradas Tamanho total lt gt Kb em lt gt segundos Tempo excessivo para carregar o mapa Esse evento interno um evento de informa o enviado pelo servi o de mapeamento notificando que o tempo de carregamento de um mapa ultrapassou o tempo normalmente necess rio mais de um minuto Tag Valor Gravidade 0 Nome do evento LongTimeToLoadMap Recurso MappingService Sub recurso ReferentialDataObjectMap Mensagem O carregamento do mapa demorou lt gt segundos com id lt ID gt e lt n m gt entradas Tamanho total lt gt Kb TimedoutWaitingForCallback Quando precisa atualizar um mapa o Gerenciador de Coletor envia uma solicita o para o backend Essa solicita o cont m um callback O backend gera o mapa e quando este est pronto o backend o envia para o Gerenciador de Coletor usando o callback Se a resposta demorar muito mais de dez minutos para chegar o Gerenciador de Coletor enviar uma segunda solicita o presumindo que a primeira se perdeu Quando isso ocorre o seguinte evento interno gerado Tag Valor Gravidade 2 Nome do evento TimedoutWaitingForCallback Recurso MappingService Sub recurso ReferentialDataObjectMap Mensagem Mapa lt nome gt esgotou o tempo de espera para o
74. evento PortStop Recurso AgentManager Sub recurso AgentManager Mensagem Processamento interrompido para porta_ lt id_porta gt Processo persistente desativado O Mecanismo de Coletores envia esse evento quando o conector do processo persistente detecta seu processo controlado desativado Tag Valor Gravidade 5 Nome do evento PersistentProcessDied Recurso AgentManager Sub recurso AgentManager Mensagem Processo persistente na porta lt id_porta desativado A 14 Guia do Usu rio do Sentinel Processo persistente reiniciado O Mecanismo de Coletores envia esse evento quando o conector do processo persistente consegue reiniciar o processo controlado que estava desativado Tag Valor Gravidade 1 Nome do evento PersistentProcessRestarted Recurso AgentManager Sub recurso AgentManager Mensagem Processo persistente na porta lt id_porta reiniciado Servi o de Evento Depend ncia c clica O Servi o de Evento envia esse evento quando detecta um ciclo na Defini o do Evento nas depend ncias entre tags em virtude das atribui es de mapas de refer ncia Verifique a configura o do evento no SDM e resolva a depend ncia Tag Valor Gravidade 5 Nome do evento CyclicalDependency Recurso EventService Sub recurso ObjectAttrInfos Mensagem Depend ncia c clica detectada nas transforma es do evento Verifique a configura o do evento
75. evento s o especificados na guia Eventos Como praticamente qualquer conjunto de dados pode ser transformado em mapa o Mapeamento de Eventos til para incorpora o nos dados de fluxo de evento de outro lugar na sua organiza o Eis algumas oportunidades que o Mapeamento de Eventos fornece Monitoramento da conformidade com normas Conformidade com pol ticas Prioriza o de respostas Habilitar a an lise de dados de seguran a relacionados s opera es comerciais Aperfei oar a responsabilidade Quando se define um Mapeamento de Evento ele aplicado a todos os eventos do sistema de todos os Coletores Al m disso o Sentinel distribuir automaticamente os dados de mapa a todos os processos que realizam mapeamentos de eventos bem como manter os dados de mapa nessa atualiza o de processos Por essas raz es o Mapeamento de Eventos fornece capacidades significativas para suportar as implanta es empresariais O Mapeamento de Eventos compreende quatro partes principais Controlador armazena todas as informa es de mapa Distribuidor redistribui automaticamente os mapas modificados a esses processos que se registraram para o mapa Monitor um monitor para detectar as mudan as nos dados de origem de mapa Gerador gera os mapas a partir dos dados de origem Guia do Usu rio do Sentinel Uma aplica o do Mapeamento de Eventos a funcionalidade de Dados de Bens do Sentinel Por exempl
76. l gica e funcional do Sentinel 5 seguida pelos m dulos principais do produto Arquitetura funcional O Sentinel 5 composto de tr s subsistemas que formam o n cleo da arquitetura funcional Plataforma do iSCALE uma estrutura escal vel orientada por eventos Integra o de origem de dados uma estrutura de Coletor extens vel Integra o de aplicativos uma estrutura de aplicativo extens vel O Sentinel trata servi os e aplicativos como pontos de extremidade de servi o abstratos que podem responder prontamente a eventos ass ncronos Servi os s o objetos que n o precisam entender protocolos nem como as mensagens s o roteadas aos servi os de peer Recursos do Sentinel O Sentinel um aplicativo de usu rio final rico em recursos que permite a monitora o e o gerenciamento de v rias fun es A seguir est o algumas das principais fun es Exibi es em tempo real de grandes fluxos de eventos Ferramentas para gera o de relat rios baseados em eventos hist ricos e em tempo real Controle de usu rios e do que eles podem ver e fazer de acordo com a designa o de permiss o Meios de restringir a quais eventos os usu rios ter o acesso Organiza o de eventos em incidentes para permitir o gerenciamento e o monitoramento eficientes de respostas Detec o de padr es em eventos e fluxos de eventos Vis o geral da arquitetura O sistema Sentinel respons vel por rec
77. lo Essa verifica o acontece periodicamente portanto pode ser feita v rios minutos ap s a remo o da Tela Ativa das prefer ncias antes da gera o desse evento Tag Valor Gravidade 1 Nome do evento RtChartNotPermanent Recurso RealTimeSummaryService Sub recurso ChartManager Mensagem Tela Ativa com filtro lt filtro gt e atributo lt atributo gt para usu rios com filtro de seguran a lt filtro de seguran a gt n o mais permanente Eventos de sistema do Sentinel5 A 17 Resumo EventRouterStopping rigem ravidade UserSessionManager Usu rio Sess o do Usu rio UserSessionManager Usu rio Usu rio UserSessionManager Usu rio Usu rio o AgentManager EventRouter EventRouter EventRouter EventRouter ReferentialDataObjectiMap ReferentialDataObjectMap ReferentialDataObjectiMap A 18 Guia do Usu rio Sentinel RE i DeploymentStarted 1 CorrelationEngine Deployment Do DeploymentStopped CorrelationEngine Deployment Do ProcessStart 1 WatchDog WatchDog po ProcessStop 5 WatchDog WatchDog o d y PortStart AgentManager AgentManager PonSep OO SAMa AgeniMamager PersistentProcessDicd 5 AgentManager AsemManager PersistentProcessRestarted 1 AgentManager AsemManmager TT _SortDependencies 5 EventService ObjectAttrInfo EventService DbSpaceReachedTimeThrshld O Database Databases Evento DbSpaceReachedPercentThrshl
78. mensagem de e mail ter anexos em html com detalhes do incidente eventos bens vulnerabilidades informa es do consultor e hist rico do incidente Modificando um incidente 4 8 Para modificar um incidente 1 2 y o O Clique na guia Incidentes Clique em Incidentes gt Exibir Gerenciador de Telas de Incidentes ou clique em Gerenciador de Vis o de Incidente Clique duas vezes na tela de um incidente Clique duas vezes em um incidente A janela de detalhes do incidente ser aberta Se quiser voc pode editar os seguintes campos em um Incidente T tulo Categoria Estado Respons vel Gravidade Descri o Prioridade Resolu o Na guia Anexos voc pode adicionar ou remover anexos Clique em Gravar Guia do Usu rio do Sentinel Apagando um incidente NOTA Para apagar um incidente com um WorkFlow 1TRAC anexado necess rio terminar o Processo do iTRAC Para apagar um incidente 1 2 Clique na guia Incidentes Clique em Incidentes gt Exibir Gerenciador de Telas de Incidentes ou clique em Exibir Gerenciador de Telas de Incidentes Clique duas vezes na tela de um incidente Na janela Vis o de Incidente clique o bot o direito do mouse em um incidente e depois em Apagar NOTA Para apagar um incidente com um WorkFlow TRAC anexado necess rio terminar o Processo do iTRAC Para terminar um Processo do iTRAC voc pode usar o Gerenciador de Telas de Pr
79. mude para o diret rio Para UNIX SESEC HOME sentinel config Para Windows SESEC HOMES sentineliconfig 2 Execute mailconfig desta maneira Para UNIX mailconfig sh host lt Servidor SMTP gt from lt endere o de e mail de origem gt user lt usu rio de autentica o de e mail gt password Windows mailconfig bat host lt Servidor SMTP gt from lt endere o de e mail de origem gt user lt usu rio de autentica o de e mail gt password Exemplo no UNIX mailconfig sh host 10 0 1 14 from meu nomeltdominio com user meu nome usuario password Exemplo no Windows mailconfig bat host 10 0 1 14 from meu nomeldominio com user meu nome usuario password Depois de digitar esse comando o sistema lhe pedir uma nova senha Digite a senha txxkxx Confirme a senha xxx xxxx NOTA Ao usar a op o password ela deve ser o ltimo argumento Para testar as configura es do e mail no arquivo execution properties 1 Na m quina em que o DAS foi instalado mude para o diret rio Para UNIX SESEC HOME sentinel config Para Windows SESEC HOMES sentineliconfig Utilit rios 11 9 Execute mailconfigtest desta maneira Para UNIX mailconfigtest sh to lt endere o d mail de destino gt Windows mailconfigtest bat to lt endere o de e mail de destino gt Se o e mail for enviado com xito ser
80. na tag de eventos atualmente selecionada em um buffer tempor rio Se voc n o clicar em Aplicar ao selecionar uma tag de evento diferente as altera es que voc fez na tag de evento previamente selecionada ser o perdidas As altera es n o ser o gravadas no servidor at voc clicar em Gravar 5 Clique em Gravar NOTA Clicar em Gravar gravar suas altera es no servidor A fun o de grava o grava todas as altera es armazenadas no buffer tempor rio quando voc clicar em Aplicar 6 Para que as altera es sejam vis veis no Sentinel Control Center devem se fechar e reabrir os Sentinel Control Centers em execu o Gerenciador de dados do Sentinel 10 21 Guia Relatando dados 10 22 NOTA Para usar a guia Relatando dados seu arquivo configuration xml deve estar apontando para um Servidor de Comunica o que tamb m tem o DAS Binary e o DAS Query conectados a ele Em geral acontecer isso por padr o desde que o Servidor de Comunica o e os processos DAS estejam em execu o A guia Relatando dados uma Interface de Gerenciamento de Resumo para o Sentinel Essa guia permite ativar e desativar os Resumos A ativa o de um resumo permite que a agrega o inicie o c lculo da contagem daquele resumo em particular O resumo um conjunto definido de atributos que comp e a chave para a qual se deve calcular o n mero de ocorr ncias exclusivas contagem de eventos para cada per odo
81. no formato tabular como em uma janela em Tempo Real ou de Consulta de Eventos Para executar uma Visualiza o de Vulnerabilidade 1 Em uma tabela Tempo Real de Evento do Navegador Visual ou Instant neo clique o bot o direito do mouse em um ou mais eventos selecionados e clique em An lise Vulnerabilidade Atual consulta o banco de dados quanto a vulnerabilidades ativas efetivas na data e hora atuais 2 Vulnerabilidade no Hor rio do Evento consulta o banco de dados quanto s vulnerabilidades que estavam ativas efetivas na data e hora do evento selecionado 170 100 1 l EventName Show Details Email Create Incident dd To Incident view Trigger Events Investigate Analysis gt Advisor Data ping Asset Data nslookup Current Vulnerabilty x tracert Event Time Vulnerabilty Guia Active Views 3 21 Na parte inferior da janela de resultados de vulnerabilidade clique em uma destas op es Gr fico de Eventos Vulnerabilidades Relat rio de Vulnerabilidades Para Gr fico de Eventos Vulnerabilidades na exibi o voc pode mover n s e suas etiquetas usar um dos quatro algoritmos de layout para exibir o gr fico mostrar todos os n s ou apenas aqueles com eventos a eles mapeados filtrar a rvore em linha no evento no qual um grande n mero de recursos s o retornados como vulner veis ampliar e reduzir reas se
82. o arquivo jar baixado para o diret rio SESEC HOME lib no mesmo lugar em que voc instalou o SDM ou em ESEC HOME Y Nib caso se esteja instalado o SDM no Windows Voc pode fazer o download do driver JDBC do seguinte URL NOTA Se uma m quina UNIX com o componente DAS for instalada o driver JDBC automaticamente colocado no local correto pelo instalador Portanto nesse caso nenhum download manual necess rio http otn oracle com software tech java sqlj jdbc index html O nome t pico deste arquivo jar ojdbcl4 jar NOTA na data de publica o deste guia o site mencionado estava correto Gerenciador de dados do Sentinel 10 1 NOTA O SDM para Oracle necessita que seja instalado o Oracle Enterprise com particionamento Iniciando a interface do usu rio do SDM NOTA Para usar a interface do usu rio do SDM seu arquivo configuration xml deve estar apontando para um Servidor de Comunica o que tamb m tem o DAS Binary eo DAS Query conectados a ele Em geral acontecer isso por padr o desde que o Servidor de Comunica o e os processos DAS estejam em execu o No UNIX iniciando SDM GUI l 2 3 Efetue login na caixa UNIX como membro do grupo esec por exemplo esecadm v at SESEC HOME sdm Digite a seguinte linha de comando sdm No Windows iniciando SDM GUI 1 Clique em Iniciar gt Arquivos de Programas gt Sentinel gt Gerenciador de Dados do Sentinel
83. op o de menu Configura o de Menu Modificando uma op o de Configura o de Menu Exibindo os par metros da op o Configura o de Menu Ativando ou desativando uma op o de menu Configura o de Menu Reorganizando as op es do menu de evento Apagando uma op o de menu Configura o de Menu Adicionar um recurso de browser sua op o de Configura o do Menu ioli Etiqueta de Menu Descri o Y ping Ping the Destination IP of the selected event v nslookup Perform an nslookup on the Source IP of the selected event y tracert Perform a tracert from the Source IP of the selected event Ahois Perform an ARIN Yyhois lookup on the Source IP of the selected event Gerenciar a Configura o do Menu Adicionar Detalhes Clonar tiyo Inativo Browser Adicionando uma op o ao menu de Configura o do Menu NOTA se renomear uma tag como CustomerVar24 para PolicyName voc deve usar o novo nome ao configurar os par metros Para adicionar uma op o de menu Configura o de Menu 1 Clique na guia Admin 2 No Navegador de Admin clique em Admin gt Configura o de Menu 3 Na caixa de di logo Configura o do Menu insira o seguinte Nome Descri o A o execute um comando ou abra um browser Usar browser se voc escolheu a a o Executar comando e suas configura es de brows
84. ou janela do Instant neo clique o bot o direito do mouse em um ou mais eventos e clique em An lise gt Dados de Bens Ser exibida uma janela parecida com esta Asset Report Hardware MAC Address A0 12 56 78 90 00 Name Build Machine Value 500 Type Server Criticality High Vendor Dell Sensitivity Low Product Precision Environment Production Version 360 Location Internal Network E 199 16 2 23 desk acmeinc net Sotware Momo Type venor produet Nenion ClearCase APPLICATION IBM ClearCase C APPLICATION Microsoft Visual C 6 0 Contacts Order Name Role Email Phoneamber o Erickson Stein USER serickson acmedomain net 703 555 8865 2 IT Administrator LAN FOLKSGacemedomain net 703 555 9876 Location Room server room Rack 17 Address HQ Agent 86 Security Circle Suite 86 Washington DC 12345 USA An lise Visualiza o de vulnerabilidade A Novell tem Coletores dispon veis que processam explora es de vulnerabilidade do Nessus do ISS do Foundstone do eEye e explora es do Qualys A Visualiza o de Vulnerabilidade oferece uma representa o gr fica de dados de evento em tempo real em rela o a sistemas vulner veis e que fica dispon vel em um evento para vulnerabilidade atual e no momento do evento Esse recurso recupera e exibe os dados de vulnerabilidade referentes aos IP s de destino dos eventos selecionados Para obter mais informa es consulte a documenta o dos Coletores em PDF localizada em ESEC HOMEY
85. s do Windows Explorar ou execute o seguinte arquivo stop broker bat Parando o Servidor de Comunica o UNIX 1 Fa a login como usu rio esecadm 2 Use o comando cd para mudar o diret rio SESEC HOME sentinel scripts 3 Digite stop broker sh Reiniciando os containers do Sentinel Os scripts a seguir reiniciam os containers listados abaixo O script envia uma mensagem para o servi o especificado para se desligar O Sentinel Watchdog reinicia ent o o servi o O m todo preferido de parar iniciar ou reiniciar esses servi os de container usar o Server Views na guia Admin do Sentinel Control Center Nome Descri o DAS Aggregation das aggregation xml usado para a execu o e a configura o do servi o de agrega o DAS RT das rt xml usado para a execu o e a configura o do servi o de exibi es em tempo real DAS iTRAC das itrac xml usado para configurar o servi o iTRAC DAS Binary das binary xml usado para a opera o de inser o de evento e evento correlacionado DAS Query das query xml todas as outras opera es de banco de dados Utilit rios 11 5 Reiniciando o Container do Sentinel Windows 1 Use o comando cd para mudar o diret rio SESEC HOMES sentineliscripts 2 Digite stop container bat lt maquina de host gt lt nome do container gt Por exemplo stop container bat localhost DAS RT Reiniciando o Container
86. valor num rico O conte do da propriedade selecionada menor do que o valor inserido gt valor num rico O conte do da metatag selecionada maior do que o valor inserido lt valor num rico O conte do da metatag selecionada menor que ou igual ao valor inserido gt valor num rico O conte do da metatag selecionada maior que ou igual ao valor inserido Metatag valor num rico O conte do da metatag selecionada na lista suspensa esquerda igual ao conte do da metatag selecionada direita da express o Guia do Usu rio do Sentinel Condi o Campo de tipo Descri o Metatag valor num rico O conte do da metatag selecionada na lista suspensa string esquerda n o igual ao conte do da metatag selecionada direita da express o lt Metatag valor num rico O conte do da metatag selecionada na lista suspensa esquerda menor do que o conte do da metatag selecionada direita da express o gt Metatag valor num rico O conte do da metatag selecionada na lista suspensa esquerda maior do que o conte do da metatag selecionada direita da express o lt Metatag valor num rico O conte do da metatag selecionada na lista suspensa esquerda menor que ou igual ao conte do da metatag selecionada direita da express o gt Metatag valor num rico O conte do da metatag selecionada na lista suspensa esquerda maior que ou igual ao conte do da metatag
87. 0 20 20 44 EST 2005 15 EventDestSummary events 200501 10 Lic Mon Jan 10 20 20 45 EST Mon Jan 10 20 50 46 EST 2005 16 EventDestSummary events 20050110 1 Mon Jan 10 20 50 47 EST Mon Jan 10 21 20 46 EST 2005 17 EventDestSummary events 20050110 1 Mon Jan 10 21 20 48 EST Mon Jan 10 21 50 49 EST 2005 7505555555 5959555050 E a E pA m Process Executando Eventfiles para um resumo Clique na guia Relatando Dados Selecione Status Feche o s resumo s que voc deseja pesquisar Selecione um intervalo de tempo Clique em Mostrar Evento A RR a em Os Evenffiles necess rios para completar o resumo aparecem em formato de lista 10 26 Guia do Usu rio do Sentinel 7 Verifique os Evenffiles que voc gostaria de executar de forma que o resumo esteja completo e Min Even Max Eve Process Mon Jan Mon Jan rd a Mon Jan Mon Jan rA Mon Jan Mon Jan M Mon Jan Iv Mon Jan Mon Jan re X 8 Clique em Processar Linha de comando SDM NOTA Se sua m quina n o tiver acesso ao DAS_Binary e DAS_Query a Linha de Comando SDM pode ser usada no lugar da interface de usu rio do SDM Gravando as propriedades da conex o no Gerenciador de Dados do Sentinel Essa opera o deve ser realizada antes de se usar qualquer uma das a es da Linha de Comando do Gerenciador de Dados do
88. 003 00 00 00 meia noite de 26 de setembro para as tabelas acima mencionadas Exemplo do Oracle sdm action importData dirPath tmp startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFile sdm connect Exemplo do SQL Server sdm action importData dirPath c itmp startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFile sdm connect O exemplo a seguir importa todos os arquivos arquivados do diret rio tmp contendo os dados entre as datas 09 25 2003 08 30 00 oito e meia da manh do dia 25 de setembro e 09 26 2003 20 00 00 oito horas da noite do dia 26 de setembro para as tabelas acima mencionadas Exemplo do Oracle sdm action importData dirPath tmp startDate 09 25 2003 08 00 00 endDate 09 26 2003 20 00 00 connectFile sdm connect Exemplo do SQL Server sdm action importData dirPath c itmp startDate 09 25 2003 08 00 00 endDate 09 26 2003 20 00 00 connectFile sdm connect Apagando dados importados Esta a o dropImported apaga os dados importados entre as datas determinadas das seguintes tabelas suportadas Oracle o HIST EVENTS o HIST CORRELATED EVENTS Gerenciador de dados do Sentinel 10 37 SQL Server 2 HIST EVENTS 2 HIST CORRELATED EVENTS Caso n o haja dados importados entre as duas datas especificadas o sistema devolve uma mensagem Este comando usa os seguintes indicadores action dropImported startDate lt mm dd aaaa h
89. 06 158 23 8 207 25 71 203 Failed lo ae 12 22 58 EDT 206 158 23 8 207 25 71 202 Failed lo 12 22 58 EDT 206 158 23 8 207 25 71 201 Failed aa Whois b Event Id Correlation rule Batch size 2241153E 955E 1 027 9B6C 000874483C3C teinet_attempt_189_168_10_22 h o Q x DateTime O 2005 05 03 12 25 47 EDT 189 168 10 22 Attempt a O 2005 05 03 12 25 45 EDT 189 168 10 22 189 168 10 23 Attempt O 2005 05 03 12 25 43 EDT 189 168 10 22 189 168 10 23 Attempt 2005 05 03 12 25 41 EDT 189 168 10 22 189 168 10 23 Attempt O 2005 05 03 12 25 39 EDT 189 168 10 22 189 168 10 23 Attempt amp 2005 05 03 12 25 37 EDT 189 168 10 22 189 168 10 23 Attempt O 2005 05 03 12 25 35 EDT 189 168 10 22 189 168 10 23 Attempt amp 2005 05 03 12 25 32 EDT 189 168 10 22 189 168 10 23 Q Search complete Count 85 Inicializa o R pida 12 7 12 8 Guia do Usu rio Sentinel Eventos de sistema do Sentinel 5 NOTA O termo Agente intercambi vel com Coletor Mais adiante Agentes ser referido como Coletores Nas tabelas de descri o abaixo as palavras em it lico entre lt gt s o substitu das por valores relevantes nas mensagens reais Eventos de autentica o Falha na autentica o Quando ocorre falha na autentica o do usu rio o seguinte evento gerado Tag Valor Gravidade 4 Nome do evento AuthenticationFailed
90. 2 189 168 10 23 Attempted_telnet o O 2005 05 03 09 25 18 EDT 189 168 10 22 189 168 10 23 Attempted telnet o O 2005 05 03 09 25 16 EDT 189 168 10 22 189 168 10 23 Attempted telnet 0 amp 2005 05 03 09 25 14 EDT 189 168 10 22 189 168 10 23 Attempted_telnet o amp 2005 05 03 09 25 12 EDT 189 168 10 22 189 168 10 23 Attempted_telnet 0 amp 2005 05 03 09 25 10 EDT 189 168 10 22 189 168 10 23 Attempted _telnet o amp 2005 05 03 09 25 08 EDT 189 168 10 22 189 168 10 23 Attempted_telnet o amp 2005 05 03 09 25 06 EDT 189 168 10 22 189 168 10 23 Attempted_telnet md ln Batch received click More For additional results Complete through 5 3 05 9 25 24 E 22 l Count 100 Se desejar ver com que freq ncia este usu rio est tentando em geral usar telnet retire DestinationIP SensorType e Severidade do filtro ou crie um novo filtro Os resultados v o mostrar todos os destinationIPs a que este usu rio est tentando aplicar telnet Se qualquer um dos eventos for um evento correlacionado SensorType C ou W voc pode clicar o bot o direito do mouse em gt Mostrar Eventos Acionadores para descobrir quais eventos acionaram aquele evento correlacionado Outro evento de interesse poderiam ser os eventos excessivos de FTP Esta tamb m pode ser uma conex o remota permitindo a transfer ncia a c pia e a exclus o de arquivos A seguir h uma breve lista de ataques de interesse Os tipos de ataques s o uma lista extensiva Para
91. 24 Guia do Usu rio do Sentinel 3 Feche o s resumo s que voc deseja r amp Summary Status e E EventSevDestEvtSummary EventSevDestPortSummary EventSevSummary EventSrcDestSummary Time Interval Between a Show Event Show Graph Cancel Selecione um intervalo de tempo Clique em Mostrar gr fico A barra verde indica que o resumo est completo naquele per odo de tempo A se o vermelha indica que o resumo est perdendo dados durante aquele per odo de tempo amp Summary Graph x EventDestSummary Summaries ao qa A g w w ans ano ans ans ans ans ans NOTA Para completar os resumos consulte a se o Executar EventFiles para um resumo Pesquisa os Evenftfiles para um resumo l Clique na guia Relatando Dados 2 Selecione Status Gerenciador de dados do Sentinel 10 25 3 Feche o s resumo s que voc deseja pesquisar amp Summary Status EventSevDestEvtSummary EventSevDestPortSummary EventSevSummary EventSrcDestSummary Time Interval Between LTD HW Show Event Show Graph Cancel 4 Selecione um intervalo de tempo 5 Clique em Mostrar Evento 6 Os Eventfiles necess rios para completar o resumo aparecem em formato de lista NOTA para completar os resumos consulte a se o Executar EventFile s para um resumo amp Processed Summary Status x
92. 30 8 08 00 8 09 30 Hor rio 6 05 00 Nome do Evento Vulnerabilidade a z 6M4m06 6 10 52 208 152 25 22 901681224 lapache chunked encoding bo 1 forame 6 10 52 00205 19216804 TELNET bsd telnet explora o 1 fnamestas hoo205 haz18804 SMTP VRF Y LINKINOVYN 4 W lenams6iga 208 152 25 22 901681224 iapache chunked encoding bo 1 O name 6 10 42 ho9205 he TELNET bsd telnet explora o 1 E 6 14 06 6 10 42 100205 19216801 SMTP VRF Y UNKNOWN h M eane RARA noan aeaa gr du RUAS oc RES 323 de 323 Atualiza o 14 6 06 6 11 00 Recebido 9 de 9 Exibindo 9 Guia Active Views Descri o As telas de eventos s o apresentadas no formato de tabela A configura o da tela ativa determinada pelo arquivo das rt xml Uma Tabela de Eventos Quase em Tempo Real com uma apresenta o gr fica e o Instant neo s o os dois tipos de Active Views Tabela de Eventos Quase em Tempo Real o Cont m at 750 eventos por per odo de 30 segundos Guia Active Views 3 1 3 2 a Por padr o o cliente mant m um per odo de 24 horas de eventos em cache poss vel mudar essa configura o usando as Propriedades do Active Views a Por padr o a tabela exibir um m ximo de 30 000 eventos poss vel mudar essa configura o usando as Propriedades do Active Views a Por padr o a tabela de eventos atualizada a cada 30
93. 4 HTTP 115 ASP Header Ov 2005 05 03 09 52 29 EDT 208 152 25 22 190 168 12 24 Reject 2005 05 03 09 52 29 EDT 208 152 25 22 190 168 12 24 Port scan 2005 05 03 09 52 29 EDT 208 152 25 22 190 168 12 21 Port scan 2005 05 03 09 52 29 EDT E 168 10 22 189 168 10 23 Attempted telnet 950 of 19443 Update 2005 05 03 09 52 30 AM EDT received 50 of 196 Detec o de Explora o 12 2 Para ver quaisquer eventos indicando uma poss vel explora o voc deve fazer o seguinte Alimenta o do Consultor Detec o de intrus o Verifica o de vulnerabilidades e Severity Vulnerability 4P Attackld 4 Em um evento quando o campo de vulnerabilidade vul igual a 1 o bem ou dispositivo de destino explorado Se o campo de vulnerabilidade vul igual a 0 o bem ou dispositivo de destino n o explorado Se o campo de Vulnerabilidade ficar vazio o recurso de detec o de explora o do Sentinel n o ativo Guia do Usu rio Sentinel Para ver eventos que indiquem uma poss vel explora o crie uma Tela Ativa com um filtro onde a Vulnerabilidade seja igual a 1 Se voc tiver o Nmap e tiver executado o Coletor Nmap poder ver informa es de bens no bem explorado ou em qualquer bem Para obter mais informa es sobre como a detec o de explora o funciona e quais Sistemas de Detec o de Intrus o e Explora es de Vulnerabilidade s o suportados
94. 9 6 maior do que a Metatag 9 7 maior que igual a 9 6 maior que ou igual metatag 9 7 menor do que s nina 9 6 menor do que a Metatag 9 7 menor do que ou igual Metatag 9 7 menor que ou igual as 9 6 n o Igual d ETT 9 6 n o igual Metatag i 9 7 configura o de e mail 3 9 11 8 configura o de evento 10 21 CESCII O EEEE EEFT TE TEET 10 20 configura o de parti o 10 29 configurando o cabe alho da coluna de evento o 10 21 configurando o viewer de anexo 4 7 configurar Relat rio de an lise 9 1 Relat rio de consultor 9 1 conjunto de regra de correla o apagando a 9 8 importando ra 9 8 consulta de eventos 3 15 ii Guia de Instala o do Sentinel Consultor atualiza o o 7 1 7 3 atualiza o Download direto da Internete cie cas nose e ra 7 3 atualiza o download retransmitido da Nee a eaae a eira 7 3 container reiniciando UNIX ls 11 6 reiniciando Windows seeen 11 6 container do Sentinel reiniciando UNIX esseere 11 6 reiniciando Windows s es 11 6 contas de usu rio apagando siirre aep aaneen
95. C preciso associar um incidente a um processo do iTRAC por estes tr s m todos Associar um processo do iTRAC ao incidente na hora da cria o deste Associar um processo do iTRAC ao incidente ap s a cria o deste Associar um processo do iTRAC ao incidente por meio de correla o Consulte o cap tulo sobre a guia Incidentes para obter mais detalhes sobre como associar um processo a um incidente Execu o de atividade autom tica Quando executa uma atividade autom tica a inst ncia de processo executa a atividade associada definida no gabarito A atividade associada uma atividade criada por meio da estrutura de atividades O servidor do iTRAC executa a atividade armazena o resultado em vari veis do processo e passa para a pr xima atividade inclu da no gabarito do iTRAC Por exemplo uma atividade da estrutura pode ser definida como emitir um comando Ping para um servidor e anexar os resultados ao incidente associado Execu o de atividade manual Ao encontrar uma atividade manual o servidor do iTRAC envia notifica es na forma de itens de trabalho ao recurso atribu do Se o recurso atribu do for um usu rio o item de trabalho ser enviado somente para esse usu rio Se a atividade for atribu da a uma fun o o item de trabalho ser enviado a todos os usu rios com essa fun o O servidor do iTRAC espera o usu rio concluir o item de trabalho antes de prosseguir para a pr xima atividade Listas de t
96. Coletor Desempenho para eventos de desempenho e Interno para eventos internos Al m dos atributos comuns cada evento de sistema tamb m define o recurso o sub recurso a gravidade o nome do evento e as tags de mensagem No caso de eventos internos o nome do evento espec fico o suficiente para identificar o significado exato do evento por exemplo Falha Autentica o Usu rio As tags de mensagens adicionam alguns detalhes espec ficos no exemplo acima a tag de mensagem cont m o nome do usu rio nome do OS e se dispon vel o nome da m quina O nome de um evento de desempenho gen rico e descreve o tipo de dados estat sticos Os dados propriamente ditos encontram se na tag de mensagem Os eventos de desempenho s o enviados diretamente para o banco de dados Para exibi los fa a uma consulta r pida Consulte o ap ndice A Eventos do Sistema Processos 1 12 Os seguintes processos e servi os do Windows comunicam se entre si atrav s do iSCALE um message oriented middleware middleware orientado por mensagem Watchdog Estat sticas do Evento Sincronizador de Dados Controlador de Dados Mecanismo de Correla o Verificador de RuleLg Verificador de Regra de Correla o Servi os de Acesso a Dados DAS bin rio consulta e Active Views Gerenciador de Consultas Sentinel Service somente MSSQL consulte Watchdog Guia do Usu rio do Sentinel A se
97. D EVENTS 2 EVT DEST EVT NAME SMRY 1 2 EVT DEST SMRY 1 2 EVT DEST TXNMY SMRY 1 2 EVT PORT SMRY 1 2 EVT SEV SMRY 1 o EVT SRC SMRY 1 SQL Server 2 EVENTS CORRELATED EVENTS 2 EVT DEST EVT NAME SMRY 1 2 EVT DEST SMRY 1 2 EVT DEST TXNMY SMRY 1 2 EVT PORT SMRY 1 2 EVT SEV SMRY 1 2 EVT SRC SMRY 1 Esta a o n o elimina nenhuma parti o que n o est arquivada Se desejar apagar as parti es n o arquivadas o indicador opcional forceDelete precisa ser especificado com um valor de verdadeiro Caso se use forceDelete falso ou n o elimina apenas as parti es mais antigas do que keepDays e as que est o especificado arquivadas verdadeiro elimina todas as parti es mais antigas do que keepDays incluindo as parti es n o arquivadas Este comando usa os seguintes indicadores action deleteData keepDays lt n mero de dias a serem mantidos gt forceDelete lt verdadeiro ou falso gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Guia do Usu rio do Sentinel Executando deleteData 1 Execute este comando da seguinte forma sdm action deleteData keepDays lt n mero de dias a serem mantidos gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Exemplo do Oracle O exemplo a seguir elimina as parti es de todas as tabelas que s o mais antigas do que 13 dias garantindo que todas as parti es eliminadas s o arquivadas No final
98. Database Host Port ESEC my database 1521 Username Password esecdba IV Save connection settings Connect No Windows amp Connect to Database xi Server mssoL oa Database Host Port ESEC my database 1433 Use windows Authentication Use SQL Server Authentication Username Password esecdba V Save connection settings Connect NOTA se selecionar gravar suas configura es de conex o elas ser o gravadas no arquivo local sdm connect Na pr xima vez em que voc iniciar a interface do usu rio as configura es de conex o ser o preenchidas novamente com base no arquivo sdm connect Pode se usar este arquivo ao executar o SDM da linha de comando Clique em Conectar Gerenciador de dados do Sentinel 10 3 Parti es A guia Parti es no SDM permite que os usu rios visualizem e gerenciem as parti es do banco de dados Para ver as parti es na interface de usu rio 1 Clique na guia Parti es 2 Selecione a tabela na lista suspensa que voc gostaria de ver Fi Sentinel Database Manager A tabela Segmentos exibe as parti es da Tabela de Banco de Dados atualmente selecionada Cada linha na tabela Segmentos exibe a Tabela de Banco de Dados o Intervalo de Tempo o Status e o Nome da parti o relacionados 10 4 Guia do Usu rio do Sentinel O Status de cada uma das parti es mostradas na tabela Segmentos ter um dos seguintes es
99. EXPLORE EXE SURL 4 Aguarde o bot o Atualizar ficar verde e clique em Gravar Voc ter que efetuar logout do Sentinel Control Center e efetuar login novamente 9 2 Guia do Usu rio do Sentinel Regras de correla o do Sentinel A correla o agrega intelig ncia ao gerenciamento de eventos de seguran a permitindo que voc automatize a an lise do fluxo de eventos de entrada para encontrar padr es de interesse A correla o permite definir regras que identificam as amea as importantes e padr es complexos de ataque para que voc consiga priorizar os eventos e iniciar o gerenciamento e a resposta eficazes aos incidentes As pastas de regras s o o agrupamento l gico das regras de correla o As regras de correla o de agrupamento nas pastas de regra tamb m permitem que voc tenha um conjunto de regras que executado durante o dia til ou um conjunto que seja executado noite e outro conjunto que funciona no final de semana Em ess ncia observar atividades diferentes de acordo com a hora do dia Por exemplo voc pode habilitar todas as regras de correla o do per odo diurno de uma s vez s 8h de segunda a sexta feira e tamb m desabilitar as regras durante a noite todas ao mesmo tempo Especificamente se voc n o precisar agrupar as regras de correla o em pastas de regras poder criar apenas uma pasta de regra e criar nela todas as regras de correla o N o h limite no n me
100. Essa estrutura de v rias plataformas foi desenvolvida com base nos padr es Java 1 4 e proporciona uma visualiza o unificada dos componentes independentes da l gica comercial gr ficos interativos em tempo real respostas a incidentes process veis workflow automatizado de incidentes de uso obrigat rio relat rios solu o de incidentes associados a explora es conhecidas e muito mais Cada uma das camadas est ilustrada na figura acima e ser explicada em detalhes nas se es a seguir Camada de coleta e enriquecimento Os eventos s o agregados por meio de um conjunto flex vel de Coletores configur veis que re nem dados de diversos sensores e outros dispositivos e origens O usu rio pode usar Coletores predefinidos modificar Coletores existentes ou criar seus pr prios Coletores para garantir que o sistema atenda a todas as exig ncias Subseq entemente os dados agregados pelos Coletores na forma de eventos s o normalizados e convertidos no formato XML enriquecidos com uma s rie de metadados ou seja dados sobre dados usando um conjunto de servi os de relev ncia comercial e propagados para o lado do servidor onde ser o submetidos a an lises adicionais computadorizadas por meio da plataforma do barramento de mensagens A camada de coleta e enriquecimento consiste nos seguintes componentes Conectores e Coletor Gerenciador e Mecanismo de Coletores Construtor de Coletor 1 16 Guia do Usu rio do Sen
101. Gerenciamento OIF ERE ad i Controlador Eventos w r de rede e de Identidades 1 Servidor Mainframe de dom nio Fersonania os Fa A H Vulnerabilidades E i A PER METRO DE SEGURAN A FONTES DE Ti REFERENCIAIS SISTEMAS OPERACIONAIS EVENTOS DE APLICATIVOS Canais A plataforma iSCALE emprega um modelo orientado por dados ou eventos que permite escalar os componentes de todo o sistema de maneira independente e de acordo com a carga de trabalho Isso proporciona um modelo de distribui o flex vel uma vez que o ambiente de cada cliente diferente um local pode ter v rios dispositivos com baixos volumes de eventos enquanto outro pode ter menos dispositivos com um alto volume de eventos As densidades de evento ou seja o padr o de agrega o e de multiplexa o dos eventos no cabo a partir dos pontos de coleta s o diferentes nesses casos e o barramento de mensagens permite escalar de modo coerente cargas de trabalho d spares A iSCALE tira proveito de um ambiente independente e com canais m ltiplos que praticamente elimina a conten o e promove o processamento paralelo de eventos Esses canais e subcanais trabalham n o somente para transportar dados de eventos como tamb m para oferecer um controle refinado de processos a fim de escalar e equilibrar a carga do sistema em condi es de carga vari veis Ao usar canais de servi o independentes como os canais de controle e de status al m do canal de eventos principal a
102. IC Internal Events fiter e SensorType I Gerenciar Configura o de Filtro Adicionar Clonar Apagar Detalhes Selecionar Construtor Cria o de crit rios para inclus o ou exclus o de eventos com base na lgebra booleana Est o dispon veis dois pain is incluir e excluir Insira seus valores aqui por exemplo Which events should be included in the pattern match and Or Meta Tag o e 192 168 1 2 Which events should be excluded from the pattern match C and O or Meta Tag 192 168 1 72 DestinationIP Correla o B sica H quatro tipos diferentes de filtros dentre os quais escolher S o eles Permitir tudo Permite todos os eventos Padr o Qualquer express o regular com uma sintaxe semelhante a grep 9 4 Guia do Usu rio do Sentinel Gerenciador de Filtro Uma lista suspensa que exibe o Gerenciador de Filtro para a sele o ou cria o de um novo filtro Construtor Cria o de crit rios para inclus o ou exclus o de eventos com base na lgebra booleana Essa regra permite contar o n mero de vezes que certas condi es s o atendidas dentro de determinado espa o de tempo Por exemplo uma regra de Correla o B sica pode procurar pelo mesmo endere o IP reportado cinco vezes em cinco minutos mesmo que os eventos sejam reportados de diferentes dispositivos como um sistema de detec o de invas o IDS e um firewall Correla
103. IX 1 Como usu rio esecadm troque para WORKBENCH HOME usando o comando cd 2 Execute o seguinte comando agent manager sh start Parando o Gerenciador de Coletor do UNIX Parando o Gerenciador de Coletor do UNIX 1 Como usu rio esecadm troque para WORKBENCH HOME usando o comando cd 2 Execute o seguinte comando agent manager sh stop Utilit rios 11 1 Iniciando e parando o Sentinel Server e o Gerenciador de Coletor Windows Dependendo da configura o da sua instala o voc pode ter at tr s servi os do Sentinel em execu o na sua m quina S o eles Sentinel Watchdog este servi o inicia todos os outros processos de servidor do Sentinel Comunica o do Sentinel Este servi o o seu Servidor de Comunica o criptografado Gerenciador de Coletor Este servi o seu Assistente Nos Servi os do Windows voc pode iniciar reiniciar e parar manualmente qualquer um desses servi os Iniciando o Gerenciador de Coletor do Windows Iniciando o Gerenciador de Coletor do Windows 1 Clique em Iniciar gt Configura es gt Painel de Controle 2 Clique duas vezes em Ferramentas Administrativas 3 Clique duas vezes em Servi os 4 Clique o bot o direito do mouse em Gerenciador de Coletor gt Iniciar Parando o Gerenciador de Coletor do Windows Parando o Gerenciador de Coletor do Windows 1 Clique em Iniciar gt Configura es gt Painel de Controle 2 Clique duas
104. InstancelD Old State New State Tue Jan 18 09 07 57 EST GP HIPAA 3 iTrac HIPAA process created Tue Jan 18 09 07 57 EST GP HIPAA 3 iTrac HIPAA process context changed H containmentOutput p Tue Jan 18 09 07 58 EST amp HIPAA 3 iTrac HIPAA process context changed HId Id 102 Tue Jan 18 09 07 59 EST F HIPAA 3_iTrac_HIPAA process context changed HuserName null AuserName nullk Tue Jan 18 09 07 59 EST GY HIPAA 3 iTrac HIPAA process state changed Eq not started 3 running Ready Refresh Created State running Guia iTRAC 5 9 As atividades conclu das pelo processo s o exibidas com uma borda verde enquanto as que est o em andamento s o exibidas com uma borda vermelha Acessando o monitoramento de processos 1 Clique na guia iTRAC 2 Clique no bot o Gerenciador de Op es de Tela 3 Clique duas vezes em uma das telas padr o ou crie uma nova tela As telas padr o s o Todos os Processos Processos por Incidente Processos por Status 4 No Gerenciador de Processos Ativos realce e clique duas vezes em um processo DT sm mcicriom 7 Processes EEP HIPAA port scan running 24 NID_AttackiD running gy SANS Incident Response Ready gt Refresh A Options Refreshed At Tue Jan 18 09 23 33 EST 2005 Process Monitor E il 1 z I imo pp diga go i 1 masa CR M a poi E Togo ra i DE a nus oea
105. Novell Sentinel www novell com Dada l Volume Il GUIA DO USUARIO DO SENTINEL 7 de julho de 2006 Novell Informa es legais A Novell Inc n o faz representa es ou garantias quanto ao conte do ou utiliza o desta documenta o e especificamente se isenta de quaisquer garantias de comercializa o expl citas ou impl citas ou adequa o a qualquer prop sito espec fico Al m disso a Novell Inc reserva se o direito de revisar esta publica o e fazer mudan as em seu conte do a qualquer momento sem obriga o de notificar qualquer pessoa ou entidade sobre essas revis es ou mudan as A Novell Inc n o representa nem garante nenhum software e especificamente se isenta de qualquer garantia expl cita ou impl cita de comercializa o ou adequa o a qualquer prop sito espec fico A Novell Inc reserva se o direito de mudar qualquer parte do software da Novell a qualquer momento sem ter a obriga o de notificar nenhuma pessoa ou entidade sobre tais mudan as Quaisquer produtos ou informa es t cnicas sob este Contrato est o sujeitos aos controles de exporta o vigentes nos Estados Unidos e legisla o comercial de outros pa ses Voc concorda em cumprir todos os regulamentos do controle de exporta o e em obter as licen as ou a classifica o necess rias para exportar reexportar ou importar produtos finais Voc concorda em n o exportar nem reexportar para entidades que constem nas lis
106. P Jzrre sometimes rpcia f TCP 32779 somatimes rpr21 f TCP 3277 9 sometimes rpr21 TCP 32779 sometimes rpc21 2TCP A exibi o gr fica uma renderiza o das vulnerabilidades que as vincula a um evento atrav s de portas comuns Segue um exemplo das quatro telas dispon veis Guia do Usu rio do Sentinel ftp 214TCP 190 168 12 24 telnet 199 168 10 23 TCP 199 168 10 25 anii 189 168 10 22 Ho Scanneri 90 TCP 19941 EE E 189168 10 23 dnsix 90 TCP 190 168 42 21 sometimes rpc21 EF 327 79 TCP ftp 21 TCP Org nico A E cannmer E 9 198 10 22 189 168 10 23 190 188 12 21 190 168 12 24 199 168 10 22 199 188 10 25 Es E Es EF dnsix sometimes rpc21 ftp dnsix ftp telnet dnsix 90 TCP 32779 TCP 214 TCP 90 TCP 244 TCP 23 TCP 90 TCP Guia Active Views 3 19 Hier rquico Aee 23 TCP 2 24 E ts 68 10 25 E end E j EF CE mogi 199 168 11 22 ansix eai a0 TCP gs 189 168 10 22 E 3 199 168 192 dnsix I0TCP 190 168 12 21 G 2WTCP ftp 24 TCP 19016 sometimes ani 327T9ITCP Circular Ha drigix 189 1 g0CP 199 168 11 22 k Ha Scapner 01 1901 Er Er E ftp 1991681022 cE lt E Er P gt St 10 22 dnsix 18916810 23 sometimes rpc21 90 TCP 32779 TCP g 1 em 21 TC tenet 199 168 10 25 dnsix 190 168 12 24 23 TCP S0 TCP 21 TCP Ortogonal H quatro pain is dispon veis na exibi o gr fica S o eles painel gr fico painel de rvore p
107. SMTP YRF Y UNKNOWN J 5125 06 7 35 07 AM 10 0204 his2168 07 MEB MISC Phorecast remot 6 25 06 7 35 07 AM 110 0 0 2 192 168 0 9 WEB MISC Phorecast remot 8 25 06 7 35 07 AM 10 004 192468010 RPC snmpXami overflow att 6 25 06 7 35 07 AM 10 0 20 7 119216804 Microsoft Exchange Server 6 25 06 7 35 07 AM hreshold exceeded 2418 of 2418 Update 6 25 06 7 50 00 AM Received 69 of 69 Displaying 69 Navegando pelo Sentinel Control Center 2 1 Iniciando o Sentinel Control Center Iniciando o Sentinel Control Center no Windows Iniciando o Sentinel Control Center no Windows 1 Clique em Iniciar gt Sentinel gt Sentinel Control Center ou clique no cone Sentinel Control Center na rea de trabalho 2 Digite seu nome do usu rio e senha e clique em OK Iniciando o Sentinel Control Center no UNIX Iniciando o Sentinel Control Center no UNIX 1 Como usu rio esecadm use cd para passar a este diret rio SESEC HOME sentinel console 2 Execute o seguinte comando run sh 3 Digite seu nome do usu rio e senha e clique em OK Barra de menus H dez menus abaixo da barra de t tulo Come ando pelo lado esquerdo da janela est o os menus Arquivo Op es Windows Active Views Incidentes iTRAC Consultor Coletores Admin e Ajuda As op es Arquivo Op es Windows e Ajuda est o sempre dispon veis As outras op es tornam se dispon
108. Severity 3 PUBLIC Low Severty filter e Severity lt 2 Severity PUBLIC Firewall Events fiter e DeviceCategory PW PUBLIC Correlation fiter e SensorType or e SensorType W PUBLIC Exploit_Detection fiter e Vulnerabilty PUBLIC External Events fiter e SensorType l I and e SensorType P PUBLIC JaLL fiter 1 1 PUBLIC Scan Events fiter e DeviceCategory SCAN PUBLIC Severe Internal fiter e SensorType and e Severity 3 PUBLIC internal Events filter e SensorType I Gerenciar Configura o de Filtro Adicionar Clonar Apagar Selecionar 2 Clique em Concluir Se voc tiver uma rede ativa poder ver algo semelhante a NOTA Para exibir um gr fico 3D sem eventos em tempo real clique na seta para baixo de Exibir Eventos e selecione o N o PUBLIC ALL Severity 1 FERE Filter PUBLIC ALL Attribute Severity Top Values for Last 5 Minutes 30 Second Display Interval 15 Minute Display Time 09 47 30 09 52 30 CountiRate E g 9 09 37 30 00 40 00 09 42 30 09 45 00 09 47 30 09 50 00 Time E 2005 05 03 09 52 29 EDT 168 12 168 12 Program execution started 2005 05 03 09 52 29 EDT 206 158 21 6 190 168 12 21 Failed login administrator 2005 05 03 09 52 29 EDT 208 152 25 22 190 168 12 24 WEB IIS asp chunked 2005 05 03 09 52 29 EDT 208 152 25 22 190 168 12 2
109. a d export home oracle m s bin csh oracle Outras refer ncias da Novell Os seguintes manuais est o dispon veis nos CDs de instala o do Sentinel Guia de Instala o do Sentinel M 5 Guia do Usu rio do SentinelTM Guia do Usu rio do Assistente do SentinelTM 5 Guia de Refer ncia do Usu rio do SentinelTM 5 Guia de Integra o de Terceiros do Sentinel 5 Notas da vers o Entrando em contato com a Novell Site na Web http www novell com Suporte T cnico da Novell http www novell com support index html Suporte T cnico Internacional da Novell http support novell com phone html sourceidint suplnav4 phonesup Suporte Pessoal http support novell com support options html sourceidint suplnav supportprog Para obter suporte 24 horas por dia 7 vezes por semana ligue para 800 858 4000 Introdu o ao Sentinel 1 25 1 26 Guia do Usu rio do Sentinel Navegando pelo Sentinel Control Center NOTA O termo Agente intercambi vel com Coletor Mais adiante Agentes ser referido como Coletores O Sentinel Control Center composto de Barra de menus Barra de ferramentas Guias Al m disso os seguintes temas ser o explicados neste cap tulo Iniciando o Sentinel Control Center Mudando a apar ncia do Sentinel Control Center Gravando as prefer ncias do usu rio Mudando a senha do Sentinel N Novell Sentinel Control Center logged in as e
110. a configurar a fun o do Active Views no Sentinel Control Console O DAS recebe solicita es dos diferentes processos do Sentinel converte as em uma consulta ao banco de dados processa o resultado do banco de dados e converte o em uma resposta Ele oferece suporte a solicita es para recuperar eventos para Consulta R pida e Detalhamento de Eventos para recuperar informa es de vulnerabilidade e informa es do consultor e para manipular informa es de configura o O DAS tamb m gerencia o registro de todos os eventos recebidos do Gerenciador do Coletor Assistente e pede a recupera o e o armazenamento das informa es de configura o Guia do Usu rio do Sentinel Processo do Gerenciador de Consultas query manager O processo do gerenciador de consultas query manager recebe uma consulta r pida detalha as solicita es do Sentinel Control Center e as encaminha para o banco de dados atrav s do DAS As solicita es do Sentinel Control Center definem os eventos necess rios com base em um filtro Se um filtro for usado o Gerenciador de Consultas recuperar a defini o de filtro e converter o filtro em um crit rio xml O Gerenciador de Consultas envia a solicita o para o DAS Nem todos os filtros podem ser completamente convertidos em consultas que podem ser processadas pelo banco de dados Se o filtro for totalmente convertido o Gerenciador de Consultas instruir o DAS a enviar a resposta diretamente para o Sent
111. a janela Configura o do Menu 2 Selecione uma op o de menu e clique em Apagar Clique em Sim para apagar a op o de menu Clique em N o para manter a op o de menu Editando as configura es de browser Configura o do Menu Essa op o permite que voc envie sua sa da de Op o de Configura o do Menu para um browser externo O browser externo pode ser qualquer aplicativo N o h restri o para browser de Internet Ao mudar a extens o do arquivo voc pode iniciar qualquer aplicativo que esteja associado com aquela extens o Por exemplo o formato txt est geralmente associado com o Bloco de notas Voc tamb m pode escolher iniciar um programa espec fico por exemplo fazer com que um arquivo txt seja aberto pelo Wordpad ou outro editor Editando as configura es do seu browser de Configura o de Menu 1 Abraa janela Configura o do Menu 2 Clique em Browser 9 22 Guia do Usu rio do Sentinel N Configura o de Menu xd Usar browser padr o O Use os seguintes comandos para iniciar um browser Procurar Teste Extens o padr o imo oo piit Ok Cancelar Ajuda Se voc selecionar Usar browser ao configurar uma op o de Configura o do Menu com o Recurso de browser definido como configura o padr o como apresentado a Op o de Configura o do Menu reagir como se a caixa Usar browser n o estivesse marcada Se marcar a caixa Usar browser externo
112. a na etapa anterior esses valores v o variar Map Name Asset 7 Map Name isExploitwatchiist Map Column assetnName Key Configurati Map Column exist Y me Key Configure AREEN Man Fou Fial NetworkIdentity AssetCategory Map Name attackSignatureNormalization 7 EnvironmentIdentity Assetvalue Map Column Normalizedattackd Criticality Key Configurati Normalized ttackId k EXIST Gerenciador de dados do Sentinel 10 19 EXIST Esta uma coluna de mapa especial que existe em todos os mapas Caso a Coluna de mapa seja selecionada ser colocado um 1 na tag de evento caso a chave esteja nos dados do mapa Caso a chave n o esteja nos dados do mapa ser colocado um 0 na tag de evento Todas as outras op es nomes das colunas ativas na defini o do mapa que n o s o definidos como chave por exemplo a coluna CustomerlId na coluna Bem ou Normalized Attackld em AttackNormalization 6 Na Configura o de chave para cada linha da tabela selecione a tag de evento na coluna Tag de evento que corresponder coluna de chave de mapa especificada na coluna correspondente do campo Chave do mapa As linhas na tabela Configura o de chave depender o do Nome de mapa selecionado NOTA A chave um identificador exclusivo para a linha de dados no mapa Key Configuration Map Key Field Event Tag NormalizedattackId DeviceCategory 7 Cli
113. ados comerciais importantes por todo o sistema Esse recurso auxilia a escalabilidade e oferece a vantagem da extens o por meio da transfer ncia de dados inteligente entre diferentes n s do sistema distribu do O Servi o de Mapeamento um recurso de propaga o de dados que permite a refer ncia cruzada entre dados do Verificador de Vulnerabilidades e assinaturas do Sistema de Detec o de Intrus o IDS entre outros dados por exemplo dados de bens dados importantes da empresa Isso permite a notifica o imediata em caso de tentativa de ataque para explorar um sistema vulner vel Tr s componentes separados proporcionam essa funcionalidade Coleta de eventos em tempo real de uma fonte de detec o de intrus o Compara o dessas assinaturas com as ltimas verifica es de vulnerabilidade e refer ncia cruzada de uma alimenta o de ataque por meio do Sentinel Advisor um m dulo opcional do produto que efetua a refer ncia cruzada entre assinaturas de ataque do IDS em tempo real e dados do verificador de vulnerabilidades do usu rio O Servi o de Mapeamento propaga informa es de modo din mico por todo o sistema sem afetar a carga do sistema Quando conjuntos de dados importantes ou seja mapas como informa es de bens ou de atualiza es de patch s o atualizados no sistema o Servi o de Mapeamento propaga por todo o sistema essas atualiza es que com fregii ncia consistem em centenas de megabytes
114. ados designado e realizar suas a es Gerenciamento de parti o Configura o de parti o 10 28 Este vale apenas para o Oracle Esta a o partitionConfig usada para configurar as parti es do seu banco de dados Esta configura o determina como as parti es s o adicionadas a todas as tabelas particionadas do Sentinel Esta a o usa os seguintes indicadores action partitionConfig freq lt 3D ou 2D ou 1D ou 1W gt Estas s o as nicas op es suportadas 3D tr s parti es por dia 2D duas parti es por dia 1D uma parti o por dia 1W uma parti o por semana days lt N mero de dias a serem adicionados sempre que se escolher addPartitions gt connectFile lt caminho para o nome de arquivo gravado por saveComnection gt Guia do Usu rio do Sentinel Executando partitionConfig 1 Execute este comando da seguinte forma sdm action partitionConfig freq lt 3D ou 2D ou 1D ou lIw gt days lt N mero de dias a serem acrescentados sempre que se escolher addPartitions gt connectFile lt caminho para o nome de arquivo gravado por saveConnection default SESEC HOME sdm sdm connect gt No exemplo a seguir o sistema adicionar 30 parti es 3 parti es por 1 DIA 3 10 sdm action partitionConfig freq 3D days 10 connectFile sdm connect No exemplo a seguir o sistema adicionar dez parti es 1 parti o por 1 DIA
115. aem mee qo x 3 H Ettore E 80 EaD 1 E prona SA g 3 iTrac HIPAA process created Tue Jan 18 09 07 57 EST GP HIPAA 3 Trac HIPaA process context changed H fcontainmentOutput p Tue Jan 18 09 07 58 EST F HIPAA 3 iTrac HIPAA process context changed HId Id 102 Tue Jan 18 09 07 59 EST GP HIPAA 3 Trac HIPaA process context changed fuserName null JuserName nullr Tue Jan 18 09 07 59 EST F HIPAA 3 iTrac HIPAA process state changed E not started 3 running Ready gt Refresh Created State running Para configurar uma op o do Gerenciador de Processos 1 Clique na guia iTRAC 2 Clique duas vezes em qualquer processo 3 Clique no bot o Op es Nessa janela voc tamb m pode configurar o seguinte Campos Agrupar por Classificar Filtro Exibi o em rvore 5 10 Guia do Usu rio do Sentinel Clique em Aplicar e em Gravar Segue uma tela com a Exibi o em rvore definida como Status em execu o e n o iniciada Incidentid LastUpdateTime Description E Processes Ea HPAA EEF SANS Incident Response m running running 104 2005 01 19 09 38 58 EST SANS Incident H not started Inot started 101 2005 01 18 08 52 59 EST SANS Incident H Ready ao Refresh 7 Options Refreshed At Fri Jan 21 13 04 40 EST 2005 Iniciando ou terminando um processo
116. agar parti es GUI 10 5 10 6 archiveConfig ii 10 33 archiveData reesen 10 33 arquivando os dados linha de COMANCO cx ias assar areia a dica Ped ee a ia 10 33 arquivar parti es GUI 10 5 10 6 arquivos a serem importados linha de comando ii 10 35 atualizando dados de mapa linha de olle ETAO o VEAP EEEE 10 39 atualizando um mapeamento 10 15 conectando ao banco de dados 10 2 configura o de evento 10 21 configura o de evento descri o 10 20 configura o de parti o linha de COMAG iaon tonto e aa 10 29 dbsials a 2 205 estansis gas e ea a 10 39 defini o de mapa 10 8 10 13 deleteData eeeenne ereenn 10 35 dropIlmported 10 38 eliminando parti es linha de comando eee a spa lie lzado filesTolmport file TOlmport i si siitiaina gerenciamento de arquivo linha de comando ii 10 33 gravando as propriedades da conex o no banco de dados 10 28 importando dados linha de Comando is aqueles ee eas 10 37 importar parti es GUI 10 5 10 6 IMponData qa emas ui osiessre nesse dettntiss uid 10 37 iniciando UNIX li 10 2 iniciando Windows 10 2 mapeamento o 10 18 mape
117. ainel de controle painel de detalhes eventos 3 20 Guia do Usu rio do Sentinel A exibi o do painel gr fico associa as vulnerabilidades a uma combina o de porta protocolo de um recurso endere o IP Por exemplo se um recurso tiver cinco combina es exclusivas de porta protocolo vulner veis haver cinco n s anexados a esse recurso Os recursos s o agrupados sob o scanner que explorou os recursos e relatou as vulnerabilidades Se dois scanners diferentes forem usados ISS e Nessus haver dois n s de scanner independentes com vulnerabilidades a eles associadas NOTA O mapeamento de eventos ocorre somente entre os eventos selecionados e os dados de vulnerabilidade retornados O painel de rvore organiza os dados na mesma hierarquia do gr fico Esse tipo de painel tamb m permite que os usu rios ocultem exibam n s em qualquer n vel da hierarquia O painel de controle exp e todas as funcionalidades dispon veis na exibi o Entre as quais est o quatro algoritmos diferentes para exibi o capacidade de mostrar todos os n s ou apenas os selecionados com eventos a eles mapeados amplia o e redu o de reas selecionadas do gr fico No painel de Detalhes Eventos existem duas guias Quando a guia Detalhes est selecionada se voc clicar em um n ser o exibidos os detalhes do n Quando a guia Eventos est selecionada se voc clicar em um evento associado a um n esse n ser exibido
118. amento de evento 10 8 10 13 mapeamento de eventos 10 16 partitionConfig 10 28 10 29 remapeamento 10 18 renomeando uma coluna de evento 10 21 SAM CONEGU eaae cesuasinronios disisamtna mia 10 27 updateMapDaita 10 39 utiliza o do espa o linha de comando se sussa eres 10 39 VIEWPArIHON esirin enenge 10 32 visualiza o de parti o GUI EE E iidastesa 10 4 10 6 10 7 visualiza o de parti o linha de comandos e e a siena DE 10 32 gerenciador de telas adicionando uma tela sss 4 4 gerenciamento de arquivo 10 33 gerenciamento de banco de dados addPartition aias 10 30 apagando dados importados linha de comandos dro a gasai sonedi lee LE 10 38 archiveConfig i 10 33 archiveDala ssmessoirseassienrondosas sadaadbina da 10 33 arquivando dados linha de comandos ie NERO RR 10 33 atualizando do mapa linha de comando MEE A T 10 39 deleteData inisenirairnrneerererinnirrnnnnna 10 35 dropPartition eeen 10 31 gerenciamento de arquivo linha de comando 10 33 gerenciamento de parti o 10 28 importando dados linha de comando 10 37 partitionConfig ii 10 29 remapeamento lii 10 18 gerenciamento do banco de dados adicionando parti
119. ar em ordem ascendente e clique duas vezes para organizar na ordem descendente Fechando um instant neo ou Navegador Visual 3 24 Para fechar uma tabela Tempo Real de Evento ou instant neo 1 Com um Instant neo ou janela do Navegador Visual aberta se voc quiser que a tabela esteja dispon vel na pr xima vez em que abrir o Sentinel Control Center clique em Arquivo gt Gravar Prefer ncias Feche a tabela com o bot o Fechar canto superior direito no Windows ou superior esquerdo no UNIX Guia do Usu rio do Sentinel Apagando um instant neo ou Navegador Visual Para apagar um Instant neo ou janela Navegador Visual 1 Feche o Instant neo ou o Navegador Visual aberto com o bot o Fechar canto superior direito no Windows ou superior esquerdo no UNIX 2 Clique em Arquivo gt Gravar Prefer ncias ou clique no bot o Gravar Prefer ncias do Usu rio A tela ou instant neo n o ser exibida novamente quando voc fechar e abrir novamente o Sentinel Control Center Adicionando eventos a um incidente Para executar esta fun o voc deve ter as permiss es de usu rio Modificar Incidente s e Atribuir Incidente s Para adicionar eventos a um incidente 1 Em uma tabela Tempo Real de Evento ou Instant neo selecione um evento ou grupo de eventos clique o bot o direito do mouse para exibir e clique em Adicionar ao Incidente 2 Na caixa de di logo Adicionar ao Incidente clique no bot o Procurar Add Event
120. ara Para UNIX SESEC_HOME sentinel bin Para Windows SESEC HOMES sentinelNbin Guia Consultor 7 3 4 Digite os seguintes comandos Para UNIX adv change passwd sh lt oldpassword gt lt newpassword gt Para Windows adv change passwd bat lt oldpassword gt lt newpassword gt Mudando a configura o de e mail do Consultor Para mudar a configura o de e mail do servidor do Consultor 1 Para Unix efetue login como esecadm ou para Windows efetue login com direitos administrativos 2 cd para Para UNIX SESEC HOME sentinel config Para Windows SESEC HOMES sentineliconfig 3 Usando um editor de texto abra alertcontainer xml e alertcontainer xml Fa a as mudan as editoriais na rea cinza lt property name advisor mail from gt fromNAMEtdomain com lt prope rty gt lt property name advisor mailto list gt toNAMEtdomain com lt prope rty gt NOTA No caso de mais de um endere o de e mail digite os endere os de e mail separados por v rgula sem espa os Mudando o hor rio de alimenta o de dados Por padr o os hor rios de alimenta o de dados s o Seis horas 01 00 07 00 13 00 e 19 00 Doze horas 02 00 e 14 00 Para mudar hor rios de alimenta o de dados 1 Efetue login em sua m quina com Consultor para UNIX efetue login como esecadm 2 Para editar os hor rios de alimenta o de dados Para UNIX use
121. ation fa a o processamento conforme exibi o no diagrama a seguir Introdu o ao Sentinel 1 17 flowito semn content IFF ISMO E E FN m i 9 R contect 5e COPO Eam DO mp mes OLO nocase ditames MEME wos onra eee Duo l NE o A distance O within i Rama O 3 Foundstone IMPORT NCIA pi x WRNI byte dest 1 66 Rn a as AMEA A REAL NO DO Os 461 distane E Tae a reference cye ima clasgyeoan o Relev ncia comercial o Sentinel 5 insere dados contextuais de relev ncia comercial diretamente no fluxo de eventos Ele inclui at 135 campos personaliz veis nos quais os usu rios podem adicionar informa es espec ficas sobre os bens como unidades de neg cios propriet rio valor do bem e localiza o geogr fica Quando essas informa es s o adicionadas ao sistema todos os outros componentes podem aproveitar o contexto adicional OPERATING SERVER REGULATION LOCATION DEPARTMENT ENVIRONMENT Ei 5 E z ar PA ho Tsga ASSET VALUE REGULATORY BUSI RATING Y Detec o de explora o possibilita a notifica o imediata e process vel de ataques em sistemas vulner veis Essa detec o vincula em tempo real as assinaturas IDS e os resultados de verifica o de vulnerabilidades notificando os usu rios de modo autom tico e imediato mediante uma tentativa de ataque para explorar um sistema vulner vel Isso melhora sensivelmente a efici ncia e a efic cia da resposta a i
122. atual use o recurso Editar da interface do usu rio do SDM para atualizar a defini o do mapa Para atualizar dados de mapa 1 Caso voc ainda n o tenha feito isso crie um arquivo contendo os novos dados de origem de mapa na m quina onde est sendo executado o SDM Esse arquivo pode ser gerado por exemplo de um script de descarte de dados criado manualmente do zero ou ser uma vers o editada do arquivo atual de origem de dados do mapa Se necess rio voc pode obter o arquivo atual de origem de dados do mapa deste local No Windows SESEC HOMES sentinelNbinimap data Para o UNIX SESEC HOME sentinel bin map data Clique na guia Mapeamento 3 Expanda a pasta desejada Realce o mapeamento a ser atualizado Clique em Update Atualizar amp Map Data Update Maps New Folder vuln attack Source Data File File Name Browse r Data Preview New Current O comi Column 2 CC JV Backup Existing Data On Server OK Cancel 4 Selecione o novo arquivo de origem de dados do mapa clicando em Procurar e selecionando o arquivo com os novos dados de mapa Depois de selecionar o arquivo os dados do novo arquivo aparecer o na guia Novo Os dados de mapa que voc est substituindo estar o na guia Atual Gerenciador de dados do Sentinel 10 15 5 Desmarque ou deixe a configura o padr o para Fazer backup dos dados existentes no servidor A ativa o de
123. aveConnection gt Exemplo do Oracle sdm action addPartitions connectFile sdm connect Exemplo do SQL Server sdm action addPartitions connectFile sdm connect Eliminando parti es 10 30 Esta a o dropPartition elimina todas as parti es que s o mais antigas do que o indicador keepDays das tabelas a seguir Oracle 2 EVENTS CORRELATED EVENTS 2 EVT DEST EVT NAME SMRY 1 2 EVT DEST SMRY 1 2 EVT DEST TXNMY SMRY 1 EVT PORT SMRY 1 2 EVT SEV SMRY 1 2 EVT SRC SMRY 1 SQL Server o EVENTS CORRELATED EVENTS 2 EVT DEST EVT NAME SMRY 1 2 EVT DEST SMRY 1 2 EVT DEST TXNMY SMRY 1 EVT PORT SMRY 1 2 EVT SEV SMRY 1 EVT SRC SMRY 1 Esta a o n o elimina nenhuma parti o que n o est arquivada Se desejar apagar as parti es n o arquivadas use o indicador forceDelete Caso se use forceDelete falso ou n o elimina apenas as parti es mais antigas do que keepDays e as que est o especificado arquivadas verdadeiro elimina todas as parti es mais antigas do que keepDays incluindo as parti es n o arquivadas Esta a o usa os seguintes indicadores action dropPartitions keepDays lt n mero de dias a serem mantidos gt forceDelete lt verdadeiro ou falso gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Guia do Usu rio do Sentinel NOTA Se voc eliminar uma parti o que n o foi arquivada ela n o poder ser importada
124. avidade 3 Nome do evento MoveArchiveFileFailed Recurso lt Nome DAS gt Sub recurso ArchiveFile Mensagem Erro ao mover arquivo conclu do lt nome arg gt para lt dir gt Eventos de sistema do Sentinel5 A 3 Erro ao inserir eventos Quando ocorre falha na inser o de eventos no banco de dados o seguinte evento interno gerado Tag Valor Gravidade 5 Nome do evento InsertEventsFailed Recurso EventSubsystem Sub recurso Eventos Mensagem Erro ao inserir eventos no banco de dados Os eventos ser o permanentemente perdidos Verifique os logs do banco de dados e do servidor backend lt Exce o gt Falha ao abrir arquivo Quando ocorre falha na abertura do arquivo que armazena os eventos de agrega o o seguinte evento interno gerado Tag Valor Gravidade 3 Nome do evento OpenArchiveFileFailed Recurso lt Nome DAS gt Sub recurso ArchiveFile Mensagem Erro ao abrir arquivo lt nome gt em lt dir gt Falha na grava o do arquivo Quando ocorre falha na abertura do arquivo que armazena os eventos de agrega o o seguinte evento interno gerado Tag Valor Gravidade 3 Nome do evento Write ArchiveFileFailed Recurso lt Nome DAS gt Sub recurso ArchiveFile Mensagem Erro ao gravar eventos rec m recebidos no arquivo de agrega o lt nome arg gt A 4 Guia do Usu rio do Sentinel Gravando na parti o de overfl
125. barra empilhada linhas ou faixas N Sentinel Control Center conectado como usu rio5 L a Arquivo Op es Windows Telas Ativas Incidentes RAC An ise Consultor Admin Ajuda jr E E EE E tias Ativas incidentes SPiTRAC gi An lise 2consutor Z Admin a Telas Ativas P BLICO High_Severity Gravidade Hi Tempo Real mes aaa aa CO High Severity Gi a Filtro P BLICO High_ saai Atributo Gravidade 0 P BLICO Exploit Detection G E 15 Minutos Intervalos de 30 Segundos E EHE Instant neo S o 1 E L Consultas Hist ricas a so P i Investigar E o Bs pa An lise g E og A es 6 56 5 57 30 5 59 00 6 00 30 6 02 00 6 0330 6 05 00 6 06 30 6 08 00 6 09 30 E Hor rio x Data Hor rio P de Origem Nome do Evento 6714 06 6 10 52 206 158 21 6 1901681221 Failed login administretor 0 6M4706 6 10 52 2081522522 ho 901681224 _ _ lapache chunked encodina bo 1 BM 4 06 6 10 52 208 152 25 22 901681224 bdight pass bo o 6M406 6 10 52 2081522522 ha01681224 Reetor tb 1891681022 891681023 o 9946840 25 ECHE 22 o gt atualiza o 14 6 06 6 11 00 Recebido 69 de 69 Exibindo 69 5 Itens de Trabalho 0 0 ee Filtro P BLICO Exploit Detection Atributo Gravidade 15 Minutos Intervalos de 30 Segundos Itens de Trabalho 5 57 30 5 59 00 6 00 30 6 02 00 6 03 30 8 06
126. bela de dados ser automaticamente atualizada para lhe permitir visualizar os dados e garantir que estejam sendo analisados da forma esperada amp New Map Definition x C Semicolon C Other r The first 500 rows are shown me O w o y 92 168 03 1 pas E Column Filtering lt Back Finish Cancel Guia do Usu rio do Sentinel 9 Depois de concluir a configura o de todos os par metros e filtros para a defini o clique em Concluir 10 Se voc escolher Arquivo local na etapa 7 descrita o sistema lhe pedir para enviar seu arquivo para a pasta virtual Arquivos remotos localizada em WESEC HOMEGIsentinelbinimap data Insira um nome de arquivo e clique em OK Adicionando uma defini o de mapa de Intervalo de N mero para usar a funcionalidade de mapa de intervalo a defini o de mapa deve ter exatamente uma coluna de chave e esta deve ser do tipo NumberRange Se houver quaisquer outras colunas de chave ou a coluna for de um tipo diferente o servi o de mapeamento n o considerar o mapa um mapa de intervalo Para criar um mapa de intervalo selecione uma nica coluna para ser a chave do mapa e depois NumberRange como tipo da coluna O formato dos dados em uma coluna do tipo NumberRange deve ser m n onde m o n mero m nimo no intervalo e n o n mero m ximo no intervalo ou seja 10 200 O n mero m ximo no intervalo n o est inclu do no in
127. bjetos com o qual os usu rios podem definir objetos usando metadados Outros servi os incluem Correla o Gerenciador de Consultas Workflow Visualiza o de Eventos Resposta a Incidentes Sa de Consultor Relat rios e Administra o Introdu o ao Sentinel 1 15 SERVI OS COMUNS VISUALIZA O RESPOSTA A GERADOR DE DE EVENTO INCIDENTE retur rios CONSULTOR SA DE ADMINISTRA O REPOSIT RIO DE EVENTOS MECANISMO DE FILTRO MECANISMO DE MAPA MONITOR DE SAUDE ERVI O GERENCIADOR SERVI O DE SERVI O DE CORRELA O DE CONSULTAS WORKFLOW SERVI OS DE ACESSO DE DADOS SERVI OS REMOTOS SERVI OS DE API L GICA COMERCIAL GERENCIADOR GERENCIADOR GERENCIADOR SERVI OS COMUNS DE COLETOR DE COLETOR DE COLETOR COMANDO amp CONTROLE MECANISMO MECANISMO MECANISMO MECANISMO MECANISMO MECANISMO O ANENTO DE COLETOR COLETOR COLETOR COLETOR COLETOR COLETOR TAXONOMIA FILTRAGEM GLOBAL CONECTOR CONECTOR CONECTOR CONECTOR CONECTOR CONECTOR RELEV NCIA COMERCIAL COLE O amp ENRIQUECIMENTO R COLETORES COLETORES COLETORES COLETORES COLETORES COLETORES FONTES DE DADOS EXTERNOS A camada de apresenta o proporciona a interface entre o aplicativo e o usu rio final Um painel abrangente chamado Sentinel Control Center oferece um workbench de usu rio integrado que consiste em uma matriz de sete aplicativos diferentes que podem ser acessados por meio de uma nica estrutura comum
128. bre essas tecnologias de terceiros e suas isen es de responsabilidade e restri es associadas consulte http java sun com j2se 1 4 2 j2se 1 4 2 thirdpartylicensereadme txt JavaBeans Activation Framework JAF Copyright O Sun Microsystems Inc Para obter mais informa es isen es de responsabilidade e restri es consulte http www java sun com products javabeans glasgow jaf html e clique em download gt license JavaMail Copyright O Sun Microsystems Inc Para obter mais informa es isen es de responsabilidade e restri es consulte http www java sun com products javamail downloads index html e clique em download gt license Java Ace por Douglas C Schmidt e seu grupo de pesquisa na Washington University e Tao com agrupadores ACE por Douglas C Schmidt e seu grupo de pesquisa em Washington University University of California Irvine e Vanderbilt University Copyright O 1993 2005 Para obter mais informa es isen es de responsabilidade e restri es consulte http www cs wustl edu schmidt ACE copying html e http www cs wustl edu pjain java ace JACE copying html Java Authentication e Authorization Service Modules licenciados sob a Licen a P blica Geral Menos Restritiva Para obter mais informa es isen es de responsabilidade e restri es consulte http free tagish net jaas index jsp Java Network Launching Protocol JNLP Copyright O Sun Microsystems Inc Para obter mais informa es
129. c o de Explora o Esse servi o gera um ou dois arquivos de acordo com o tipo dos dados atualizados Introdu o ao Sentinel 1 7 Informa es de Explora o de Vulnerabilidade e do Consultor Servi o de Detec o de Explora o DAS Alimenta o do Consultor Alimenta o de Alerta Banco de Dados Alimenta o de Ataque Arquivos de Mapa de Detec o de Detec o de Explora o Explora o Configura o de Evento E idade Servi o de igur vi mudado Registrar Mapeamento obten o ra Coletor de IDS de mapa Eventos Vulnerabilidade Dados Coletor de de Evento Eventos Informativos erra Gerenciador de Coletores Coletor de Firewall O Servi o de Mapeamento usa os arquivos de mapeamento da Detec o de Explora o para corresponder os ataques explora o de vulnerabilidades Os verificadores de vulnerabilidades exploram as reas vulner veis do sistema bens O IDS detecta ataques se houver a essas reas vulner veis Os firewalls determinam se h tr fego em dire o a uma dessas reas vulner veis Se um ataque for associado a qualquer vulnerabilidade isso significa que o bem foi explorado O Servi o de Detec o de Explora o gera dois arquivos localizados em SESEC HOME sentinel bin map data Os nomes desses arquivos s o attackNormalization csv e exploitDetection csv O attackNormalization csv
130. ca caraca 6 2 Executando um relat rio de eventos correlacionados rear 6 3 7 Guia Consultor 7 1 Executando relat rios do Consultor reter araeaneea acer aaraaaaara narra aaanananannaaa 7 1 Instala o independente Atualiza o manual do Consultor ssssssssseseeernesrtrnsrrnneetrnrrtnnntnnnnnennne ne 7 1 Download direto da internet atualiza o manual do Consultor rei 7 3 Mudando a senha do servidor do Consultor e a configura o de e mail 7 3 Mudando a senha do servidor do Consultor independente 7 3 Mudando a senha do servidor do Consultor download direto 7 3 Mudando a configura o de e mail do Consultor erre eeeaererrearenneeaa 7 4 Mudando o hor rio de alimenta o de dados err aracaeaa caraca narra 7 4 8 Guia Coletores 8 1 LayOUt sos E E E E E E SOS isa E E Janta E qu eus Lampada vb AUS DAR DG Ta qu qua Luana sia ai dd sui 8 1 Monitorando um Coletor r r eE aa aeae EE aeea E eaaa E EE aane 8 2 Monitorando um host do assistente errar careneaneaeanaacaranaa nara a narra anranaa 8 3 Criando uma tela Coletor irena ieira Ena nl Sea guto a tier dada Petas ma end 8 3 Modificando uma tela Coletor e irieeeeaeereaeaeeaeaaaanenanaaneaeananenaaaanenananacananeranda 8 4 Interrompendo Iniciando Detalhes dos coletores is ireireeeereeeeeeereenarans 8 4 9 Guia Admin 9 1 Guia Ad
131. callback com novos dados do mapa Tentando novamente Eventos de sistema do Sentinel5 A 9 Error ApplyinglncrementalUpdate Esse evento enviado quando o servi o de mapeamento n o consegue aplicar uma atualiza o a um mapa de cliente existente Tag Valor Gravidade 4 Nome do evento ErrorApplyingIncrementalU pdate Recurso MappingService Sub recurso ReferentialDataObjectMap Mensagem O erro lt erro gt ocorreu durante a aplica o de atualiza es ao mapa lt Nome mapa gt ID lt ld mapa gt v lt vers o gt Reprogramando atualiza o para concluir a atualiza o do mapa OutOfSyncDetected Esse evento enviado quando o servi o de mapeamento detecta um mapa desatualizado O servi o de mapeamento programar uma atualiza o automaticamente Tag Valor Gravidade 2 Nome do evento OutOfsyncDetected Recurso MappingService Sub recurso ReferentialDataObjectMap Mensagem Mapa lt Nome mapa gt detectou dados do mapa fora de sincronismo provavelmente devido aus ncia de notifica o de atualiza o Programando uma atualiza o Roteador de Evento Roteador de Evento em execu o O roteador de evento o principal componente do Gerenciador de Coletor aquele que executa os mapas aplica filtros globais e publica os eventos Esse evento interno enviado quando o roteador de evento est pronto durante a inicializa o Quando o Gerenciado
132. cem s 9 29 GONT in a a RA E 9 29 Atea eya EAR N AE E A E 9 27 modificando ess nnnneseoeennnnnnessennnnnnreessnnne 9 29 visualizando ssneeoeeennnnnenneennrrnreeesnnene 9 29 controlador de dados Consulte sincronizador de dados CON BIa O EEE A 1 2 correla o avan ada defini o innia 9 5 correla o b sica defini o ss ess gostas roseta ira 9 5 correla o de RuleLg de formato livre defini o us sei sao psieeea doses sugeria a 9 5 correlation engine is 144 criando contas de usu rio 9 27 filtro globaliai enreta r sales bastantes 9 15 Lo oito Us PARANDO NADO a 4 6 incidentes 2 scssaestasa inata pas guas sis etana 3 11 pasta de regra 9 7 S o es EE ER E 9 7 9 8 relat rio de an lise i 6 2 Relat rio do Consultor 7 1 tela Coletor eera e sense se ransr e ce eatan Eta 8 3 Crystal Report Dez relat rios principais 6 1 executando Saigialcanlas e eninisioiinta Da ceras LoSGa ES 6 2 dados de bens 3 17 DAS oeeie e eie e ARAE 1 14 data_synchronizer seses 1 14 database management mapeamento o 10 18 dbstais iea aridan goma da aitaan 10 39 defini o de mapa 10 8 10 13 defini o de processo modificando so 5 3 5 4 deleteData 10 34 10 41 desativando op o de menu Configura
133. centagem por exemplo EventNameY NOTA Para obter uma lista das tags dispon veis que voc pode usar ao especificar par metros clique em Ajuda na caixa de di logo Configura o de Menu ou v at o cap tulo Metatag no Guia de Refer ncia do Usu rio Sentinel 4 Clique em OK A nova op o adicionada lista de itens de menu na janela Configura o do Menu NOTA Para obter um exemplo realce qualquer um dos itens de menu padr o e clique em Detalhes A seguir est uma configura o nslookup Menu Item Name nslookup Description Perform an nslookup on the Source IP of the selected event Action Execute Command 7 Use browser E File type Command URL nslookup Parameters esSourceprse 9 20 Guia do Usu rio do Sentinel Clonando uma op o de menu Configura o de Menu Para clonar uma op o de menu Configura o do Menu 1 Abraa janela Configura o de Menu 2 Selecione um item do menu da tabela e clique em Clonar 3 Na caixa de di logo Configura o de Menu edite o seguinte Nome Descri o A o Para usar um browser ou n o Para obter informa es consulte Adicionar um recurso de browser sua op o de Configura o do Menu Linha de comando URL Par metros Selecione uma a o o Executar comando o Iniciar browser da Web NOTA Para obter uma lista das tags dispon veis que voc pode usar ao especificar par metros clique em
134. cked Bar 2D io Em Refinar Tabela de Eventos voc pode filtrar o campo Eventos em sua Tela Ativa 3 6 Guia do Usu rio do Sentinel Active Views Wizard x Step 4 Event Table Refinement Setup Refine the set of events displayed in the event table Show items that match these criteria lt dd criteria from below to this list gt Remove Value r Define more criteria Field Condition attack 7 i Add to List Cancel Por exemplo voc pode filtrar os eventos com uma entrada espec fica no campo por exemplo DeviceAttackName exatamente Back_Door_Probe TCP 3128 Isso resultar em uma tabela com eventos que cont m somente DeviceAttackName equivalente a Back_Door_Probe TCP 3128 e 6 tz 168 10 25 TCP back door probe 206 158 21 6 192 168 10 25 TCP back door probe F564 DeviceAttackName is exactly Back Door Probe TCP 3128 Ao refinar uma tabela de eventos voc ver os crit rios de filtro na parte inferior direita da tabela Girando um gr fico 3D em barras ou faixas Para girar um gr fico 3D em barras ou faixas 1 Clique em qualquer lugar do gr fico e mantenha o bot o do mouse pressionado 2 Reposicione o gr fico conforme desejado movendo o mouse com o bot o pressionado Mostrando ou ocultando detalhes de eventos Para mostrar detalhes de eventos 1 Em uma tabela Tempo Real de Evento do Navegador Visua
135. com uma lista de todos os dados de Bens Vulnerabilidade Consultor correspondentes aos nomes do DIP Host de Destino dos eventos associados NOTA Os bot es Adicionar e Remover na guia Bens Vulnerabilidade Consultor permitem que os usu rios adicionem ou removam manualmente dados de bens vulnerabilidade ou do consultor Guia Incidentes 4 5 Criando um incidente Criando um incidente 1 Clique na guia Incidente 2 Clique em Incidentes gt Criar Incidente ou clique em Criar um Novo Incidente Incident ID NEW Events Title Do Associated Events i State OPEN Severity None 0 7 Priority None 0 z Category Originator esecadm Responsible e Description Assets vulnerability Advisor iTRAC History Atta 1x Severity DateTime Resolution Na caixa de di logo Criar Incidente digite as informa es nos campos em branco 3 Clique em Gravar Visualizando e gravando anexos 4 6 Para ver um anexo 1 Clique o bot o direito do mouse em um anexo Em seguida clique em Ver ou Gravar NOTA Para ver um anexo necess rio ter um Viewer de anexos configurado Se um anexo n o estiver configurado para abrir um arquivo um prompt ser exibido perguntando qual programa deve ser usado para abrir o arquivo Arquivos de anexo s o gravados no banco de dados do Sentinel Guia do Usu rio do Sentinel Configurando o Viewer de Anexo Configurando o Viewer
136. command name and select required command argument type Select required attachment options and provide the necessary details Command pino Arguments T Mail C None To I C Incident Output Dip From fesec activiy C Custom a Subject I 7 Attach to Incident El r Description Description Enter the command name Atividade Interna de Incidente permite enviar por e mail e ou anexar as informa es sobre a Vulnerabilidade para SIP ou DIP 2 Bem 2 Dados do Consultor Internal Attachment Wizard Select required attachments Mail and Attach Mail Attach T I vulnerabiity sip PT Advisor Data E T assa r Description Guia do Usu rio do Sentinel Atividade Composta de Incidente permite criar uma atividade combinando uma ou mais atividades existentes Activity Wizard xi Activity Wizard xi Composie Activity Wizard Composite Summary Wizard Select required user defined Activities This page displays the summary of the composite activity p Composite Activities Mame zica Description IT containmentactivity IT colectionactivity Composite Activities Selected T EradicationActivity SrNo ActivityName Containmentactivity CollectionActivity EradicationActivity Modificando uma atividade Modificando uma atividade 1 Clique na guia iTRAC 2 No Navegador clique em Administra o do iTRAC gt Gerenciador de Atividades gt Atividades d
137. consulte o Cap tulo 1 Introdu o ou o Cap tulo 10 Gerenciador de Dados do Sentinel Dados de bens Para ver informa es de Bens para qualquer evento clique o bot o direito do mouse em um evento ou eventos gt An lise gt Dados de Bens uma janela semelhante janela abaixo ser exibida Asset Report Hardware MAC Address A0 12 56 78 90 00 Name Build Machine Value 500 Type Server Criticality High Vendor Dell Sensitivity Low Product Precision Environment Production Version 360 Location Internal Network E 199 16 2 23 desk acmeinc net Sotware Momo Type Vendor produet Verson ClearCase APPLICATION IBM ClearCase C APPLICATION Microsoft Visual C 6 0 Contato Order Nome Ra mal Phone Number Erickson Stein USER sericksonQacmedomain net 703 555 8865 2 IT Administrator LAN FOLKSGacemedomain net 703 555 9876 Location Room server room Rack 17 Address HQ Agent 86 Security Circle Suite 86 Washington DC 12345 USA Consulta de Eventos Cen rio de exemplo Durante o monitoramento voc v in meras tentativas de telnet do IP de origem 189 168 10 22 As tentativas de Telnet poderiam ser um ataque Potencialmente a Telnet permite que um invasor se conecte remotamente a um computador remoto como se estivesse conectado localmente Isso pode levar a altera es n o autorizadas de configura o instala o de programas v rus etc Voc pode consultar os eventos para determinar com que frequ ncia esse
138. correla o ou manualmente por um profissional autorizado de auditoria ou seguran a O iTRAC mant m uma trilha de Introdu o ao Sentinel 1 21 1 22 auditoria de todas as a es para oferecer suporte cria o de relat rios de conformidade e an lises de hist rico ojo alale Monitor de Processos E ac viene Ca i RAS dj doi E Comedor Cotectore str an C A A EOUN E Py Ba Mm e teta 1 Gerenciador de Lista de Trabalho E krbe do bot i e arc PP TECCESE a Oo oe PPA ms 4 06 230600 CEST w 17 mera Nem pena DE 210900 CEST JUNE F PRA LETRA mpra mor e Uma lista de trabalho disponibiliza ao usu rio todas as tarefas a ele designadas e um monitor de processos proporciona visibilidade em tempo real do status dos processos durante o ciclo de vida da resolu o A estrutura de atividades do iTRAC permite que os usu rios personalizem suas tarefas automatizadas ou manuais para processos espec ficos de resolu o de incidentes Os gabaritos de processos do iTRAC podem ser configurados usando a estrutura de atividades para corresponder o gabarito s pr ticas recomendadas da organiza o As atividades s o executadas diretamente do Sentinel Control Center A estrutura de automa o do iTRAC funciona com dois componentes principais o container de atividades e o de workflow O primeiro automatiza a execu o das atividades do conjunto de etapas
139. d 0 Database Database Evento RtChartCreated 1 RealTimeSummaryService ChartManager Active Views RtChartPermanentAndRemoved RealTimeSummaryService RtChartIsNowPermanent RealTimeSummaryService ChartManager RtChartNotPermanent RealTimeSummaryService Eventos de sistema do Sentinel5 A 19 A 20 Guia do Usu rio do Sentinel abrindo janela de regra de correla o 9 7 janela do gerenciador do usu rio 9 27 addPartitions sssssssaseso 10 30 10 31 adicionando filtro particular 9 16 filtr 2 o J Lo 6 0 s eniinn ane 9 16 op o de menu configura o de men x ssa see a asia a 9 19 recurso de browser para a op o de menu configura o de menu 9 22 adicionando eventos a um incidente 3 25 adicionando parti es GUI 10 5 10 6 adicionando parti es linha de comando diideri 10 30 Agentes Consulte Coletor agrega o 10 22 desabilitando O resumo 10 23 executando Eventfiles para um REIA Inao ARE EE TET 10 26 habilitando O resumo 10 23 pesquisar os Eventfiles para UM r SUM Oiii o e a 10 25 validade de um resumo 10 24 visualizando informa es de UM resuUMOo sn caes isssc sans rsest tee ania 10 24 Alimenta o do Consultor 7 4 apagando conjunto de regra de correla o
140. da coleta centralizada e automatizada e da resolu o de dados sobre amea as e pol ticas Fornecer m tricas operacionais e executivas para avaliar continuamente a seguran a e a postura de conformidade bem como tratar das metas t ticas e estrat gicas Reduzir os custos operacionais associados seguran a e ao monitoramento de conformidade identifica o de incidentes e reparo Introdu o ao Sentinel 1 1 APRESENTA O SUALIZA O ETA ERADOR SERVI OS COMUNS e EVENTO CIDENTE RELATORIOS CONSULTOR SA DE ADMINISTRA O va E CS TT rom MECANISMO DE FILTRO RETENO SERVI O DE CORRELA O oy CONSULTAS eein e ow MECANISMO DE MAPA n MONITOR DE SAUDE SERVI OS DE ACESSO DE DADOS SERVI OS REMOTOS L GICA COMERCIAL SERVI OS DE API GERENCIADOR SERVI OS COMUNS DE COLETOR DE COLETOR DE COLETOR co DO amp CONTROLE M 7 o MECANSMO MECANISMO MECANISMO MECANISMO MECANISMO MECANISMO MAPI ENTO DE COLETOR COLETOR COLETOR COLETOR COLETOR COLETOR TAXONOMIA FILTRAGEM GLOBAL CONECTOR CONECTOR CONECTOR CONECTOR CONECTOR CONECTOR RELEV NCIA COMERCIAL COLE O amp ENRIQUECIMENTO v v COLETORES COLETORES COLETORES COLETORES COLETORES COLETORES g p t EAREN SE EA ESANA A p apsdsiza a t sasstada z 1 Vo o om u w VPN voa t ot Firewall Gerenciamento Gerenciamento Esta es de Laptops Aplicativos poBMS u g de Bens dePatches trabalho Comerciais 5 g IDS de host a t R s
141. dados criado Esse conjunto de dados cont m as contagens desse atributo em intervalos fixos bem como a maioria dos eventos recentes para cada um desses intervalos Cada conjunto de dados configurado para manter os dados referentes s ltimas 24 horas Introdu o ao Sentinel 1 13 Os intervalos s o enviados para o Sentinel Control Center depois de um breve atraso para estabilizar os dados que possam ter chegado com atraso em virtude de atrasos da rede e diferen as de hor rio As telas do Active Views ser o compartilhadas automaticamente por v rios usu rios se o filtro e atributo de evento desejados forem iguais Quando o usu rio deixa de usar uma Tela Ativa essa exibi o ser descartada ap s uma hora Entretanto se uma Tela Ativa for gravada nas prefer ncias do usu rio ela continuar a coletar dados por at 100 horas Processo do Sincronizador de Dados Controlador de Dados O processo do Sincronizador de Dados data synchronizer gerencia as modifica es de dados de configura o por m ltiplos usu rios Quando um usu rio pede para modificar os dados atrav s do Sentinel Control Center o registro de dados bloqueado pelo data synchronizer Os detalhes sobre quem bloqueou os dados s o publicados para os outros Sentinel Control Centers ativos e nenhum outro usu rio poder modificar os dados Se o Sentinel Control Center for fechado antes de desbloquear os dados que tiver bloqueado o tempo de espera do bloqu
142. dai License txt Crystal Reports Developer e Crystal Reports Server Copyright O 2004 Business Objects Software Limited DataDirect Technologies Corp Copyright O 1991 2003 edpFTP licenciado sob a Licen a P blica GNU Menos Restritiva Para obter mais informa es isen es de responsabilidade e restri es consulte http www enterprisedt com products edtftpj purchase html Enhydra Shark licenciado sob a Licen a P blica GNU Menos Restritiva dispon vel em http shark objectweb org license html ICEsoft ICEbrowser ICEsoft Technologies Inc Copyright O 2003 2004 ILOG Inc Copyright O 1999 2004 Installshield Universal Copyright O 1996 2005 Macrovision Corporation e ou Macrovision Europe Ltd Java 2 Platform Standard Edition Copyright O Sun Microsystems Inc Para obter mais informa es isen es de responsabilidade e restri es consulte http java sun com j2se 1 4 2 j2re 1 4 2 10 license txt O Java 2 Platform tamb m pode conter os seguintes produtos de terceiros a CoolServlets O 1999 2 DES e 3xDES O 2000 por Jef Poskanzer 2 Crimson O 1999 2000 The Apache Software Foundation a Xalan J2 O 1999 2000 The Apache Software Foundation 2 NSIS 1 0 O 1999 2000 Nullsoft Inc 2 Eastman Kodak Company O 1992 a Lucinda uma marca comercial registrada ou marca registrada da Bigelow e Holmes 2 Taligent Inc 2 IBM algumas partes dispon veis em http oss software ibm com icu4 Para obter mais informa es so
143. das No final lista todas as parti es que n o foram apagadas caso n o tenham sido arquivadas sdm action deleteData keepDays 30 connectFile sdm connect Agendando Manage_data bat para Arquivar dados e Adicionar parti es 10 42 NOTA O arquivo manage_data bat configurado para um valor de keepDay de 30 para uma sa da de arquivo para c SDM_archive e para um arquivo de conex o PESEC_HOME sdm sdm connect Caso seus valores sejam diferentes voc precisar editar o arquivo manage_data bat Se voc tiver definido as propriedades da sua conex o e os par metros de arquivamento execute manage_data bat do prompt de comando para garantir que esteja funcionando Para arquivar dados e adicionar parti es automaticamente mi e pa a NOTA As etapas a seguir s o para o Windows 2000 Professional As etapas para o Windows 2000 Server e o XP podem ser diferentes embora semelhantes No Windows clique em Iniciar gt Configura o gt Painel de controle Clique duas vezes em Tarefas agendadas Clique duas vezes em Adicionar tarefa agendada Clique em Avan ar Clique em Procurar e v at o arquivo manage data bat D um nome para a tarefa agendada como SDM Archive Selecione Diariamente em Realizar esta tarefa Clique em Avan ar Guia do Usu rio do Sentinel 6 Selecione uma hora do dia para executar esta tarefa Clique em Avan ar 7 Insira uma hora e uma data de sua prefer ncia Clique em
144. de Correla o O Mecanismo de Correla o apresenta dois est gios ativado ou desativado O estado atual exibido no cone Ativado 3 Desativado d Quando o Mecanismo de Correla o ativado ele est processando as pastas de regras de correla o ativas Quando o mecanismo desativado todos os dados de sua mem ria interna s o preservados e nenhum evento novo de correla o gerado Este estado equivalente desativa o de todas as pastas de regras A desativa o do mecanismo de correla o n o afeta outras partes do sistema Os eventos de entrada ainda v o passar preenchendo o banco de dados do Sentinel Guia Admin 9 5 Importando e exportando as regras de correla o O recurso de exporta o permite que o Sentinel crie e exporte regras de correla o fornecidas e torne as dispon veis para voc para importa o para o sistema Esses documentos XML s o formatados especificamente para o mecanismo de correla o Essas regras pr empacotadas s o desenvolvidas pelo Sentinel e est o dispon veis no Portal do Cliente no endere o http www esecurityinc com A capacidade de exportar regras como documentos XML o ajuda quando voc precisar da ajuda da Novell para resolver problemas nas suas regras de correla o Exportar tamb m algo ben fico quando voc tiver um Sentinel em produ o e um Sentinel em desenvolvimento Voc pode desenvolver e testar as regras de correla o n
145. de 30 segundos em rela o ao hor rio do servidor o mecanismo de correla o n o processar os eventos 4 Seo hor rio do evento estiver atrasado em 5 minutos ou mais em rela o ao Hor rio do Assistente hor rio correto os eventos ser o roteados diretamente para o banco de dados Introdu o ao Sentinel 1 11 Eventos internos ou de sistema Eventos Internos ou de Sistema significam informa es sobre o status e as mudan as de status do sistema Estes s o os dois tipos de eventos gerados pelo sistema interno Eventos internos Eventos de desempenho Os eventos internos s o informativos e descrevem um estado nico ou uma mudan a de estado no sistema Eles informam quando um usu rio efetua login ou n o consegue efetuar a autentica o quando um processo iniciado ou quando uma regra de correla o ativada Os eventos de desempenho s o gerados periodicamente e descrevem os recursos m dios usados por diferentes partes do sistema Todos os eventos de sistema preenchem os seguintes atributos Campo ST Tipo de Sensor para eventos internos este campo definido como T e para eventos de desempenho como P ID do Evento um UUID exclusivo do evento Hor rio do Evento o hor rio em que o evento foi gerado Origem o UUID do processo que gerou o evento Nome do Sensor o nome do processo que gerou o evento por exemplo DAS Binary RV32 Categoria do Dispositivo definida como ESEC
146. detecta padr es nos eventos bem como padr es temporais no fluxo Entretanto o dispositivo que gerou o evento talvez n o tenha registrado o hor rio real em que o evento foi gerado Para contornar essa 1 10 Guia do Usu rio do Sentinel situa o o Sentinel oferece duas op es ao processar alertas de dispositivos de seguran a confiar no hor rio relatado pelo dispositivo e us lo como o hor rio do evento ou ent o descart lo e marcar o evento com o hor rio em que ele foi processado inicialmente pelo Sentinel pelo Coletor O Sentinel um sistema distribu do e consiste em v rios processos que podem ocorrer em partes diferentes da rede Al m disso pode haver algum atraso introduzido pelo dispositivo Para lidar com essa situa o os processos do Sentinel reordenam os eventos em um fluxo ordenado por hor rio antes de realizar o processamento A ilustra o a seguir explica o conceito do Hor rio do Sentinel 4 Se o Hor rio do Evento estiver atrasado em mais de 5 minutos em rela o ao Hor rio do Assistente hor rio correto os eventos ser o roteados diretamente para o banco de dados Se a diferen a de tempo for superior a uma hora os eventos ir o para um arquivo de lote para o Eventos em Tempo Real carregamento de lote no banco de dados 2 Um buffer de tempo configur vel que reordena os eventos e atualiza as exibi es em tempo real O tempo padr o 30 segundos antes e depois do hor rio do Se
147. dida nenhuma das outras permiss es relacionadas s a es que usam essa guia estar dispon vel Descri o A guia An lise permite a cria o de relat rios hist ricos Relat rios hist ricos e de vulnerabilidade s o publicados em um servidor Web s o executados diretamente em um banco de dados e exibidos nas guias An lise e Consultor da barra de navega o NOTA O Sentinel integrado ao Crystal Reports para gerar e exibir relat rios O administrador deve configurar o local do Crystal Enterprise Server que publica relat rios na janela Op es gerais da guia Admin Na janela de navega o h uma lista de relat rios dispon veis Para executar os gabaritos dos relat rios voc deve ter o Crystal Reports Enterprise Edition instalado e o Sentinel Control Center configurado para acessar o servidor Para obter mais informa es consulte o Guia de Instala o do Sentinel 5 Tamb m s o fornecidos exemplos dos relat rios no formato pdf Dez relat rios principais Para a execu o dos 10 relat rios principais a agrega o deve estar habilitada e EventFileRedirectService no DAS Binary xml deve estar ativado Para obter mais informa es sobre como habilitar uma agrega o v para o Cap tulo 10 do Guia do usu rio do Sentinel Gerenciador de dados do Sentinel se o Guia Relatando dados Habilitando EventFileRedirectService para os 10 relat rios principais do Sentinel Habilitando EventFileRe
148. directService 1 Em sua m quina com DAS usando o editor de textos abra Para UNIX SESEC HOME sentinel config das binary xml Para Windows o SESEC HOMES sentineliconfigidas binary xml Guia An lise 6 1 2 3 Para EventFileRedirectService altere o status para ativado lt property name status gt on lt property gt No Windows reinicie o servi o do Sentinel No UNIX reinicialize a m quina com DAS Executando um relat rio do Crystal Reports Para criar um relat rio de um gabarito do Crystal Reports L 2 Clique na guia An lise No Navegador de an lise clique em um dos relat rios dispon veis NOTA Para a execu o dos 10 relat rios principais a agrega o deve estar habilitada e EventFileRedirectService no DAS_Binary xml deve estar ativado Para obter mais informa es sobre como habilitar uma agrega o consulte o Cap tulo 10 do Guia do usu rio do Sentinel Gerenciador de dados do Sentinel se o Guia Relatando dados Clique em An lise gt Criar Relat rio ou clique em Criar Relat rio Q Preencha as informa es do gabarito e clique em Ver Relat rio O relat rio ser exibido Executando um relat rio de consulta de evento 6 2 Para criar um relat rio de consulta de evento 1 2 3 4 Clique na guia An lise No Navegador de An lise abra a pasta Relat rios de Hist rico Clique em Consulta de Evento Clique em An lise gt Cria
149. do Sentinel UNIX 1 Fa a login como usu rio esecadm 2 Use o comando cd para mudar o diret rio SESEC HOME sentinel scripts 3 Digite stop container lt m quina de host gt lt nome do container gt Por exemplo stop container localhost DAS RT Informa es sobre vers o Informa es de vers o do Sentinel Server O Sentinel Server tem uma op o de linha de comando para mostrar as informa es sobre vers o dos seguintes processos Watchdog rulelg checker correlation engine data synchronizer query manager DAS Como obter informa es sobre a vers o do Sentinel UNIX 1 Use o comando cd para mudar o diret rio SESEC HOME sentinel bin 2 Digite lt process gt version Por exemplo correlation engine version 11 6 Guia do Usu rio do Sentinel Como obter informa es sobre a vers o do Sentinel Windows 1 Use o comando cd para mudar o diret rio SESEC HOMES sentinelNbin 2 Digite lt process gt version Por exemplo correlation engine version Informa es sobre vers o do arquivo dil e exe do Sentinel Como obter informa es sobre a vers o do arquivo dll e exe do Sentinel 1 Usando o comando cd v para WESEC HOME 2 Nos v rios subdiret rios diferentes clique o bot o direito do mouse no arquivo dll ou exe e selecione propriedades 3 Clique na guia Vers o No painel Nome de ite
150. do duas vezes em uma tela ou crie uma tela nova Uma janela do Host do Assistente ser exibida Classificar 7 ALL COLLECTORS Status Taxa de Nome do geren None 7 COLLECTORS BY MAN EventsReceive IManagerName 7 COLLECTORS BY STA Estado Taxa de Status Ascendi None E Collector View Manager Lott off e Atualizar Aplicar E Adicionar Tela Criando uma tela Coletor Criando uma tela Coletor l 2 Clique na guia Coletores Clique em Gerenciador da tela Gerenciador do Coletor a Para criar uma nova tela clique no bot o Adicionar Tela Insira seu nome de op o Para organizar os campos que deseja mostrar clique em Campos Para agrupar t tulos diferentes clique em Agrupar Para classificar por t tulo clique em Classificar Para filtrar clique em Filtrar A seguir h um conjunto de telas com o Grupo definido como ManagerUUID e por Vers o Another O Total de Event Taxa de Even Tamanho ae Ug Sa de do Gerenciador E3D3FC720 EFE7 1 028 94AEq E 5130 Pronto g atualizar 7 Op es Atualizado Em 07 07 2006 14 31 38 PEE Guia Coletores 8 3 Modificando uma tela Coletor Modificando uma tela Coletor 1 Abrao Gerenciador da tela Coletor 2 Clique duas vezes em qualquer um dos nomes 3 Clique em Op es Nessa janela voc tamb m poder definir Campos
151. dor de Telas do Gerenciador de Coletor A Tela Coletor exibe informa es sobre Coletores e a Tela Gerenciador de Coletor exibe informa es sobre Gerenciadores de Coletor Cada tela exibida como uma tabela em rvore o objeto agrupado por um ou mais atributos A configura o da tela ajust vel As op es de uma tela podem ser mudadas e novos tipos de tela podem ser adicionados A configura o da tela exibida em um Gerenciador de Tela Gerenciador de Telas de Coletor ou Gerenciador de Telas de Gerenciador de Coletor Guia Coletores 8 1 Quando a guia exibida pela primeira vez a rvore no painel esquerdo preenchida com os dois gerenciadores de tela e o Gerenciador de Tela de Coletor exibido no painel direito O Gerenciador de Tela de Coletor tem tr s op es de tela pr configuradas por padr o novas op es podem ser criadas S o elas Todos os Coletores Coletores por Gerenciador e Coletores por Status A tela Todos os Coletores exibe todos os Coletores agrupados pelo gerenciador em que est o sendo executados O Gerenciador de Tela de Gerenciador de Coletores agrupa todos os Coletores pelo gerenciador e tamb m pelo status ativado ou desativado dentro de cada gerenciador A tela Coletores por Status agrupa todos os Coletores por status Ativado ou Desativado e dentro de cada status eles s o agrupados por gerenciador H uma tela padr o para ver Gerenciadores de Coletor a tela Todos os Gerenciad
152. dos Esses Coletores podem ser modificados conforme necess rio e n o est o vinculados a um ambiente espec fico A cria o modifica o distribui o e manuten o dos Coletores s o processos simples que podem ser realizados diretamente pelos usu rios Um ambiente de desenvolvimento integrado permite a cria o interativa de Coletores usando um paradigma arrastar e soltar com base em uma interface gr fica de usu rio Usu rios n o programadores podem criar Coletores garantindo o cumprimento das exig ncias atuais e futuras em um ambiente de TI em constante mudan a A opera o de comando e controle de Coletores por exemplo iniciar parar realizada de modo centralizado a partir do Sentinel Control Center 1 Integra o de aplicativos A integra o de aplicativos externos por meio de APIs padr o crucial para o Sentinel Por exemplo uma API bidirecional para sistemas de comunica o de problemas que inclui o Remedy O e o HP OpenView ServiceDeskQ permite a integra o direta com sistemas externos A API baseada nos Servi os Web e portanto permite que qualquer sistema externo compat vel com SOAP aproveite a integra o total com o sistema Sentinel Hor rio O hor rio de um evento vital em seu processamento um dado importante para fins de auditoria e gera o de relat rios bem como para o processamento em tempo real O mecanismo de correla o processa fluxos de eventos seqiienciais e
153. e Linguagem baseada em regras intuitiva e flex vel para correla o Regras compiladas para alto desempenho Arquitetura escal vel classific vel extens vel e com threads m ltiplos Os processos do Sentinel comunicam se entre si atrav s de um MOM Message Oriented Middleware Middleware Orientado por Mensagem Plataforma iSCALE A arquitetura iSCALE do Sentinel criada a partir de uma arquitetura SOA Service Oriented Architecture baseada em padr es que combina as vantagens do processamento na mem ria e da computa o distribu da O principal componente da iSCALE um barramento de mensagens especializado capaz de lidar com altos volumes de dados Desenvolvida desde o in cio usando a mais avan ada abordagem baseada em padr es a iSCALE permite sua expans o de modo econ mico Barramento de mensagens O barramento de mensagens da iSCALE permite escalar de modo independente os componentes individuais ao mesmo tempo em que possibilita a integra o baseada em padr es com aplicativos externos O segredo da escalabilidade o fato de que ao contr rio de outros softwares distribu dos nenhum componente peer comunica se com outro diretamente Todos os componentes comunicam se por meio do barramento de mensagens capaz de mover milhares de pacotes de mensagens por segundo Ao tirar proveito dos exclusivos recursos do barramento de mensagem o canal de comunica o de alto throughput pode maximizar e manter
154. e dados do Sentinel Server banco de dados os eventos ser o enviados diretamente para o banco de dados pulando o Sentinel Control Center banco de dados e GUI os eventos ser o enviados para o Sentinel Control Center e para o banco de dados do Sentinel Server Continue adicionando filtros at voc concluir Clique em Gravar Guia Admin 9 15 Reorganizando os filtros globais Reorganizando os filtros globais 1 Najanela de Configura o global clique em Modificar 2 Selecione um filtro e clique em Para cima ou Para baixo para mov lo para um local diferente na lista 3 Clique em Gravar Apagando um filtro global NOTA ao apagar um filtro global voc n o vai receber uma mensagem de confirma o Para apagar um filtro global 1 Najanela de Configura o global clique em Modificar 2 Selecione um filtro da lista e clique em Apagar 3 Clique em Gravar Configurando filtros p blicos e particulares A configura o de filtros p blicos e particulares permite fazer o seguinte Adicionar um filtro Visualizar os detalhes de um filtro Clonar um filtro Apagar um filtro Modificar um filtro N sele o de Filtro x Nome do Filtro String de Express o PUBLIC Operating System E filter e DeviceCategory OS PUBLIC fps Everts eviceCategory DS PUBLIC Database Everts DeviceCategory DB PUBLIC fHigh Severity f
155. e workflow com base em modelos de workflow predefinidos Esse servi o gerencia o ciclo de vida desses processos gerando itens de trabalho ou executando atividades Al m disso mant m um hist rico dos processos conclu dos que pode ser usado para auditoria das respostas aos incidentes Guia do Usu rio do Sentinel Visualiza o de Eventos Active Views M a interface gr fica interativa de usu rio para visualiza o de eventos oferece um painel de gerenciamento de seguran a integrado e um conjunto abrangente de ferramentas anal ticas e de visualiza o em tempo real para facilitar a detec o e an lises de amea as Os usu rios podem monitorar eventos em tempo real e efetuar detalhamentos de segundos a horas no passado Uma ampla variedade de gr ficos e recursos de visualiza o permitem o monitoramento das informa es atrav s de representa o gr fica 3D em barras 2D em barras empilhadas linhas e faixas entre outras poss vel visualizar outras informa es importantes no painel do Active Views como notifica o de explora es de bens detec o de explora o visualizando informa es de bens e associa es gr ficas entre IPs de origem e de destino pertinentes Como o Active Views usa a arquitetura iSCALE os analistas podem detalhar dados rapidamente para executar uma an lise mais aprofundada pois o Active Views oferece acesso direto aos dados de eventos residentes na mem ria em tempo real processando faci
156. e a Correla o B sica insira um nome e clique em Avan ar No pr ximo painel clique na seta para baixo e selecione Gerenciador de Filtros Clique na seta para baixo do filtro selecionado e no painel de Sele o de Filtros clique em Adicionar 4 Digite o seguinte Nome telnet attempt 189 168 10 22 Nome do filtro telnet attempt 189 168 10 22 SourcelP 189 168 10 22 EventName Attempted telnet selecione And Severidade 5 SensorType H DestinationIP 189 168 10 23 Guia do Usu rio Sentinel Clique em Gravar Realce seu filtro e clique em Selecionar Clique em Avan ar insira o valor 4 para quando a condi o for atendida e 10 segundos no painel Crit rios Agrupamento de Limite Clique em Avan ar No painel Eventos e a es correlacionados mude o n vel de severidade para 2 clique na seta para baixo Clique em Concluir Para distribuir esta regra realce o Gerenciador do Mecanismo de Correla o no painel de navega o realce um mecanismo de correla o e clique o bot o direito do mouse em gt Distribuir Regras No painel Distribuir regras encontre sua regra e marque a Clique em OK Certifique se de que seu Mecanismo de Correla o e sua Regra de Correla o tenham marcas de verifica o verdes indicando que est o ativados Faz se isso clicando o bot o direito H v rios m todos diferentes para ver se voc correlacionou os eventos Eis alguns m todos Crie uma janela de Eventos
157. e ci a OF CS i i 2 ez Antivirus i Gerenciamento Gerenciamento Controlador Eventos u IDS de rede de Identidados de a 1 Sorvidor Mainframe do dominio Personalizados VEIENE EA PET peiner E EEN E O E OA O OE PER METRO DE SEGURAN A FONTES DE TI REFERENCIAIS SISTEMAS OPERACIONAIS EVENTOS DE APLICATIVOS Um evento uma a o ou ocorr ncia reportada ao Sentinel Um evento recebido de um dispositivo de seguran a chamado um evento externo e um evento gerado pelo Sentinel chamado evento interno Os eventos podem ser relacionados a seguran a desempenho ou informa o Por exemplo um evento externo poderia ser um ataque detectado por um Sistema de Detec o de Intrus o IDS Intrusion Detection System um login executado com xito informado por um sistema operacional ou uma situa o definida pelo cliente como um usu rio acessando um arquivo Eventos internos s o gerados pelo Sentinel para indicar uma mudan a not vel no estado do sistema como um Coletor sendo interrompido ou uma regra de correla o sendo desabilitada Correla o o processo de analisar eventos de seguran a para identificar padr es em um evento ou um fluxo de eventos Por exemplo uma regra de correla o pode ser criada para detectar quando trinta ou mais eventos ICMP ocorrerem em um per odo de tempo de um minuto Um tr fego de alto volume inunda o de ICMP poderia resultar em uma recusa de ataque de servi o A corre
158. eaaaacareaaanaaeaaaaaaraaaa nara aanaraarernaa 5 6 Eistas de trabalho csses2 e e Megas anna e a E oa calo Dear e a dot ae diant Dia fot EErEE 5 6 ltem destrabalho s a raspar E ET EE A trama dio E E E E sag prada di EE 5 7 A e itando otemi de maD HO a a a a a e a aa r ra doa O rF RES ER aA 5 8 Atualizando as vari veis do item de trabalho rrenan carrera 5 8 Coneluinido o item de trabalhO ss ecos setase sagas a a a a Sines ata fo a e a La engano and 5 9 Gerenciamento de processos aer e e a aN a T a E ana a nana ana sanar iE 5 9 Monitor de Processos iz csitis ear eee re doque frita aea a TEE eaea O aaar aE TEE E sado 5 9 Iniciando ou terminando UM processo ie erreeeacaaeneacaneaaaacaraaaa nara a aerea araras 5 11 Criando uma atividade usando a estrutura de atividades renan 5 11 Modificando uma atividade mscges r a a a a aT Er Eaa ea a ar a r Ee r ala a S eram pra inn 5 13 Importando exportando uma atividade see rerreaaaeeneanareneanaaeanaaaa rena ananaaaa 5 13 6 Guia An lise 6 1 DESCII O siuita e aa a a a iets aeae a d o rasas a ER 6 1 Dez relat rios principals esi esinin ao iinei dia Aga aaa keun diaa e Teora aa db spa ad iraa S a Re aapa a s RES 6 1 Executando um relat rio do Crystal Reports sessesseessesneseresireeitetinttntttttinttinttrastnntnnnennttenntnnsennnee 6 2 Executando um relat rio de consulta de evento re areecere cara
159. eber eventos do Gerenciador de Coletor do Assistente Os eventos s o exibidos em tempo real e registrados em um banco de dados para an lise hist rica De modo geral o sistema Sentinel usa um banco de dados relacional e consiste em processos do Sentinel e um mecanismo de gera o de relat rios O sistema aceita eventos do gerenciador de Coletor como sua entrada O gerenciador de Coletor trabalha em conjunto com produtos de terceiros e normaliza os dados obtidos de tais produtos Em seguida os dados normalizados s o enviados aos processos e ao banco de dados do Sentinel Introdu o ao Sentinel 1 3 A an lise hist rica e a gera o de relat rios podem ser feitas com o mecanismo integrado de gera o de relat rios do Sentinel Esse mecanismo extrai os dados do banco de dados e integra as exibi es de relat rio no Sentinel Control Center usando documentos HTML em Bancos de dados uma conex o HTTP Switches A Mainframe Gerenciador de Coletor do Assistente Sentinel Consultor Antiv rus Coletar Normalizar An lise em tempo real gt Geridor oo Eventos de dispositivos de seguran a exemplo IDS Firewalls S O Roteadores Servidores Web A seguir est o os recursos do Sentinel Processamento em tempo real de eventos recebidos do Gerenciador de Coletor do Assistent
160. een i a n E E E ET A I R a 12 6 Correla o B sica nnns nuno e e e e es eaoat Lasbodeas aslevssastasuas Les e iieiea iie 12 6 A Eventos de sistema do Sentinel 5 A 1 Eventos de autentica o innisin ae a a E a R so esaa lodo A 1 Falha na autentica o tetinin p N a E a N S A 1 Evento de usu rio n o existente e irrereenaraa cara aaaraa cana anaraa nan anar aa nananaaa A 1 Obje t s de Usu rio DUpIiCadOS esse mrree deo 50 trersasasiad dsraato ares deoa erdia deaa areara mase Siaa Sealen iaoi A 2 Conta bloqu ada EPEE ETA EA AE EEEE A 2 SESS ES JO USUARIO inae eae eae a Eshi p a aa lad oikeaa eisa aTe ral kiker i riet A 2 Usu rio efetuou Jogou T e a E dona T raa Dea Dedo aAa E ea EAO AEREA sina A 2 Usu rio efetuou T09 aa e EE A a ivan das aaar a etet A 3 Usu rio descoberto E TAE A A E T A 3 AVEIA e EEEE EAEE EA E E AEE E A E TEA A 3 Erro ao mover arquivo conclu do rrrceenacarnacaeaa carne nara carne aeee narna nene A 3 Erro ao inserir Eventos s iia a a ea le danea so aa aa aaa aa Dan eaaa beta aaa po aarde aS A 4 Falha ao abrir argon a a a a a a a Cas ash A 4 Falha na grava o do Arg NVO lt serki aeaaaee aaea a iea des EAE eaaa Da RAEE OaE na r Sasia SSE EaR A 4 Gravando na parti o de overflow P MAX eeeecereacaena cer aaarnacaran s A 5 Inser o de evento bloqueada ns itesereraeacaenacaeanenanacaaanraeamnasaeninasacaara nana A 5 Inser o d evento retomadas ninisi irie ida i
161. eio ser excedido Processo do Mecanismo de Correla o correlation engine O processo do Mecanismo de Correla o correlation engine recebe eventos do Gerenciador de Coletor do Assistente e publica eventos correlacionados com base em regras de correla o definidas pelo usu rio Processo do Verificador de RuleLg rulelg checker O processo do Verificador de RuleLg rulelg checker valida a sintaxe de filtro e as express es de regra de correla o O Sentinel Control Center usa esses resultados para determinar se um filtro ou uma regra de correla o pode ser gravada Processo do Servi o de Acesso a Dados DAS Data Access Service 1 14 O processo do Servi o de Acesso a Dados DAS Data Access Service o servi o de persist ncia do Sentinel Server e fornece uma interface para o banco de dados bem como o acesso dirigido a dados para o back end do banco de dados O DAS um container composto de cinco processos diferentes Cada processo respons vel por diferentes tipos de opera es de banco de dados Esses processos s o controlados pelos seguintes arquivos de configura o das binary xml usado para opera es de inser o de evento e evento correlacionado das query xml todas as outras opera es de banco de dados activity container xml usado para executar e configurar o servi o de atividade workflow container xml usado para configurar o servi o de workflow 1TRAC das rt xml usado par
162. elat rios Regras de Correla o Gerenciador de Mecanismos de Con Configura o de Fitro Global i ALL GROUP BY SERVER HOSTNAME Configura o de Menu A 6 Estat sticas Das E Gerenciador de Telas de Servidor 8 Informa es de Arquivo de Eventos Sa de dos Processos FHD Telas de Servidor EQ bpzkaspt e Ger J Communication Server 0 o NOT _INTIALI Ce Correlation Engine 1 o 07 07 2006 1 Running a Configura o de Fitro AO DAS Aggregetion hi O 07 07 2008 1 Running Configura o do Usu rio DAS Binary A o 07 07 2006 1 Running 4 DAS Query 1 o 07 07 2008 1 Running E OQ DAS RT i o 07 07 2006 1 Running 3 Itens de Trabalho 141 DAS iTRAC 1 o 07 07 2006 1 Running Itens de Trabalho Query Manager 1 o 0740712006 1 Running H HPAA 1 1 RuleLg Checker 1 o 07 07 2006 1 Running Sonic Lock Remover o 07 07 2008 1 Running E muttiple Guia Admin descri o A Guia Admin permite o acesso a Configura o de relat rios de an lise e consultor do Advisor Gerenciar filtros Trabalhando com as Regras de Correla o do Sentinel Configurar o menu de Configura o de Menu Estat sticas do DAS Informa es de arquivos de evento Telas de Servidor Configurar contas de usu rio Op es de configura o de relat rios
163. en aei ageda audia eneyt Endaia SA Eaa nii A 5 Sum rio 5 6 Espa o do banco de dados atingiu limite de tempo especificado A 6 Espa o do banco de dados atingiu limite de porcentagem especificado A 6 Espa o do banco de dados muito baixo eee arara caeeaea aaa eanaanaraaa cien A 6 Pato f lt o fele e 6 EEE EA EAR SO PRM RREO TERRENCE CRER CR PERDER RR PER E E CER RR RR A 7 Erro ao inserir dados de resumo no banco de dados e rereeeearaeaaaeeaeaaraeanaa A 7 Servi o de Mapeamento m2 2istus qrastensao rasto sa vabtendio ebiEnao LRind Ol E co e aeaa aaae aeren lda a ona SE ie anaia A 7 Erro ao iniciar mapeamento com o ID e rrreeaaereaanareneacaeraaanarenaaaaeaaa atenas A 7 Atualizando mapa do Cache isisiyi ee ida ee Aa aaa aE Deepaa eare a ESSE ETA sh mia cana A 7 Atualizando mapa do servidor e teade aako aipa a oaaae Aa Eae baho SiTe EaR A 8 Tempo esgotado na atualiza o do mapa rea reeanacareaa carrera anarananarraaaaa A 8 Erro na atualiza o do mapa u tsnam assssi aa a a aea Ea cab sol pa E a aE A eaa AARE a aaa ada ata at A 8 Mapa muito grande carregadO ern ionin a a a e a SonbS aaa tias aaa sina A 9 Tempo excessivo para carregar o mapa e rtreaarareneacterananaa rena acena aaaeranannanaananaa A 9 TimedoutWaltingForGallback 5 2 24 ssra22258205raasb cesso fear aaarnas aaea E Eee E A Ea a oa ETENA A 9 Roteador de EvVe
164. entManager Sub recurso EventRouter Mensagem Roteador de evento em termina o Eventos de sistema do Sentinel5 A 11 Mecanismo de Correla o Mecanismo de Correla o em execu o O processo do mecanismo de correla o pode ser desativado pelo usu rio Seu estado em execu o determina se o processo ativo est processando ou n o os eventos O processo inicia no estado inativo interrompido e aguarda a recupera o de sua configura o do banco de dados Esse evento enviado quando o mecanismo muda do estado interrompido para em execu o Tag Valor Gravidade 1 Nome do evento EngineRunning Recurso CorrelationEngine Sub recurso CorrelationEngine Mensagem Mecanismo de Correla o processando eventos Mecanismo de Correla o interrompido Esse evento enviado quando o mecanismo muda do estado em execu o para interrompido Distribui o de regra iniciada Tag Valor Gravidade 1 Nome do evento EngineStopped Recurso CorrelationEngine Sub recurso CorrelationEngine Mensagem Mecanismo de Correla o parou de processar eventos Esse evento enviado quando um mecanismo carrega uma distribui o de regra com xito Essa mensagem enviada independentemente do estado de execu o do mecanismo Tag Valor Gravidade 1 Nome do evento DeploymentStarted Recurso CorrelationEngine Sub recurso Distribui o Mensagem Distribui o
165. ente as vari veis atualiz veis As vari veis apenas leitura n o podem ser editadas 3 Clique na caixa de combina o e selecione o valor apropriado Concluindo o item de trabalho A conclus o do item de trabalho sinaliza a conclus o da tarefa ao servidor do iTRAC As vari veis atualiz veis do item de trabalho s o processadas pelo servidor para que o processo siga para a pr xima atividade com base em alguns crit rios O item de trabalho removido da lista de trabalho do usu rio Um item de trabalho precisa ser aceito para que possa ser conclu do Concluindo itens de trabalho 1 Clique duas vezes ou clique o bot o direito do mouse no item de trabalho para ver a caixa de di logo de detalhes 2 Clique no bot o Concluir na caixa de di logo Gerenciamento de processos O gerenciamento de processos permite Exibir o status do processo Monitor de Processos Iniciar o processo Terminar o processo Monitor de Processos A fun o Monitor de Processos monitora o andamento de um processo Conforme a inst ncia do processo avan a de uma atividade para a outra o usu rio pode rastrear visualmente o progresso clicando no bot o Atualizar O Monitor de Processos tamb m fornece uma trilha de auditoria de todas as a es executadas pelo servidor do iTRAC durante a execu o do processo Process Monitor 1 peraosan 1 1 ti x hessian Logo Event Time
166. ento permite Adicionar novas defini es de mapa Editar defini es de mapa Apagar defini es de mapa Atualizar os dados de mapa O mapeamento funciona junto com a op o de origem de dados Referido no mapa na guia Eventos E poss vel mapear usando uma faixa de string ou num rica Para ver os mapas na interface do usu rio 1 Clique na guia Mapeamento Gerenciador de dados do Sentinel 10 7 amp Sentinel Database Manager E E to x Arquivo er Banco de Dados Sobre Parti es Tabelas Mapeamento Eventos Relatando Dados Mapas EN Samples Adicio L Sample1 EN Sentinel Editar ESY System af Asset af AssetToRegulation af AttackSignatureNormalization Atualizar af IpToCountry af IsExploitWatchlist E Conectadoa esec A interface do usu rio principal de Mapeamento exibe uma lista de todos os mapas que foram definidos para o sistema NOTA os mapas na pasta Sistema n o podem ser editados ou apagados Adicionando defini es de mapa Para adicionar uma defini o de mapa 1 Clique na guia Mapeamento 2 Clique em Adicionar 3 Se estiver criando uma pasta de mapa clique em Novo Insira um nome de pasta NOTA Se esta for sua primeira defini o de mapa recomenda se que voc crie uma pasta de defini o de mapa A cria o de uma defini o de mapa na pasta Sistema n o lhe permitir editar ou apagar sua defini o de mapa 4 Certi
167. entos importantes como um poss vel ataque Os Incidentes possuem estados nos quais requerem uma resposta ou fechamento Guia Incidentes 4 1 Visualizando um incidente 4 2 Voc deve ter a permiss o de usu rio Ver Incidente s Para ver um incidente l 2 Clique na guia Incidentes Clique em Incidentes gt Exibir Gerenciador de Telas de Incidentes ou clique no bot o Gerenciador de Vis o de Incidente Na janela Gerenciador de Vis o de Incidente voc pode escolher as seguintes telas Todos os incidentes Agrupar por Estado Agrupar por Prioridade Clique duas vezes no nome de uma tela Clique o bot o direito do mouse em gt Expandir para ver os incidentes o Issey fem mu mecretes A E dincidents e 5 AREAL gt Para configurar uma op o de visualiza o de um incidente Clique na guia Incidentes Clique em Incidentes gt Exibir Gerenciador de Telas de Incidentes ou clique em Gerenciador de Vis o de Incidente Bl Na janela Gerenciador de Vis o de Incidente clique duas vezes no nome de uma tela Fields GroupBy State Severity Priority Id None DateCreated Descending off 2 2 2020202020202020 O 5 TATE ad iseverity Priority Id DateCr State Ascending DateCreated Descending Off 7 GROUP BY PRIORITY severity Id DateCreated C State Ascending Priority D DateCreated Descending EP Refresh 7 Apply p Add View Clique em Op
168. ept Add To Incident 1668 10 23 R Dera iE e 168 10 22 view Trigger Events 168 11 22 Investigate gt Show Graph Analysis b Show More do to this target ping Show More Events from this source nslookup What are the target objects of this event Segue uma descri o gr fica do Nome do Sensor para o Nome do Evento de gravidade 5 em um formato org nico Voc pode visualizar um mapeamento de gr ficos nos seguintes formatos Circular Org nico Hier rquico Ortogonal amyisyos rone zifeo a Ea 5 s roi renean 17 Failed_su S B B Ni Security Ei i 5 E B eCommIDS01 RadiusD01 Trans204 TransPA03 a 17 5 3 14 Guia do Usu rio do Sentinel Investigar Consulta de Eventos Esta fun o permite consultar eventos ocorridos na ltima hora Para executar uma Consulta de Eventos usando a fun o Investigar 1 Em uma janela do Navegador Visual ou Instant neo clique o bot o direito do mouse em um evento e clique em Investigar gt lt selecione uma das tr s op es abaixo gt Op o Fun o Mostrar Mais Eventos para este destino Endere o IP de Destino Mostrar Mais Eventos desta fonte Endere o IP de Origem Quais os objetos de destino deste evento Nome do evento An lise Visualizando os dados do Consultor O Consultor fornece uma refer ncia cruzada entre assinaturas de ataque IDS em tempo real e sua base de conhecime
169. er a Configura o de Usu rio com permiss o para funcionar na janela de Configura o de usu rio 9 26 A Configura o de usu rio permite fazer o seguinte Criar uma conta de usu rio Encerrando uma sess o ativa Modificar uma conta de usu rio Adicionar uma fun o iTR C Visualizar detalhes de uma conta de Apagar uma fun o iTRAC usu rio Detalhes de uma fun o iTRAC Clonar uma conta de usu rio Apagar uma conta de usu rio O instalador criar os seguintes usu rios padr o no Sentinel Server Autentica o Oracle e MS SQL usu rios padr o Consulte usu rio padr o esecdba Propriet rio de esquema configur vel no momento da instala o esecadm Usu rio administrador do Sentinel configur vel no momento da instala o NOTA Para UNIX o Instalador tamb m cria o usu rio do sistema operacional com o mesmo nome de usu rio e senha esecrpt Usu rio relator senha como usu rio admin ESEC CORR Usu rios do Mecanismo de Correla o usado para criar incidentes esecapp Nome de usu rio do aplicativo Sentinel para conex o com o banco de dados Guia do Usu rio do Sentinel Autentica o do Windows Administrador de BD do Sentinel Propriet rio do esquema configur vel no momento de instala o Administrador do Sentinel Usu rio administrador do Sentinel configur vel no momento da instala o Usu rio do rela
170. er est o configuradas para Usar browser externo consulte Editando as configura es de browser de Configura o do Menu para editar as configura es do browser voc tem a op o de selecionar Usar browser A sele o desta op o far com que a sa da do seu comando seja exibida usando se as configura es do browser da Configura o do Menu para o seu Sentinel Control Center Guia Admin 9 19 Tipo de arquivo se voc escolheu a a o Executar comando suas configura es de browser est o configuradas para Usar browser externo e voc selecionou a op o Usar browser voc tem a op o de configurar o tipo de arquivo para a sa da deste comando Linha de comando URL NOTA para UNIX o script aplicativo ou o link simb lico para o script aplicativo devem estar localizados no diret rio SESEC HOMEIsentinelexec Para qualquer script aplicativo ou link simb lico insira apenas o comando Qualquer caminho inserido ser ignorado NOTA Para o Windows correla o o script aplicativo deve estar localizado em um dos diret rios listados nas suas Vari veis de Ambiente do Windows Qualquer caminho inserido ser ignorado NOTA Para o Windows n o correla o opcional inserir um caminho Inserir um comando sem um caminho definir como padr o ESEC HOME Ylsentinelbin e todos os outros caminhos especificados em suas vari veis de ambiente Par metros precisam vir dentro do sinal de por
171. es ser referido como Coletores Voc deve ter a permiss o adequada para usar a guia Ver Incidentes Caso essa permiss o n o seja concedida nenhuma das outras permiss es relacionadas s a es que usam essa guia estar dispon vel Este cap tulo descreve incidentes Agrupamentos de um ou mais eventos importantes s o chamados Incidentes Para criar um Incidente Najanela Tempo Real os eventos podem ser selecionados individualmente para criar um novo incidente ou adicionados a um incidente existente Tamb m poss vel criar incidentes automaticamente atrav s das regras de correla o acionadas Guia Incidentes Descri o Com incidentes voc pode Enviar um incidente por e mail Apagar um incidente Modificar um incidente Adicionar uma tela de incidente Visualizar um incidente REC Arie Cerme Citectore Jess ARIB SEG TF T L reirtos G mac all Antine cormaor C Cotectors E asmin ALL NODENTS Estado Drrvcdacdo Primi Nora Data hn Crinia Desce pn 7 GROUP BY STATE Gravidade Prkridade O Estodathacendrm Dota da Cris oDesce tom A ROE Br PRODRITY or scta o JO Dat da Cr Pricerance Descerirg Data os Cra o Desce om Relacionamento entre eventos e incidentes Um evento uma a o ou ocorr ncia detectada por um dispositivo de seguran a ou programa Os eventos n o contam com informa es de estado Um incidente o agrupamento de um ou mais ev
172. especificado com base nas regras de entrada e o segundo automatiza a execu o do workflow com base nas atividades por meio de uma lista de trabalho As regras de entrada s o baseadas no padr o XPDL XML Processing Description Language e oferece um modelo formal para expressar processos execut veis em uma empresa Essa abordagem baseada em padr es implementa o de regras e conjuntos de regras espec ficos da empresa garante defini es duradouras dos processos para os clientes Guia do Usu rio do Sentinel Servi o de relat rios O Servi o de Relat rios permite a gera o de relat rios hist ricos e de vulnerabilidade entre outros O Sentinel 5 oferece relat rios prontos para o uso e permite que os usu rios configurem seus pr prios relat rios usando Crystal Reports Estes s o alguns exemplos de relat rios inclu dos no Sentinel 5 An lises de tend ncias Status de seguran a das linhas de neg cios ou de bens cr ticos Tipos de ataque Bens em risco Tempos de resposta e resolu o Viola es conformidade com pol ticas Advisor O Sentinel Advisor um m dulo opcional que efetua a refer ncia cruzada entre os dados de alerta em tempo real do Sentinel e as vulnerabilidades conhecidas e informa es de resolu o possibilitando uma melhor detec o e resposta ao incidente Com o Advisor as organiza es podem determinar se os eventos exploram vulnerabilidades espec ficas e como esses ata
173. esposta Autom tica a ntes do SAS Criar C pia Ds Exibir A Gest o de Incicde I Definido pelo Usu rio Apagar Gabaritos padr o 5 2 O iTRAC fornece quatro gabaritos padr o que consistem em atividades autom ticas e manuais Os atributos de processo e atividade desses gabaritos foram configurados com alguns valores predefinidos Os usu rios podem modificar esses valores de acordo com suas necessidades Estes s o os gabaritos padr o HIPAA Sarbanes Oxley Gest o de Incidentes do SANS Resposta Autom tica Criando novos gabaritos 1 Clique na guia iTRAC 2 No Navegador clique em Administra o do iTRAC gt Gerenciador de Gabaritos 3 Realce um processo existente HIPAA Sarbanes Oxley SANS ou outro definido pelo usu rio clique o bot o direito do mouse em gt Criar C pia 4 Digite um nome 5 Se voc selecionar um tempo de espera dever digitar um tempo e um endere o de e mail O tempo deve ser informado em n meros inteiros Voc pode selecionar minutos segundos horas ou dias 6 Digite uma descri o Consulte Modificando Gabaritos Existentes para mudar atributos de processo e atividade Clique em OK 7 No Personalizador de Gabaritos clique em Gravar Guia do Usu rio do Sentinel Modificando gabaritos existentes Ao modificar um processo voc pode mudar atributos do processo ou das atividades dentro do processo poss vel modificar os seguintes atrib
174. est o correlacionados ao contexto comercial necess rio para identificar e resolver amea as internas ou externas e viola es s pol ticas Em qualquer configura o pode haver um ou mais Assistentes distribu dos proporcionando aos clientes a capacidade de distribuir componentes do produto na infra estrutura da empresa de acordo com sua topologia de rede Sentinel Advisor O Sentinel Advisor um m dulo opcional que efetua a refer ncia cruzada entre os dados de alerta em tempo real do Sentinel e as vulnerabilidades conhecidas e informa es de resolu o ndice 1 24 Este guia cont m o seguinte Cap tulo 1 Introdu o ao Sentinel Cap tulo 2 Navegando pelo Sentinel Control Center Cap tulo 3 Guia Active Views M Cap tulo 4 Guia Incidentes Cap tulo 5 Guia iTRACTM Cap tulo 6 Guia An lise Cap tulo 7 Guia Consultor Cap tulo 8 Guia Coletores Cap tulo 9 Guia Admin Cap tulo 10 Gerenciador de Dados do Sentinel Cap tulo 11 Utilit rios Cap tulo 12 Inicializa o r pida Ap ndice A Eventos do Sistema Guia do Usu rio do Sentinel Conven es usadas Nota e avisos NOTA as notas apresentam informa es adicionais que podem ser teis AVISO Os avisos apresentam informa es adicionais que podem impedir danos ou perda de dados do sistema Comandos Os comandos aparecem na fonte Courier Por exemplo useradd g db
175. exibida a seguinte mensagem na tela e o e mail ser recebido no endere o de destino O e mail foi enviado com xito Verifique a caixa de correio do e mail de destino para confirmar o recebimento da mensagem A linha de assunto e o conte do devem ser Assunto Testando a propriedade de e mail do Sentinel Este um teste da configura o da propriedade de e mail do Sentinel Se voc vir esta mensagem a propriedade de e mail do Sentinel foi configurada corretamente para enviar e mail Atualizando sua chave de licen a Se a chave de licen a do Sentinel expirou e a Novell emitiu uma nova execute o programa da chave de software para atualizar a chave de licen a 11 10 Como atualizar a chave de licen a UNIX 1 2 3 4 Fa a login como usu rio esecadm V at SESEC HOME utilities Digite o seguinte comando softwarekey Digite o n mero 1 para definir sua chave principal Pressione Enter Como atualizar a chave de licen a Windows Fa a login como um usu rio com direitos administrativos V at WESEC HOME utilities Digite o seguinte comando softwarekey exe Digite o n mero 1 para definir sua chave principal Pressione Enter Guia do Usu rio do Sentinel Inicializa o r pida NOTA O termo Agente intercambi vel com Coletor Mais para a frente Agentes ser referido como Coletores Este cap tulo discute procedimentos de inicializa o r pida para Anal
176. fique se de que a pasta em que voc deseja inserir sua defini o de mapa esteja selecionada Ou seja a pasta indica que est aberta 5 Insira o nome do mapa 6 Clique em Avan ar NOTA A caixa de campo Tipo de mapa desabilitada 7 Selecione ou Arquivo local ou Arquivo remoto Arquivo local permite procurar seu arquivo no sistema de arquivos local na m quina do qual o SDM foi iniciado Arquivo remoto permite escolher dentre os arquivos atuais de dados de origem de mapa no servidor em que o DAS est sendo executado Os dois arquivos que 10 8 Guia do Usu rio do Sentinel j podem existir no servidor caso o Advisor esteja instalado e os dados de Vulnerabilidade tenham sido enviados s o attackNormalization csv e exploitDetection csv O arquivo remoto aponta para ESEC HOMEYGsentinelbinimap data Windows ou para ESEC HOME sentinel bin map data UNIX amp New Map Definition x Source Data File File Name Remote Filesiasset csy C Local File Remote File r Data Preview devbox01 04 23 A3 44 65 78 UNKNOWN DESKTOP UNKNOWN UNKNOWN UN 192 168 0 1 23 A3 44 6 S UNKNOWN DESKTOP UNKNOWN UNKNOVYN devhox 4 2 44 65 79 UNKA N DESKTOP UNKN UNKNOVYN UNKI 5 KNOWN NOW UN q p NOVA devhox04 04 23 A3 44 65 81 UNKNOWN DESKTOP UNKNOWN UNKNOWN UNKA 192 168 0 4 04 23 A3 44 6 JNkKNOY YIN SKTOP UNKNOWN UNKNOVYN devhox05 04 23 A3 44 6 JNKNOWN DESKTO KNOWN UNKNOWN UNI 192 168 23 A3 44
177. ganizando colunas 3 23 tabela Tempo Real de Evento 3 24 Integra o de Terceiros HP Service Deski asas tonia enes 3 22 Remedy oiei aa aat 3 22 iTRAC adicionando eiae a a eenaa aeaaea ar eana 9 30 apagando io pein a S 9 30 atividade op o de clicar o bot o direito do MOUSE 5 8 5 9 criando uma atividade eene 5 11 exportando uma atividade 5 13 importando uma atividade 5 14 incidente associado 5 8 5 9 In cio de Processo 5 11 modificando uma atividade 5 13 modificando uma defini o de PrOCOSSOn inann e a Ee 5 3 5 4 Monitoramento de Processos 5 10 Monitoramento de Processos configurando uma op o 5 10 T rmino de Processo 5 11 janela de correla o editando miaa po RN RR RR 9 9 janela de regra de correla o abind feno E RN NE RR RR 9 7 janela do gerenciador do usu rio Fe jo dino 6 si ED RN AR RR eee 9 27 lista de avisos o 9 et o ROUPEIROS ONE RR ENE RR RO RR RR 9 4 listando os arquivos a serem importados i Ai 10 35 mapeamento n se 10 8 10 13 adicionando si 10 8 10 13 apagando eterna 10 14 atualizando c a s e siso ssnesmesesne siga passei adido 10 15 atualizando linha de comando
178. gerado ap s A alimenta o do Consultor A inicializa o do DAS se habilitado em das query xml est desabilitado por padr o O exploitDetection csv gerado ap s um dos seguintes processos A alimenta o do Consultor Verifica o de vulnerabilidades Inicializa o do Sentinel Server se habilitado em das query xml est desabilitado por padr o Por padr o h duas colunas de eventos configuradas utilizadas para detec o de explora o e referenciadas a partir de um mapa todas as tags mapeadas ter o o cone de rolagem Vulnerabilidade AttacklD Severity Vulnerability f Attackld af 1 8 Guia do Usu rio do Sentinel Quando o campo de vulnerabilidade vul igual a 1 o bem ou dispositivo de destino explorado Se o campo de vulnerabilidade vul igual a 0 o bem ou dispositivo de destino n o explorado O Sentinel vem pr configurado com os seguintes nomes de mapas associados aos arquivos attackNormalization csv e exploitDetection csv Nome do mapa Nome do arquivo csv AttackSignatureNormalization attackNormalizationesv IsExploitWatchlist exploitDetection csv Existem dois tipos de origem de dados Externa recupera informa es do agente Refer ncia do Mapa recupera informa es do arquivo de mapeamento para preencher a tag A tag Attackld cont m as colunas Dispositivo tipo de dispositivo de seguran a por exemplo S
179. guir est a arquitetura do Sentinel Server Verificador de Regras de Correla o rulelg checker Sentinel Control Center Gerenciador de Coletores Configura o V Frana de Frana Incidentes T Eventos Data Access Service DAS Resposta xmi Consultar solicita es Consultar Consulta R pida e solicita es e eventos retorno detalhadas em xml Solicita es xml de outro Gerenciador de Consultas processo do Sentinel query manager Consulta R pida Banco e solicita o de dados detalhada Processo Watchdog O Watchdog um Processo do Sentinel que gerencia outros Processos desse programa Se um processo que n o seja o Watchdog interrompido o Watchdog reporta a ocorr ncia e reinicia esse processo No caso do Windows o watchdog um servi o e chamado eSecurity Se esse servi o for interrompido todos os processos do Sentinel tamb m ser o interrompidos nessa m quina Estat sticas do Evento O mecanismo Estat sticas do Evento um componente do processo das binary que gerencia os dados usados pelos gr ficos e tabelas de eventos das telas do Active Views no Sentinel Control Center O mecanismo mant m um conjunto de eventos e dados estat sticos para cada combina o de filtro e atributo de evento especificada no Assistente do Active Views A primeira vez em que o usu rio cria uma Tela Ativa com um determinado filtro e atributo de evento um novo conjunto de
180. h24 mi ss gt endDate lt mm dd aa hh24 mi ss gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt NOTA hh24 s o as horas representadas no formato 24 horas Por exemplo 1 15 00 p m 13h15min00 e 3 00 00 a m 03h00min00 Executando dropImported 1 Execute este comando da seguinte forma sdm action dropImported startDate lt mm dd aaaa hh24 mi ss gt endDate lt mm dd yyyy hh24 mi ss gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt O exemplo a seguir apaga os dados importados entre as datas determinadas das tabelas j mencionadas Exemplo do Oracle sdm action dropImported startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFil sdm connect Exemplo do SQL Server sdm action dropImported startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFil sdm connect Gerenciamento de tabelas 10 38 No Gerenciamento de Tabelas voc tem uma op o de linha de comando e uma op o de interface de usu rio A linha de comando permite Vera utiliza o do espa o no banco de dados do Sentinel A interface de usu rio permite Veras parti es Veras parti es arquivadas Veras parti es importadas Vera utiliza o do espa o Guia do Usu rio do Sentinel Vendo a utiliza o do espa o no banco de dados do Sentinel linha de comando Esta a o dbstats apresenta a utiliza o
181. iISCALE permite escalar de modo econ mico e sofisticado a arquitetura orientada por eventos Introdu o ao Sentinel 1 5 Evento do Sentinel O Sentinel recebe informa es de dispositivos normaliza essas informa es em uma estrutura chamada Evento do Sentinel ou simplesmente Evento e envia o evento para processamento Os eventos s o processados pela exibi o em tempo real mecanismo de correla o e servidor back end Um evento consiste em mais de 200 tags As tags t m tipos e finalidades diferentes Algumas s o predefinidas como gravidade import ncia IP de destino e porta de destino H dois conjuntos de tags configur veis tags reservadas s o de uso interno da Novell para permitir uma expans o futura e tags do cliente s o para extens es do cliente Para mudar a finalidade de uma tag basta renome la A origem de uma tag pode ser referencial ou externa a qual definida explicitamente pelo dispositivo ou pelo Coletor correspondente O valor de uma tag referencial computado como uma fun o de uma ou mais tags que usam o servi o de mapeamento Por exemplo uma tag pode ser definida como o c digo da constru o que cont m o bem mencionado como o IP de destino de um evento Por exemplo uma tag pode ser computada pelo servi o de mapeamento por meio de um mapa definido pelo cliente usando o IP de destino do evento Servi o de Mapeamento O Servi o de Mapeamento permite que um mecanismo sofisticado propague d
182. iews permite acessar Reconfigurar Active Views Enviar mensagens sobre Eventos por e Adicionar Eventos a um incidente mail Fechar um Instant neo ou janela de Mostrar ou Ocultar Detalhes de Eventos Navegador Visual Instant neo de uma Janela do Navegador Criar um incidente Visual Personalizar Op es de Menu com Visualizar Eventos que acionaram um Eventos evento correlacionado Apagar uma janela de Instant neo ou Tela de Visualiza o de Vulnerabilidade Navegador Visual Visualizar Dados de Bens Consultas de Eventos Executar HP Opera es OpenView e Mapa de Gr ficos Service Desk Visualizar Dados do Consultor Executar Opera es de Resolu o Gerenciar Colunas Um usu rio pode mudar valores nomes de colunas para exibir nomes l gicos e preench los em todo o sistema poss vel aplicar ao fluxo de eventos atributos relevantes para a sua empresa Para obter mais informa es consulte o Guia do Usu rio do Assistente Cap tulo 10 Gerenciador de Dados do Sentinel e o Guia de Refer ncia do Usu rio do Sentinel Guia do Usu rio do Sentinel Reconfigurar o valor de cache e o m ximo de eventos de Active Views As Propriedades do Active Views permitem configurar o n mero m ximo de eventos que podem ser exibidos em uma Tela Ativa e o tempo em cache em cada cliente O padr o para o n mero total de eventos em uma Tela Ativa de 30 000 e
183. igas ser o arquivadas e o diret rio no qual o arquivo ser armazenado NOTA Para UNIX as parti es n o podem ser arquivadas em root Pressione Arquivo NOTA Ao arquivar certifique se de inserir um caminho v lido no servidor do banco de dados com as permiss es corretas NOTA a guia Arquivar diferente para o MSSQL e o Oracle No caso do Oracle a empresa permite especificar o tamanho m ximo do arquivo Gerenciador de dados do Sentinel 10 5 Guia Arquivar Parti es do Oracle add Delete Archive Import Release archive data partitions older than ji day s as follows Output directory Max file size fio MB gt Save Archive Guia Arquivar Parti es do MSSQL Add Delete Archive Import Release Archive data partitions older than fi 7 day s as follows Output directory Save Archive Para importar parti es 1 Selecione a guia Importar parti es 2 Selecione a parti o na tabela Segmento para a qual os dados ser o importados 3 Especifique o diret rio de entrada a partir do qual os dados arquivados ser o lidos 4 Pressione o bot o Importar Para liberar as parti es importadas 1 Selecione a guia Liberar parti es 2 Selecione a parti o na tabela Segmento que ser liberada 3 Pressione Liberar Tabelas 10 6 A guia Tabelas no SDM permite que os usu rios visualizem e gerenciem a utiliza o do espa o do banco de dado
184. inel Control Center Se o filtro contiver express es regulares que n o puderem ser convertidas em SQL o Gerenciador de Consultas vai converter o que puder e gerar um crit rio conservador que retornar um superconjunto de eventos necess rios Nesse caso o Gerenciador de Consultas instruir o DAS a retornar os resultados para o Gerenciador de Consultas Quando a resposta voltar para o Gerenciador de Consultas ele a filtrar na mem ria e enviar esses eventos que passarem pelo filtro para o Sentinel Control Center Arquitetura l gica O Sentinel 5 composto de tr s camadas l gicas camada de coleta e enriquecimento camada de l gica comercial camada de apresenta o A camada de coleta enriquecimento agrega os eventos de origens de dados externas transforma os formatos espec ficos dos dispositivos no formato do Sentinel enriquece a origem dos eventos nativos com dados relevantes empresa e despacha os pacotes de eventos para o barramento de mensagens O componente principal que faz parte dessa fun o o Coletor auxiliado pelo mapeamento de taxonomia e pelo servi o de filtro global A camada de l gica comercial cont m um conjunto de componentes classific veis O componente b sico um servi o remoto que adiciona recursos de mensagens aos servi os e objetos de dados para habilitar o acesso transparente aos dados em toda a rede e o servi o de Acesso a Dados que consiste em um servi o de gerenciamento de o
185. inho para o nome de arquivo gravado por saveConnection gt O indicador backup permite fazer backup do arquivo original de mapeamento na pasta map data O arquivo de backup do mapa de dados ser gravado como arquivo bak com um conjunto de n meros aleat rios no final do arquivo Por exemplo ameaca10197 bak Atualizando substituir um mapeamento 1 Execute o seguinte comando sdm action updateMapData map lt mapName gt file lt fileName gt backup lt true false gt DEFAULT true connectFile lt caminho para o nome de arquivo gravado pelo saveConnection gt Gerenciador de dados do Sentinel 10 39 O exemplo a seguir substitui os mapeamentos no mapa threat pelos mapeamentos do arquivo de mapa vuln attacks txt sdm action updateMapData map threat file vuln_attacks txt connectFile sdm connect Como o indicador backup n o foi usado a opera o padr o criar um backup do mapeamento original antes de atualizar o arquivo de mapa vuln_attack txt Usando o Auto Manage Script fornecido pela Novell apenas no Windows A Novell desenvolveu um arquivo de lote que pode ser agendado de forma que muitas das a es de gerenciamento do SDM podem ser pr formadas automaticamente NOTA Se sua m quina n o tiver acesso ao DAS_Binary e DAS_Query a Linha de Comando SDM pode ser usada no lugar da interface de usu rio do SDM Este procedimento s aplic vel ao Windows Garante que durante a rea
186. inida como 5 se o processo foi enviado para reinicializa o ou seja o processo n o deve ser desativado A gravidade definida como 1 se o processo foi enviado para execu o uma vez Tag Valor Gravidade 1 5 Nome do evento ProcessStop Recurso WatchDog Sub recurso Processo Mensagem Processo lt Nome_Programa gt encerrado com c digo lt c digo_sa da gt Processo Watchdog iniciado Quando o processo Watchdog iniciado o seguinte evento interno gerado Tag Valor Gravidade 1 Nome do evento ProcessStart Recurso WatchDog Sub recurso WatchDog Mensagem Servi o Watchdog em inicializa o Eventos de sistema do Sentinel5 A 13 Processo Watchdog interrompido Quando o servi o Watchdog interrompido O seguinte evento interno gerado Tag Valor Gravidade 5 Nome do evento ProcessStop Recurso WatchDog Sub recurso WatchDog Mensagem Servi o Watchdog terminado Gerenciador Mecanismo de Coletores Inicializa o de porta O Gerenciador de Coletor envia esse evento quando a porta iniciada Tag Valor Gravidade 1 Nome do evento PortStart Recurso AgentManager Sub recurso AgentManager Mensagem Processamento iniciado para porta_ lt id_porta gt Interrup o da porta O Gerenciador de Coletor envia esse evento quando a porta interrompida Tag Valor Gravidade 1 Nome do
187. ion Marcas registradas da Novell Para obter informa es sobre as marcas registradas da Novell consulte a lista Marcas registradas da Novell e marcas de servi os em http www novell com company legal trademarks tmlist html Materiais de terceiros Todas as marcas registradas de terceiros pertencem aos seus respectivos propriet rios Informa es legais de terceiros O Sentinel 5 pode conter as seguintes tecnologias de terceiros Apache Axis e Apache Tomcat Copyright O 1999 a 2005 Apache Software Foundation Para obter mais informa es isen es de responsabilidade e restri es consulte http www apache org licenses ANTLR Para obter mais informa es isen es de responsabilidade e restri es consulte http www antlr org Boost Copyright O 1999 Boost org Bouncy Castle Copyright O 2000 2004 the Legion of Bouncy Castle Para obter mais informa es isen es de responsabilidade e restri es consulte http www bouncycastle org Checkpoint Copyright O Check Point Software Technologies Ltd Concurrent pacote de utilit rios Copyright O Doug Lea Usado sem as classes CopyOnWriteArrayList e ConcurrentReaderHashMap Crypto Compilation Copyright O 1995 2003 Wei Dai incorporando o seguinte trabalho protegido por lei de direitos autorais mars cpp por Brian Gladman e Sean Woods Para obter mais informa es isen es de responsabilidade e restri es consulte http www eskimo com wei
188. isen es de responsabilidade e restri es consulte http www java sun com products javawebstart downloads jnlp html e clique em download gt license Java Service Wrapper Partes protegidas por lei de direitos autorais da seguinte maneira Copyright O 1999 2004 Tanuki Software e Copyright O 2001 Silver Egg Technology Para obter mais informa es isen es de responsabilidade e restri es consulte http wrapper tanukisoftware org doc english license html JIDE Copyright O 2002 a 2005 JIDE Software Inc O jTDS licenciado sob a Licen a P blica GNU Menos Restritiva Para obter mais informa es isen es de responsabilidade e restri es consulte http jtds sourceforge net MbDateSelector Copyright O 2005 Martin Newstead licenciado sobre a Licen a P blica Geral Menos Restritiva Para obter mais informa es isen es de responsabilidade e restri es consulte http web ukonline co uk mseries Monarch Charts Copyright O 2005 Singleton Labs Net SNMP Partes do c digo s o protegidas por lei de direitos autorais por v rias entidades que se reservam todos os direitos Copyright O 1989 1991 1992 por Carnegie Mellon University Copyright O 1996 1998 a 2000 the Regents of the University of California Copyright O 2001 a 2003 Networks Associates Technology Inc Copyright O 2001 a 2003 Cambridge Broadband Ltd Copyright O 2003 Sun Microsystems Inc e Copyright O 2003 a 2004 Sparta Inc Para obter mai
189. istas de seguran a Analistas de relat rio Administradores S o discutidos os seguintes t picos Active Views Detec o de ataques Dados de bens Consulta de Eventos Reportando an lise atrav s do CrystalReports Correla o B sica Analistas de seguran a NOTA Este cap tulo presume que seu Administrador de Seguran a ou voc desenvolveu os filtros necess rios e configurou os coletores necess rios para seu sistema Guia Active Views Na guia Active Views voc pode monitorar os eventos medida que acontecem realizando consultas nesses eventos Voc pode monitor los em uma forma de tabela ou atrav s de uma representa o gr fica em 3D Para iniciar os eventos em tempo real 1 Clique em Active Views gt Criar Tela Ativa clique na seta para baixo do filtro selecione um filtro e clique em Selecionar Active Views Incidents ITRAC Analysis dy Properties Inicializa o R pida 12 1 Step 1 Event Collection Parameter Setup Ei Nome do Filtro Define the display properties by selecting the Event Attribute to use onthe Z PUBLIC Operating System E fiter e DeviceCategory OS Axis of the chart the filter to apply and whether or not to display events PUBLIC lbs Events filter e DeviceCategory IDS PUBLIC Database Events filter e DeviceCategory DB Event Attribute Z Axis PUBLIC High Severity filter e
190. iter e Severity 3 PUBLIC Low Severity filter e Severity lt 2 PUBLIC Firewall Events fiter e DeviceCategory PA PUBLIC Correlation fiter e SensorType C or e SensorType W 3 PUBLIC Exploit Detection filter e vulnerability 1 PUBLIC External Events _ filter e SensorType I and e SensorType P 3 PUBLIC ALL fiter PUBLIC Scan Events Jfiter e DeviceCategory SCAN PUBLIC Severe Internal j fii r e SensorType l and e Severity gt 3 PUBLIC lntemal Events ffiter e SensorType I Gerenciar Configura o de Filtro Adicionar Cloriar Detalhes Adicionando um filtro 9 16 Para adicionar um filtro p blico e particular 1 Clique na guia Admin 2 Clique em Admin gt Gerenciador de Filtros ou selecione Gerenciador de Arquivo na pasta Configura o de Filtro no navegador 3 Clique em Adicionar 4 Selecione um ID de propriet rio particular ou privado propriedade do usu rio Guia do Usu rio do Sentinel Rs N Detalhes do Filtro CRIAR NOYO PUBLIC if ia E dm Insira um nome de filtro O editor de tabela a sele o padr o para editar o conte do NOTA Como op o voc pode clicar em Usar editor de formato livre para ver um editor de formato livre O editor de formato livre permite criar express es complexas que seriam imposs veis com o editor de tabela No entanto depois que
191. ivados Descartam eventos Podem rotear os eventos apenas para o banco de dados Podem rotear os eventos para o banco de dados e para o Sentinel Control Center Na janela Configura o Global voc pode Criar filtro global Reorganizar um filtro global Apagar um filtro global 9 14 Guia do Usu rio do Sentinel N Configura o de Filtro Global l ES fal Ea Nome do Fitro Astcion tivo PUBLIC High Sew E drop fiter e se 3 Apagar Btivo Inativo ihh A o Padr o farop E Gerenciar Configura o de Filtro Global Gravar Cancelar Criando um filtro global Criando um Filtro Global l 2 Clique na guia Admin Clique em Admin gt Configura o de Filtro Global ou selecione Configura o de Filtro Global na rvore de navega o Na janela Configura o Global clique em Modificar e clique em Adicionar Na nova fila em branco clique na coluna Nome do filtro Selecione um filtro e clique em Selecionar ou Adicionar se voc precisar criar um filtro Na coluna Ativo clique na caixa Ativo Na coluna A o selecione a a o que o filtro global ter nos eventos que passam por este filtro global Caso um evento n o atender a nenhum dos filtros globais ativos a a o padr o determina como o evento tratado Voc pode configurar a caixa A o padr o da seguinte forma queda os eventos n o v o para o Sentinel Control Center nem para o banco d
192. ivity Descri o Perform data collection Ok Cancelar Apagando gabaritos 1 Clique na guia iTRAC 2 No Navegador clique em Administra o do iTRAC gt Gerenciador de Gabaritos 3 Destaque um gabarito existente clique o bot o direito do mouse e selecione Apagar 4 Clique em Sim na caixa de di logo pop up para apagar o gabarito Execu o de processo A Execu o de Processo o per odo durante o qual o processo est em opera o com inst ncias sendo criadas e gerenciadas Quando um processo do iTRAC executado ou colocado em inst ncias no servidor do iTRAC uma inst ncia de processo criada gerenciada e finalmente terminada pelo servidor do iTRAC de acordo com a defini o do processo Conforme avan a rumo conclus o ou t rmino o processo executa v rias atividades definidas no gabarito do workflow com base nos crit rios para as transi es entre eles O servidor de workflow do iTRAC processa atividades manuais e autom ticas de maneiras diferentes Um processo do iTRAC depende de um incidente do Sentinel Uma inst ncia de processo n o pode existir se n o houver um incidente relacionado a ela Por outro lado um incidente pode existir sem estar relacionado ao servidor de workflow Somente um incidente pode estar associado a uma inst ncia de processo do iTRAC Guia iTRAC 5 5 Criando inst ncias de um processo Para criar inst ncias de um processo do iTRAC no servidor do iTRA
193. janelas de Evento em tempo real mantendo a estrutura de dados para cada filtro de seguran a Os filtros impedem que os usu rios visualizem os eventos n o autorizados e os eventos de queda que os usu rios n o desejam ver Os filtros s o criados na guia Admin do Sentinel Control Center NOTA a seguir h caracteres inv lidos de nome de filtro H amp lt gt H tr s tipos de filtros Filtros p blicos Filtros privados Filtros globais Filtros p blicos Os filtros p blicos s o de propriedade do sistema Os filtros p blicos podem ser usados como filtros de seguran a ou filtros de exibi o Os filtros de seguran a s o baseados em permiss es do usu rio Os filtros de exibi o determinam quais eventos s o descritos nas tabelas e nos gr ficos de eventos em tempo real Guia Admin 9 13 N sele o de Filtro E x Propriet rio Nome do Filtro String de Express o PUBLIC Operating System E filter e DeviceCategory OS PUBLIC IDS Events fiter e DeviceCategory IDS PUBLIC Database Events fiter e DeviceCategory DB PUBLIC High Severity fiter e Severity gt 3 PUBLIC Low Severity fiter e Severity lt 2 PUBLIC Firewall Events fiter e DeviceCategory PAM PUBLIC Correlation fiter e SensorType C or e SensorType A PUBLIC Exploit Detection fiter e Vulnerability 1 PUBLIC External Events fiter e SensorTy
194. l ou Instant neo clique duas vezes ou clique o bot o direito do mouse em um evento e clique em Mostrar Guia Active ViewsTM 3 7 3 8 Detalhes Os detalhes de um evento ser o exibidos no painel esquerdo da tabela Tempo Real de Evento Email Create Incident Add To Incident view Trigger Events Investigate Analysis nslookup tracert whois N PUBLIC High_Severity 07 07 2006 14 52 28 Instant neo 07 07 2006 14 51 29 07 07 2006 14 51 28 Dix Destinal J Severny Datetme sorer 186 45 34 122 17216 5104 17216 2106 a 07 07 2006 14 51 27 6 07 07 2006 14 51 26 6 07 07 2006 14 51 26 07 07 2006 14 51 26 6 07 07 2006 14 51 26 07 07 2006 14 51 25 17216 2105 172 30 2 202 6 07 07 2006 14 51 26 172 30 2 202 E E 172 30 2 202 Do fir2302202 186 45 34 122 17216 7105 07 07 2006 14 51 24 128 34155169 17218 5104 07 07 2006 14 51 23 3 J07 07 2006 14 51 22 6 07 07 2006 14 51 21 07 07 2006 14 51 21 17216 2105 172 16 2 106 186 45 34 122 128 34 155 169 Jo7 07 2006 14 51 21 172 30 2 202 Do aoaaa 172 30 2 202 07 07 2006 14 51 21 172 30 2 202 07 07 2006 14 51 21 6 07 07 2006 14 51 21 07 07 2006 14 51 19 O 07 07 2006 14 51 16 07 07 2006 14 51 16 07 07 2006 14 51 16 172 30 2 202 Do irz302202 6 07 07 2006 14 51 21 172302202 1864534122
195. la o pode detectar padr es em um fluxo de eventos de um nico dispositivo um conjunto de dispositivos semelhantes ou uma cole o arbitr ria de dispositivos Isso permite que o usu rio fa a uma melhor determina o do risco e da gravidade do incidente O Sentinel tamb m incorpora informa es adicionais na alimenta o como informa es sobre as m quinas na rede e suas vulnerabilidades e servi os conhecidos Essas informa es s o disponibilizadas em tempo real refinando ainda mais a import ncia dos eventos monitorados O Sentinel Control Center usa processos em segundo plano para exibir em tempo real eventos e resumos de eventos Active ViewsTM Incidentes relat rios hist ricos an lises e relat rios do Consultor 1 2 Guia do Usu rio do Sentinel Eventos considerados importantes podem ser agrupados em um objeto chamado Incidente Um incidente pode ser criado manualmente pelo usu rio ou automaticamente pelo mecanismo de correla o O incidente pode conter ainda informa es adicionais recuperadas pelo componente Sentinel Advisor sobre os bens que est o sendo atacados as vulnerabilidades desses bens e o ataque Tamb m poss vel que outras informa es sejam inclu das como anexos Este guia sup e que voc esteja familiarizado com os fundamentos b sicos de seguran a de rede administra o de bancos de dados e ambientes dos sistemas operacionais Windows e UNIX Este cap tulo descreve a arquitetura
196. le Voc deve ter um dos seguintes UTL FILE DIR UTL FILE DIR diret rio espec fico em que voc deseja gravar os arquivos no seu arquivo init ora Guia do Usu rio do Sentinel Executando archiveConfig L Execute este comando da seguinte forma sdm action archiveConfig dirPath lt caminho de diret rio no qual s o gravados os arquivos armazenados gt keepDays lt n mero de dias a serem mantidos gt fileSize lt tamanho m ximo de cada arquivo armazenado especificado em KB MB ou GB gt connectFile lt caminho ao nome de arquivo gravado por saveConnection gt Exemplo do Oracle O exemplo a seguir arquiva todos os dados mais antigos do que 13 dias no diret rio tmp em pacotes maiores do que 1GB sdm action archiveConfig dirPath tmp keepDays 13 fileSize 1GB connectFile sdm connect O exemplo a seguir arquiva todos os dados mais antigos do que 13 dias no diret rio tmp em pacotes maiores do que 40MB sdm action archiveConfig dirPath tmp keepDays 13 fileSize 40MB connectFile sdm connect Arquivando dados Execute esta a o archiveData depois de definir a configura o do seu arquivo archiveConfig Esta a o arquiva os dados a partir do nome de tabela dado de acordo com a configura o de arquivo Ela arquiva os dados a partir de Oracle o EVENTS CORRELATED EVENTS SQL Server 2 EVENTS a CORRELATED EVENTS NOTA as tabelas de agrega
197. lecionadas Integra o de Terceiros A Integra o de Terceiros permite enviar eventos de qualquer tela de exibi o inclusive incidentes e objetos associados ao HP Service Desk Remedy Para enviar um ou v rios eventos para um software de terceiros L Em uma tabela Tempo Real de Evento do Navegador Visual ou janela do Instant neo dependendo do software da Integra o de Terceiros que estiver instalado clique o bot o direito do mouse em um evento e clique em Enviar Evento para HP Service Desk Remedy Usando op es de menu personalizadas com eventos 3 22 Para usar uma op o de menu personalizada com um evento 1 Em uma tabela Tempo Real de Evento do Navegador Visual ou Instant neo selecione um evento ou grupo de eventos clique o bot o direito do mouse e selecione uma op o Ser aberta uma caixa de di logo com as informa es da configura o da op o de menu ou com campos a serem preenchidos com as informa es necess rias para executar uma a o Estas s o as op es de menu personalizadas padr o ping nslookup traceroute Whois E poss vel atribuir outras permiss es de usu rio Visualiza o de Vulnerabilidade e para a execu o de A es do HP Voc pode adicionar op es usando a janela Configura o de Menu dispon vel na guia Admin Guia do Usu rio do Sentinel 2005 01 Show Details 2005 01 Email 2005 01 53005 01 Create Incident 2005 01 dd
198. liza o da sua pr configura o e da configura o seja realizado o seguinte Certifique se de que sdm connect seja inicializado com a interface de usu rio do SDM ou a linha de comando Certifique se de que o diret rio de arquivo exista Certifique se de que os dias de archiveConfig e dropPartitions sejam iguais Certifique se de que o arquivo de lote seja corretamente executado do prompt de comando pelo menos uma vez antes de agend lo para execu o autom tica NOTA Caso a tarefa agendada falhe ela n o envia uma notifica o A tarefa registrada em SDM_ log Configurando o arquivo Manage_data bat para Arquivar dados e Adicionar parti es Pr configura o Antes de configurar automaticamente Arquivar dados e Adicionar parti es voc deve Gravar propriedades de conex o Estabelecer par metros de arquivamento NOTA Se voc gravou um arquivo de conex o em um local ou com um nome de arquivo diferentes do padr o ESEC_HOME sdm sdm connect voc ter que editar o arquivo manage data bat para atualizar o caminho para o seu arquivo de conex o Estabelecendo os par metros de arquivamento 10 40 Pode se fazer isso com a Linha de Comando Esta a o archiveConfig usada para configurar o arquivamento Esta configura o determina como os dados s o arquivados a partir das tabelas do Sentinel Guia do Usu rio do Sentinel Esta a o usa os seguintes indicadores acti
199. lmente milhares de eventos por segundo sem qualquer preju zo ao desempenho Os dados s o mantidos na mem ria e gravados no banco de dados conforme necess rio o Active Views pode armazenar at 8 horas de dados na mem ria com cargas de eventos t picas Essa visualiza o em tempo real ininterrupta e orientada ao desempenho essencial em situa es de ataque ou est veis E E D D H fip n RN g E E 1801681224 tehet 18948840 23 TCP 8 68 10 25 gs iabe 189 168 10 22 Hoficam e sorcr E g 1991684 TA A dt 189468 10 23 ri 190 168 i sometimes rpc21 EF 32779 TCP ftp ANMTCP Resposta a incidentes pelo iTRAC Com o iTRAC o gerenciamento tradicional de informa es de seguran a passa de uma fun o passiva de alerta e visualiza o para um papel ativo oferecendo respostas a incidentes process veis o que permite s organiza es definir e documentar os processos de resolu o de incidentes e orientar aplicar e monitorar esses processos assim que um incidente ou viola o detectado O Sentinel 5 conta com gabaritos de processos j prontos para o uso que utilizam as diretrizes do SANS Institute para processamento de incidentes Os usu rios podem come ar com esses processos predefinidos e configurar atividades espec ficas para refletir as pr ticas recomendadas de sua organiza o Os processos do iTRAC podem ser acionados automaticamente a partir da cria o do incidente ou de regras de
200. m selecione Vers o do produto O n mero da vers o do arquivo aparecer no painel Valor Informa es sobre vers o do jar do Sentinel Como obter informa es sobre a vers o do arquivo jar do Sentinel 1 No Sentinel Server fa a login como o usu rio Para UNIX esecadm No Windows efetue login como um usu rio com direitos no Sentinel Server 2 Use o comando cd para mudar o diret rio Para UNIX SESEC HOME utilities Windows SESEC HOMESutilities 3 Na linha de comando digite o seguinte Para UNIX versionreader sh lt nome do arquivo jar caminho gt Para Windows versionreader lt nome do arquivo jar caminho gt Utilit rios 11 7 Configurando o e mail do Sentinel 11 8 As configura es do e mail do Sentinel s o armazenadas no arquivo execution properties durante a instala o Esse arquivo pode ser editado ap s a instala o Este arquivo encontra se na m quina em que o DAS est instalado e localiza se em Windows SESEC HOMES sentineliconfig Para UNIX SESEC HOME sentinel config H dois scripts mailconfig sh e mailconfigtest sh no UNIX e mailconfig bat e mailconfigtest bat no Windows que mudam e testam as configura es de e mail no arquivo execution properties O script mailconfig altera as configura es de e mail e o script mailconfigtest testa as configura es de e mail As reas em negrito s o as configura es de e
201. m ser modificadas de acordo com essa explica o as AssignUser a ConfirmStartContainment AcceptIncident 2 ConfirmEndContainment ConfirmStartDataCollection o ConfirmStartEradication ConfirmEndDataCollection 2 ConfirmEndEradication N Personalizador de Atividades x amp s Nome Acceptincident Tipo Manual Recurso It Analys Tempo de Espera Limite minutos Descri o ccept this Incident Ok Cancelar Modificando atividades autom ticas Voc pode editar a atividade o Tempo de Espera e a Descri o de uma atividade autom tica l Para editar clique duas vezes em qualquer cone de atividade autom tica no gabarito e fa a as altera es A lista suspensa nas caixas de di logo do personalizador de atividades exibe a lista das atividades que podem ser usadas como atividades autom ticas As atividades na lista s o criadas com a estrutura de atividades 5 4 Guia do Usu rio do Sentinel NOTA as seguintes atividades autom ticas nos gabaritos existentes podem ser modificadas de acordo com essa explica o DataCollection Containment Eradication N Personalizador de Atividades x O 5 Nome DataCollection Tipo Autom tico Colectionactivity Y IncidentUserCheck verifylncident Assignment Limite NoOpActivity Atividade Tempo de Espera Collection amp ctivity Containment Activity EradicationAct
202. m um conjunto de servi os levemente integrados que podem ser executados em uma configura o independente ou em uma topologia distribu da Essa SOA Service Oriented Architecture Arquitetura Orientada por Servi o chamada iSCALE Especificamente a SOA do Sentinel consiste em um conjunto de mecanismos servi os e APIs que funcionam juntos para proporcionar a expans o linear da solu o de acordo com o aumento da carga de dados e ou carga de trabalho de processamento Os servi os do Sentinel s o executados em containers especializados e permitem processamento e expans o inigual veis pois s o otimizados para computa o e transporte com base em mensagens Os principais servi os que formam o Sentinel Server incluem Servi o Remoto Resposta a Incidentes Servi o de Acesso a Dados Relat rios Servi o de Gerenciador de Consultas Consultor Servi o de Correla o Sa de Servi o de Workflow Administra o Visualiza o de Eventos Servi o Remoto O Servi o Remoto do Sentinel 5 fornece o mecanismo pelo qual o servidor e os programas do cliente se comunicam Esse mecanismo geralmente conhecido como aplicativo de objetos distribu dos Especificamente o Servi o Remoto oferece Localiza o de objetos remotos alcan ado por meio de metadados que descrevem o nome do objeto ou o token de registro embora a verdadeira localiza o n o seja necess ria pois o barramento de mensagens da iSCALE
203. ma de todos os seus derivados Assim 15 indica que h 15 solicita es para todas as chamadas de m todo de solicita o Neste ponto requests configurations 1 indica que 1 das 15 para configura o requests esecurity correlation config 2 indica que 2 das 15 s o para esecurity correlation config e assim por diante Guia do Usu rio do Sentinel N Estat sticas Das E ox thrs Espera s BA quardando Executando DAS Binary S0E66 15 00 00 EventBatcher ThreadPools ThreadPools Defaul ThreadPools Defaul ThreadPools Event ThreadPools Event ThreadPools Timer ThreadPools Timer ThreadPools TimerT ThreadPools TimerT ThreadPools TimerT ThreadPools TimerT ThreadPools TimerT ThreadPools TimerT requests requests database requests esecurity requests ewizard services services EventStor iservines RemnteOh As informa es podem ser teis pois mostram o que est havendo O n mero de solicita es especialmente til voc pode ver onde elas est o indo ou est o concentradas O waiting til pois mostra o qu o ocupado est o servidor Esse n mero deve ser pequeno Se for grande as novas solicita es mesmo para tarefas simples ter o que esperar as potencialmente lentas Esta n o uma boa situa o O tempo m dio de execu o muito importa
204. magens e eventos em formato tabular Guia Active ViewsTM 3 5 Para redefinir par metros tipo de gr fico ou tabela de eventos de uma Tela Ativa Ao visualizar uma Tela Ativa voc pode redefinir os par metros e mudar o tipo do gr fico Al m disso se houver eventos de seu interesse poder separ los de outros eventos em vez de criar um nova Tela Ativa e filtro Para redefinir os par metros tipo de gr fico ou tabela de eventos de uma Tela Ativa 1 Em uma Tela Ativa que exibe um gr fico clique o bot o direito do mouse e selecione Propriedades Lua 5 Drill Down to Event Jaj Bar 3D Chart S Chart Types Refine Event Table Time Intervals fig Stacked Bar 2D Chart Display Interval fzo Second 4 Ds Line Chart Refresh Rate fo Second bu 23 Ribbon Chart Total Display Time 15 Minute Ed amp Properties pAxis Values Y Axis Evert Count z Na guia Par metros voc pode definir Intervalo de Exibi o tempo entre cada intervalo Taxa de Atualiza o n mero de segundos para atualiza o da taxa de eventos Tempo Total de Exibi o tempo de exibi o do gr fico Eixo Y Total de Eventos ou Total de Eventos por Segundo Na guia Tipos de Gr ficos voc pode definir seu gr fico como 3D em barras 2D de barra empilhada linhas e faixas Active Yiews Properties Parameters Chart Types Refine Event Table Chart Property Type Sta
205. mail que podem ser alteradas Estas s o as propriedades em execution properties mail authentication user lt dominiodusuario gt correlated events retry wait 5000 mail smtp host lt SMTP HOST gt O host SMTP que ser usado para enviar e mails mail events max 1000 N mero m ximo de eventos que ser o enviados em um e mail que automaticamente acionado pelo mecanismo de correla o Seu objetivo limitar o tamanho dos e mails para os eventos correlacionados que t m um grande conjunto de eventos acionados correlated events retry count 10 mail address from lt SMTP FROM ADDR gt Endere o de e mail que aparece no campo De do e mail enviado do DAS mail authentication password lt senha gt senha para mail authentication user Os scripts mailconfig sh e mailconfig bat usam os seguintes argumentos host Nome de host SMTP ou endere o IP from Campo De do e mail user O usu rio de autentica o do e mail password Senha para o usu rio de autentica o do e mail NOTA N o insira sua senha depois do argumento senha O sistema lhe pedir uma nova senha depois que voc inserir o comando A sa da de console ser mascarada por asteriscos Guia do Usu rio do Sentinel O arquivo mailconfigtest sh e mailconfig bat usa os seguintes argumentos to Endere o de e mail de destino Para configurar as propriedades do e mail no arquivo execution properties 1 Na m quina em que o DAS foi instalado
206. min descri o seara sora assess ias aae E a aN eS kado ral gandsa NoN Eo NONE ceara aii praia 9 1 Op es de configura o de relat rios de an lise e consultor is eeseeeeeeeeanes 9 1 Regras de correla o do Sentinel tereenataneaeteeecanecanan iene 9 3 Pastas de regras e Tegras assoi eneret eaeoe ar eaa a a Aeaee a SS EA SEG OS tangas ERAS cd doces S nara NiRA Eai 9 3 Tipos de Regra de Correla o e ireeeatearareaaaeaanaraaaanaanar nana eaanaraanannanaanaa 9 3 Distribui o da regra do mecanismo de correla o ie reearecaeraranaaereaarananaa 9 5 importando e exportando as regras de correla o see reeaeeeareeacaraneanieraanaa 9 6 Fun o do banco de dados ao armazenar regras de correla o eras 9 6 Condi es l gicas para as regras de correla o errar aereas 9 6 Abrindo a janela Regras de Correla o err ceeacaraa caraca naena narra naraanarana 9 7 Copiando e criando uma pasta de regra ou regra tree eencaena nara aaaeaannanis 9 7 Apagando uma pasta de regras de correla o ou regras is eeaeeaeereararananaa 9 8 Sum rio 3 importando ou exportando uma pasta de regra de correla o earraans 9 8 Editando na janela de correla o e eersecramaesaerenac centenas aaaeneaacaenacacinna ana 9 9 Ativando ou desativando um mecanismo de correla o
207. mo City a vari vel que deve ser usada em um script do Coletor para referenciar esta metatag ainda ser a CT2 A seguir h uma ilustra o antes e depois deste recurso em um Active View N PUBLIC High Severity 07 07 2006 16 23 24 Instant neo Destination 17217435 Repested Login Failures Chicagi 0 J8 i7214713 5 Login Failure Chicago r la 17247135 Login Failure Chicago o a H7247435 Login Failure Chicago o 8 N PUBLIC High Severity 07 07 2006 16 27 42 Instant neo DestinationlP EventName Vulnerability f 1721713 5 Repeated Login Failures Chicago 8 172147135 Login Failure Chicago o a 17217135 Login Failure Chicago o 8 17247435 oain Failure Chicago lo 8 Renomeando uma coluna de evento 1 Clique na guia Eventos NOTA O nome original da Coluna de evento aparece acima do campo R tulo Al m disso fornecida a descri o da coluna de evento Realce uma entrada de coluna de evento 3 Insira um novo valor para sua Coluna de evento no campo R tulo amp Sentinel Database Manager a Arquivo Ver Banco de Dados gd Sabre Parti es Tabelas Mapeamento Eventos Relatando Dados Colunas de Eventos Tag Tag ct2 Labet fety Descri o reserved for use by customers for customer specific data String rFonte de Dados 4 Clique em Apply NOTA Clicar em Aplicar grava as altera es que voc fez
208. munica o pode ser bloqueado Depois de remover os arquivos de bloqueio voc ter que reiniciar o servidor de comunica o Esses arquivos localizam se nestes locais Windows SESEC HOMES N3rdpartyNSonicMONMQ6 INesecDomainidatal MFSys tem lock SESEC HOMES N3rdpartyNSonicMONMQ6 1INSonicMOStoreidb Ilck Para UNIX SESEC HOME 3rdparty SonicMQ MQ6 1 esecDomain data MFSyst em lock SESEC HOME 3rdparty SonicMQ MQ6 1 SonicMQStore db Ilck Removendo o arquivo de bloqueio do servidor de comunica o Windows 1 Usando o Windows Explorer v para SESEC HOMES sentineliscripts 2 Clique duas vezes em atrav s do Windows Explorar ou execute o seguinte arquivo remove sonic lock bat Removendo o arquivo de bloqueio do servidor de comunica o UNIX 1 Em geral n o necess rio remover o arquivo de bloqueio no UNIX porque o arquivo de bloqueio geralmente removido de forma autom tica quando se inicia o Sentinel Server Se esses arquivos precisarem ser removidos manualmente voc deve remov los usando os comandos t picos do sistema de arquivos do UNIX como rm Iniciando o Servidor de Comunica o no modo de console 11 4 Estes scripts iniciam o servidor de comunica o na linha de comando no modo de console Tais arquivos s o teis para depurar o servidor de comunica o sem for lo a executar o resto do Sentinel Server Em opera es normai
209. na guia Relatando Dados 2 Para desabilitar um resumo clique em Ativo na coluna Status at que mude para Inativo 3 Para habilitar um resumo clique em Inativo na coluna Status at que mude para Ativo Source Status formedEvent formedEvent Tree formedEvent formedEvent formedEvent formedEvent Gerenciador de dados do Sentinel 10 23 Para ativar a Agrega o nos relat rios 10 Primeiros do Crystal Reports Habilite os tr s resumos a seguir n EventDestSummary n EventSevSummary n EventSreSummary Habilite EventFileRedirectService no das binary xml localizado em Para UNIX SESEC HOME sentinel config das binary xml Para Windows ZESEC HOMES sentineliconfigidas binary xml Visualizando as informa es de um Resumo 1 Clique na guia Relatando Dados 2 Clique no bot o na coluna Atributos para ver os atributos que comp em um resumo Attributes amp Summary Attributes x Summary Name EventDestSummary Attribute Attribute Type 1 CUST ID attribute a 2 RSRC_ID attribute 3 DEST EvT ASSET ID attribute 4 DEST IP attribute 5 DEST PORT attribute 6 DEST USR ID attribute 7 TXNMY_ID attribute 8 SEY attribute 9 AGENT ID attribute 10 EvT NAME ID attribute 11 PRTCL ID attribute 12 EvT TIME attribute sm me mare mos rey Verifique a validade de um Resumo 1 Clique na guia Relatando Dados 2 Selecione Status 10
210. narenecanenana Usando o Auto Manage Script fornecido pela Novell apenas no Windows Configurando o arquivo Manage data bat para Arquivar dados e Adicionar parti es 10 40 Agendando Manage data bat para Arquivar dados e Adicionar parti es 10 42 4 Guia do Usu rio do Sentinel 11 Utilit rios 11 1 Iniciando e parando o Sentinel Server o Gerenciador de Coletor e o UNIX sssssssssssssrrsrsrrssrrrnssrennne 11 1 Iniciando o Sentinel Server do UNIX rir eeeereacaneraeaearereacanenaaanenaaneanan a 11 1 Parando o Sentinel Server do UNIX rir ererenearerenaareneananereaaaanenennanaa 11 1 Iniciando o Gerenciador de Coletor do UNIX eee 11 1 Parando o Gerenciador de Coletor do UNIX errar caraanarnan a 11 1 Iniciando e parando o Sentinel Server e o Gerenciador de Coletor Windows 11 2 Iniciando o Gerenciador de Coletor do Windows era career 11 2 Parando o Gerenciador de Coletor do Windows rear caennareaanaaas 11 2 Iniciando o Sentinel Server para Windows erra carea area aarra narra 11 2 Parando o Sentinel Server para Windows ir ereeeeeeaeatereaea aereas 11 2 Iniciando o Servidor de Comunica o do Sentinel para Windows 11 3 Parando o Servidor de Comunica o do Sentinel para Windows 11 3 Arquivos de script do Sentinel errar arereaaanaaaeraaanaa arara nana nie caraananaanaa 11 3 Removendo os a
211. nasua Deia Reconfigurar o valor de cache e o m ximo de eventos de Active Views Para visualizar eventos em tempo real errar ceaeaneacareaa aaa eaaaaaeana ana reaanarananaaa Para redefinir par metros tipo de gr fico ou tabela de eventos de uma Tela Ativa Girando um gr fico 3D em barras ou faixas eee nana Mostrando ou ocultando detalhes de eventos suec Enviando mensagens sobre eventos e incidentes por e mail Criando um incidente siise ieii etete ssa iteasu iutiseso nada ainats Visualizando os eventos que acionaram um evento correlacionado E Investigando um ou mais eventos a r eea aa a e aap En TOE Investigar Mapeador de Gr ficos rr rereaaeeaaaenaaaeea near narraaaarananraneaa Investigar Consulta de Eventos a An lise Visualizando os dados do Consultor re eeraceena caraca caraca An lise Visualizando dados de bens ii eereeeneaeeneaaareaeanaaereaaaaeanenaareneanaasnanos An lise Visualiza o de vulnerabilidade as Integra o de TOrCeIrOS ssssesiasiaasradosaesparlonicaphientaa a aaa Pa E ba nisi cepa cn Ee dado a oaa eaa anaedai areas Usando op es de menu personalizadas com eventos ssssssereessesstttrrrtesttttntntnstrtntrnnnenertnenn nenene Gerenciando as colunas em uma janela Instant neo ou Navegador Visual Tirando um instant neo de uma janela Navegador Visual Classificando colunas em um instant ne
212. ncidentes A detec o de explora o fornece aos usu rios atualiza es e mapeamentos entre as assinaturas IDS e as dos scanners de vulnerabilidade Os mapeamentos incluem uma lista abrangente de scanners de vulnerabilidades e do IDS Os usu rios precisam apenas fazer o upload dos resultados das verifica es de vulnerabilidade para o Sentinel A detec o de explora o analisa esses resultados automaticamente e atualiza os respectivos Coletores IDS Ela usa o conhecimento incorporado do status de vulnerabilidade para priorizar com efic cia e efici ncia as respostas s amea as seguran a em tempo real Quando iniciado um ataque contra um bem vulner vel a detec o de explora o alerta os usu rios sobre o n vel de gravidade correspondente vulnerabilidade explorada Desse modo os usu rios podem tomar uma atitude imediata em rela o aos eventos de alta prioridade Isso elimina o trabalho de tentativa e erro do monitoramento de alertas e aumenta a efici ncia das respostas aos incidentes concentrando a rea o nos ataques conhecidos contra bens vulner veis A detec o de explora o tamb m permite que os usu rios mapeiem ou desmapeiem assinaturas e vulnerabilidades para filtrar falsos positivos e negativos bem como para aproveitar assinaturas personalizadas ou verifica es de vulnerabilidade 1 18 Guia do Usu rio do Sentinel Camada de l gica comercial O kernel da plataforma do Sentinel 5 consiste e
213. nela de Regras de correla o Selecione uma pasta de regra Clique o bot o direito do mouse em gt Importar Pasta de Regra ou Exportar Pasta de Regra Importar Abrir um browser de arquivo v at a pasta de regra a ser importada e clique em OK Exportar Abrir um browser de arquivo v at o dispositivo de destino ao qual a pasta de regra ser gravada e clique em OK A pasta de regra ser exportada como um arquivo crf Guia do Usu rio do Sentinel Editando na janela de correla o Editando na janela de correla o 1 Abraa janela de Regras de correla o 2 Clique o bot o direito do mouse em gt Editar 3 Edite a regra e clique em Concluir Ativando ou desativando um mecanismo de correla o Ativando ou desativando um mecanismo de correla o 1 Abra a janela do Gerenciador do mecanismo de correla o 2 Realce e clique o bot o direito do mouse em um Mecanismo de correla o gt Ativar ou Desativar Mecanismo Deactivate Engine Deploy Rules New Folder Rename Delete Distribuindo as regras de correla o Distribuindo as regras de correla o 1 Abraa janela do Gerenciador do mecanismo de correla o N Gerenciador de Mecanismos de Correla o o x EK Mecanismos de Correla o 00403156 EFF7 1028 93B6 001372994C AB Descri o 2 Clique o bot o direito do mouse em qualquer pasta na janela ou realce o mecanismo para fazer com q
214. nfO serin eio ea aia a A a ea Aa eaa TaN EEA aA A 10 Roteador de Evento em execu o errar araeaaaacareanananeaea ara ranaa narra anaaeaa aten A 10 Roteador de Evento em inicializa o e rrcacenaereerenacanaenaeacnanacaaened A 11 Roteador de Evento sendo interrompido eeesessessrisesrieesiriserirsstiirssiinnetittnttnnnntinnnttnnnntinnntnnnntnn nant A 11 Roteador de Evento sendo terminado eee erareneacareracaaeaaaanaraaanaaeaanaaa A 11 Mecanismo de Gorrela o ss ossos aor aee enaena ima ira A Sana Pa a aia aaea aE Ea anaa i Sonda A 12 Mecanismo de Correla o em execu o ir rernceeaaereacaea ater cara narenanananis A 12 Mecanismo de Correla o interrompido errereena aeee careanarnanaean s A 12 Distribui o de regra iniciada ss sc erreacanaasareneeaacanenraoaenasaaaamaaacaaeareaciencantanaaaa A 12 Distribui o de regra interrompida ie reeaeeacareaanaaeaeaanareaea aaa raeaanananananana A 12 Distribui o de regra modificada e ora ens ubiera asii nra rair Sai ania A 13 Wath D fo o itn A Ge ah aa a O RR POUR AR y a a RR a E OR etea anaa INE RETO a aani A 13 Processo controlado INCIadO siiip iia iaeaea ai etaan ticia iaaiaee ia tiea Enne Eida ida aiian A 13 Processo controlado interrompido ie reeeaeaceararaaaareneacarenea aaa raaaananaaenaeana A 13 Processo Watchdog iniciado
215. nort e AttackSignature definidas como Chaves e usa a coluna Normalized AttackID no arquivo attackNormalization csv Em uma linha na qual a tag de evento DeviceName um dispositivo IDS como Snort informa es preenchidas pelo Consultor e informa es de vulnerabilidade obtidas do banco de dados do Sentinel igual ao Dispositivo e na qual a tag de evento Device AttackName informa es do ataque preenchidas pelo Consultor no banco de dados do Sentinel por meio do Servi o de Detec o de Explora o igual a AttackSignature o valor da coluna AttackId est onde a linha encontra se com a coluna Normalized AttackID Data Source C External ReservedYar28 Reservedvar29 Referenced from Map Map Name AttacksignatureNormalization 7 DeviceCategory Map Column Normalizedattackid z EventContext SourceThreatLevel Key Configuration SourceUserContext Map Key Field Event Tag DataContext Device DeviceName SourceFunckion AttackSignature DeviceAttackName Gai rra inar abinnallnnbkavk l Key Key Attackld entry AttackSignature NormalizedAttackld E baia Prone TCP 1234 3 Troja Backdoor SubSeven 3 Troj n Backdoor SubSeven 4 Syn Microsystems Solaris nwall Elevated F a Dun Microsystems Solaris rwall Elevated F Pun Microsystems Solaris nwall Elevated F E WEB veti access icrosoft Exchange Server Arbitrary Code RealSecure SMTP Exchange Verb DoS 12 Microsoft Exchange Server Arbitrar
216. nt neo Quando a janela Instant neo est ativa o seguinte bot o torna se dispon vel HA Gerenciar Colunas Guia Incidentes Quando a guia Incidentes est ativa os seguintes bot es tornam se dispon veis ja Exibir Gerenciador de Telas de Criar um Novo Incidente Incidentes a A Configurar Viewers de Anexos Ae Incidente Quando um Incidente est aberto o seguinte bot o torna se dispon vel Gerenciar Colunas de Eventos Associados El iTRAC Quando a guia iTRAC est ativa o seguinte bot o torna se dispon vel amp Exibir Gerenciador de Telas de Processos Guia An lise e Consultor Quando uma dessas guias est ativa o seguinte bot o torna se dispon vel A Criar Relat rio Navegando pelo Sentinel Control Center 2 5 Guia Coletores Quando a guia Coletores est ativa os seguintes bot es tornam se dispon veis Exibir Gerenciador de Telas do Gerenciador de Coletor Exibir Gerenciador de Telas do Coletor EB Guia Admin Quando a guia Admin est ativa o seguintes bot es tornam se dispon veis Exibir Configura o de Relat rios Exibir Regras de Correla o EEE e Mecanismos de Correla o Global Exibir Configura o de Menu Exibir Gerenciador de Filtros Exibir Gerenciador de e Exibir Configura o de Filtro T pd Exibir Gerenciador de Usu rios q Gerenciador de Telas de Ros Servidor Janela Gerenciador de Filtros Quando a janela Gerenciador de Filtros est ati
217. nte Bens mostra os bens afetados Vulnerabilidade mostra as vulnerabilidades relacionadas aos bens Consultor ataque a um bem e informa es de alerta Workflow nesta guia voc atribui um WorkFlow iTrac Hist rico hist rico do Incidente Anexos poss vel anexar qualquer documento ou arquivo de texto com informa es pertinentes a este incidente Na caixa de di logo Criar Incidente preencha o seguinte T tulo Estado Gravidade Prioridade Categoria Respons vel a conta de usu rio atribu da ao caso Descri o Resolu o 2 Clique em Gravar O incidente adicionado na guia Incidentes do Sentinel Control Center Guia Active Views 3 11 Visualizando os eventos que acionaram um evento correlacionado Voc deve clicar o bot o direito do mouse em um evento correlacionado para ver quais eventos acionaram aquele evento correlacionado Na tabela da qual voc est selecionando o evento olhe no painel de exibi o de resumo direita e procure um evento com a propriedade SensorType com um Valor de C C evento correlacionado ou W W watchlist Para visualizar os eventos que acionaram um evento correlacionado 1 Em uma tabela Tempo Real de Evento do Navegador Visual ou Instant neo ou uma Consulta de Eventos clique o bot o direito do mouse em um evento correlacionado e selecione Mostrar Eventos Acionadores Ser aberta uma janela mostrando os eventos
218. nte pois mostra quais solicita es est o na verdade tomando todo o tempo sem esperar pelas outras Informa o do arquivo de eventos O painel superior mostra as informa es de Status para cada arquivo de evento O status dos arquivos de evento quando a janela estava aberta O painel n o mostrar o status de qualquer status passado de arquivo de evento Fornece file id que o arch id na tabela de eventos nome de arquivo e estat sticas do arquivo caso esteja completo o tempo de in cio e fim de gravar em um arquivo o tempo m nimo e m ximo de eventos contidos no arquivo etc Ao real ar um arquivo do painel superior o painel inferior mostrar o status de resumo para aquele arquivo de evento O painel inferior mostra o nome do resumo o tempo inicial e final de processamento o n mero de eventos processados e se havia alguma mensagem de erro Guia Admin 9 25 Event File Status File ID File Name File Start Time File End Time Min Event Ti 102317 events 20050307 102317 2ip 15 18 39 15 48 40 15 18 35 Max E 15 48 Summary Status Start Time Events Proc Number of E Error EventDestSummary 06 22 07 p o 0 0 EventSevDestEvtSummary 106 22 07 i EventSevDestPortSummary 06 22 07 o EventSevDestTxnmySummary 06 22 07 o o EventSevSummary 06 22 07 o lo EventSrcSummary 06 22 07 15786 lo Configura es do usu rio Para usar este recurso voc deve t
219. nto de vulnerabilidades O Consultor possui uma alimenta o de alerta e ataque Al m disso cont m informa es sobre vulnerabilidades e v rus A alimenta o de ataque relaciona as explora es associadas s vulnerabilidades Estes s o os sistemas de detec o de intrus o suportados Cisco Secure IDS Enterasys Dragon Host Sensor Enterasys Dragon Network Sensor m ISS BlackICE PC Protection ISS RealSecure Desktop n ISS RealSecure Network ISS RealSecure Server Sensor ISS RealSecure Guard Snort Sourcefire Symantec ManHunt Symantec Intruder Alert McAfee IntruShield O Coletor de IDS preenche o campo DeviceAttackName rtl de um evento O Consultor usa essas informa es para gerar as informa es de ataque e vulnerabilidade Estes s o alguns exemplos de vulnerabilidades FINGER Cfinger Search Probe SMTP SmartServer3 MAIL FROM Buffer Overflow HTTP Dragon Fire IDS Web Interface Remote Execution FTP MKDIR DOS hp printer flood Para visualizar os dados do Consultor 1 wh00t backdoor n telnet FINGER execution attempt tellurian tftpdnt filename bo FTP MKD Stack Overflow Em uma tabela Tempo Real de Evento do Navegador Visual ou Instant neo clique o bot o direito do mouse em um ou mais eventos selecionados e clique em An lise gt Dados do Consultor Se o campo DeviceAttackName estiver devidamente preenchido aparecer um relat rio semelhante ao deste exemplo O relat rio a seguir
220. o 3 Mude as informa es e as permiss es do usu rio Clique em Gravar Apagando uma conta de usu rio Para usar este recurso voc deve ter a permiss o do usu rio para Apagar a conta de usu rio NOTA Quando um usu rio apagado ele n o pode ser criado novamente Por exemplo se voc criar um usu rio chamado Jo o e depois apagar o Jo o voc n o vai pode recriar um usu rio chamado Jo o Para apagar uma conta de usu rio 1 Abraa janela do Gerenciador de usu rio 2 Selecione um ID de conta do usu rio e clique o bot o direito do mouse em gt Apagar Usu rio Guia Admin 9 29 Encerrando uma sess o ativa Terminando uma sess o ativa 1 Abraa janela de Sess es de usu rio ativo 2 Realce uma sess o ativa que voc deseja encerrar 3 Clique o bot o direito do mouse em gt Eliminar Sess o 4 Voc receber uma mensagem de encerramento Feito isso voc pode informar o usu rio por que voc est eliminando a sess o Adicionando uma fun o iTRAC Para adicionar uma fun o iTRAC 1 Abraa janela do Gerenciador de fun es 2 Clique em Adicionar uma nova Fun o Ep dndda cow Roe K ou clique o bot o direito do mouse em gt Adicionar Nova Fun o Apagando uma fun o iTRAC Para apagar uma fun o iTRAC 1 Abraa janela do Gerenciador de fun es 2 Selecione uma fun o e clique o bot o direito do mouse em gt Apagar Fun o Visualizando detalhes
221. o Fechando um instant neo ou Navegador Visual Apagando um instant neo ou Navegador Visual z Adicionando eventos a um incidente see reaaarareasaaeaaanananaraanaaananenanaa 4 Guia Incidentes 4 1 Guia Incidentes Desci Ocun nne a ei E sa TES LuGa aaa dia AOL iea Relacionamento entre eventos e incidentes Visualizando um incidente o a a a a a a Adicionando uma Tela de Incidente e rec reeererererererenerenaaerereeaa aaa rerreeeeaanaarereeeeerera Campos e detalhes do Incidente Criando UM incidente r Espada cics josdit o Sieoaea don a aaa a a aa aliada asas ceia id Des Visualizando e gravando anexos ir rreeeanareneaaaaeaaaaaaraaaa care a aaa aaa ana EEEE Ennen nt Enviando um incidente por e mail Modificando um incidente Apagando um incidente isesesminosiasos naer A EA sua A TAN es OT 5 Guia iTRACTM 5 1 Gabaritos Defini o de Processo erre eerereacaeaeaananeraaaaanenaacanenanaaeaeanaaaaananeasa Template Manager Gabarilos padk o ssstss E E nara SEE Cho A E E E ALL octara pas ciees E 2 Guia do Usu rio do Sentinel Execu o de processos ia soon arado aya a a a Duna a a ds Ahmad papai ara 5 5 Criando inst ncias de um processo ietie rereerereararaaareaaaaraaeraaaanaaaeraaaaraneannaaa 5 6 Execu o de atividade autom tica rr ceee terrace aaera nara ceara caraca nara 5 6 Execu o de atividade manual rare are
222. o as informa es de bens s o coletadas e armazenadas no esquema de bens do Banco de Dados do Sentinel sendo representadas por uma Entrada de Bem F sico Os bens intang veis como servi os e aplica es s o representados por uma entrada que vinculada ao Bem F sico O mecanismo principal de atualiza o automatizada para dados de bens se d atrav s de dados de leitura do Coletor de bens de um scanner como o Nmap O Coletor de bens automatiza a recupera o das informa es de bens lendo os dados de bens do scanner e preenchendo as tabelas de esquema de bens com esses dados Para o Mapeamento de Eventos as informa es de bens s o mapeadas do IP de destino e do IP de origem Existem dois tipos de origem de dados Externa Um Coletor preenche esse valor na tag do evento Referenciado a partir de mapa Os dados s o recuperados de um mapa para preencher a tag Data Source eSecTaxonomyLevels fi C Referenced from Map Map Name Asset SourceNetworkddentiky SourceissetCategory alumn assetName v SourceEnvironmentIdentity i Key Configuration Source ssetValue SourceCriticality Map Key E Re Event Tag Sourcesensitivity Physical ssetName Na ilustra o acima a tag Source AssetName preenchida do mapa chamado Bem que tem asset csv como arquivo de origem dos dados de mapa O valor espec fico para Source AssetName retirado da coluna AssetName do mapa Bem A c
223. o Servidor de Comunica o do Sentinel para Windows 1 2 3 4 3 Clique em Iniciar gt Configura es gt Painel de Controle Clique duas vezes em Ferramentas Administrativas Clique duas vezes em Servi os Na janela Servi os realce Comunica o do Sentinel Clique o bot o direito do mouse em gt Parar ou clique em Parar na barra de ferramentas Arquivos de script do Sentinel Dependendo da configura o da sua instala o o diret rio ESEC_HOMfF sentinel scripts ou WESEC HOMEYsentineliscripts pode conter alguns ou todos os arquivos de script a seguir Arquivo de script Descri o remove sonic lock bat Este script remove o s arquivo s de bloqueio do servidor de comunica o start broker bat Estes scripts iniciam o servidor de comunica o na linha de start brokersh comando no modo de console stop broker bat Estes scripts param o servidor de comunica o na linha de stop broker sh comando no modo de console stop container bat Este script reinicie os seguintes containers stop container sh DAS Aggregation DAS RT DAS iTRAC DAS Binary S NO QUE cross isadesbadal aciaaadalicsdlaicilosiernid sentinel sh Este script p ra ou inicia o Sentinel Server Consulte Iniciando o Sentinel Server do UNIX ou Parando o Sentinel Server do UNIX Utilit rios 11 3 Removendo os arquivos de bloqueio do servidor de comunica o Caso haja um desligamento inadequado o servidor de co
224. o ambiente de desenvolvimento e depois exportar essas regras para o ambiente de produ o A extens o do arquivo para as regras exportadas de correla o crf Fun o do banco de dados ao armazenar regras de correla o Ao ativar o Mecanismo de Correla o um processo do Sentinel Server no Sentinel Control Center ela solicita as informa es e as regras de distribui o do banco de dados Ao modificar as regras de correla o e depois grav las elas s o enviadas para o banco de dados para fins de armazenamento As mudan as na regra n o se refletir o no Mecanismo de Correla o a menos que um dos seguintes itens seja realizado a regra distribu da desativada e depois ativada a regra foi recentemente distribu da Ao modificar as regras de distribui o e depois grav las elas s o enviadas para o banco de dados para armazenamento e para o Mecanismo de Correla o onde s o colocadas em uso Condi es l gicas para as regras de correla o 9 6 A seguir s o apresentadas as condi es l gicas usadas ao criar regras de correla o Para obter mais informa es sobre as metatags consulte o Guia de Refer ncia do Usu rio do Sentinel valor num rico Condi o Campo de tipo Descri o O conte do da metatag selecionada igual ao valor string string inserido l valor num rico O conte do da metatag selecionada n o igual ao valor string inserido lt
225. o banco de dados Se for encontrado um erro durante a grava o dos dados de agrega o no banco de dados o seguinte evento interno ser gerado Tag Valor Gravidade 4 Nome do evento Summary UpdateFailure Recurso Agrega o Sub recurso Resumo Mensagem Erro ao gravar lote do resumo lt nome resumo gt no banco de dados Servi o de Mapeamento Erro ao iniciar mapeamento com o ID Esse evento interno gerado do lado do cliente do servi o de mapeamento aquele que faz parte do Gerenciador de Coletor Esse erro gerado quando o Gerenciador de Coletor tenta recuperar um mapa que n o existe Isso n o deve acontecer mas poss vel caso os mapas sejam criados e apagados Tag Valor Gravidade 4 Nome do evento ErrorNoSuchMap Recurso MappingService Sub recurso ReferentialDataObjectMap Mensagem Erro ao iniciar mapa com o id lt ID gt esse mapa n o existe Atualizando mapa do cache Esse evento interno gerado do lado do cliente do servi o de mapeamento aquele que faz parte do Gerenciador de Coletor Quando o Gerenciador de Coletor recebe uma solicita o para atualizar o mapa porque este foi modificado ou teve sua defini o alterada o gerenciador envia um evento interno Desse modo seu cache ficar em dia com a atualiza o do mapa do cache Tag Valor Gravidade 1 Nome do evento LoadingMapFromCache Recurso MappingService Sub recurso Referen
226. o comando crontab Para Windows use o comando at 7 4 Guia do Usu rio do Sentinel Guia Coletores NOTA O termo Agente intercambi vel com Coletor Mais para a frente Agentes ser referido como Coletores Voc deve ter permiss o adequada para usar a guia Coletores A guia Coletores proporciona funcionalidade limitada do Assistente Para obter a funcionalidade completa do Assistente use o Construtor de Coletor A guia Coletores permite o seguinte monitorar o Host do Assistente monitorar um Coletor iniciar e parar Coletores Gerenciador de Coletor para um host selecionado V COLLECTORS BY MANAGER o xi a Taxa de Event Total de Event Tempo de Ope LJ Collectors Health E bp2k3sp1 172 30 2 202 off L C DemoEvents 0 1844s on E Noisesgent p 1 8125 SendMultipleEvents 1 9225 Pronto atualizar atualizar 7 Op es 7 Op es Atualizado Em 07 07 2006 14 33 44 Atualizado Em 07 07 2006 14 33 44 Layout O painel esquerdo na guia Coletores cont m uma rvore de telas Por padr o a raiz tem dois filhos Telas do Gerenciador de Coletor e Tela do Coletor O painel direito exibe as telas em tabelas Cada tela no painel direito tem uma entrada na rvore esquerda Quatro telas s o exibidas no painel direito Tela Coletor o Gerenciador de Telas de Coletor Telas do Gerenciador de Coletor o Gerencia
227. o iTRAC 3 Clique duas vezes em uma atividade do iTRAC Edite e clique em OK Importando exportando uma atividade As atividades s o exportadas como arquivos xml Esses arquivos podem ser importados de um sistema para o outro Exportando uma atividade 1 Clique na guia iTRAC 2 No Navegador clique em Administra o do iTRAC gt Gerenciador de Atividades 3 Clique o bot o direito em Atividades do iTRAC gt Atividade de Importa o Exporta o Selecione Exportar Atividade e clique no bot o Explorar Navegue at o local desejado e grave o arquivo exportado D um nome ao arquivo e clique em Exportar Clique em Avan ar Selecione uma ou mais atividades a serem exportadas SO pO ai OR AA Clique em Avan ar e Concluir Guia iTRACTM 5 13 5 14 Importando uma atividade 1 2 3 O M Clique na guia iTRAC No Navegador clique em Administra o do iTRAC gt Gerenciador de Atividades Clique o bot o direito em Atividades do iTRAC gt Atividade de Importa o Exporta o Selecione Importar Atividade e clique no bot o Explorar Navegue at o arquivo de importa o Clique em Importar Clique em Avan ar Clique em Avan ar e Concluir Guia do Usu rio do Sentinel Guia An lise NOTA O termo Agente intercambi vel com Coletor Mais adiante Agentes ser referido como Coletores Voc deve ter permiss o adequada para usar a guia An lise Caso essa permiss o n o seja conce
228. o incidente Estado a Abrir a Falso Positivo a Confirmado a Verificado o Atribu do n Aprovado o Investigando a Fechado Gravidade 2 Nenhuma 0 a M dia 3 2 Trivial 1 a Alta 4 o Baixa 2 n Severa 5 Prioridade a Baixa 1 n Urgente 4 2 M dia 2 a M xima 5 a Alta 3 Categoria opcional entrada de texto que pode ser usada para identificar melhor o incidente Respons vel a conta de usu rio atribu da ao caso Descri o entrada de texto Resolu o entrada de texto Detalhes do Incidente Eventos eventos associados ao incidente Bens lista de todos os bens associados ao incidente Vulnerabilidade exibe qualquer vulnerabilidade associada ao incidente Consultor exibe qualquer informa o de ataque associada ao incidente Workflow exibe qualquer workflow associado ao incidente Nessa guia voc pode atribuir 2 Nenhum a Processo de Conformidade HIPAA a Processo de Resposta a Incidentes SANS a Processo de Conformidade Sarbanes Oxley FTP a Resposta Autom tica Hist rico hist rico do incidente relaciona todas as a es executadas no incidente inclusive data hora da a o do usu rio e informa es sucintas Anexos poss vel anexar qualquer informa o pertinente arquivos de texto ou documentos ao incidente Dados Externos NOTA Quando eventos s o adicionados a um incidente os campos de bens vulnerabilidade e a guia Consultor s o preenchidos
229. obter mais informa es sobre ataques de rede host h muitos recursos dispon veis ou seja livros e a Internet que explicam tipos diferentes de ataques em detalhes Inunda o de SYN Farejamento de pacote Smurf e Fraggle Inunda o de ICMP e Nega o de servi o Ataque de dicion rio UDP Guia do Usu rio Sentinel Analista de relat rio NOTA Este cap tulo presume que seu Administrador de Seguran a configurou seu servidor da Web Crystal Enterprise e publicou uma lista de relat rios dispon veis Guia An lise A guia An lise permite a gera o de relat rios de hist ricos Os relat rios de hist rico e vulnerabilidade s o publicados em um servidor da Web Crystal os quais s o executados diretamente em rela o ao banco de dados do Sentinel Esses relat rios podem ser teis para controlar e investigar a atividade em um grande per odo de tempo por exemplo uma semana ou um m s Eles tamb m podem ser usados como m todo de relat rio de alto n vel aos seus supervisores Caso seu servidor da Web de relat rio esteja instalado olhe na barra do navegador para ver quais relat rios est o dispon veis NOTA a seguir h um exemplo do Crystal 9 Os procedimentos do Crystal 11 s o iguais com nomes de relat rio diferentes Por exemplo se voc for o respons vel pela gera o de relat rios para a alta administra o na sua organiza o poss vel que voc execute o SourceDestinationReport
230. ocessos na guia iTRAC Para obter mais informa es consulte o Cap tulo 5 Guia do iTRAC Na janela de confirma o clique em Sim Guia Incidentes 4 9 4 10 Guia do Usu rio do Sentinel Guia iTRACTM NOTA O termo Agente intercambi vel com Coletor Mais adiante Agentes ser referido como Coletores OiTRAC workflow envolve a automa o de procedimentos e a capacidade de responder a incidentes O Sentinel fornece um sistema de gerenciamento de iTRAC que oferece automa o de procedimentos de processos A estrutura de atividades do Sentinel est vinculada ao iTRAC Essa estrutura fornece as atividades que podem ser executadas automaticamente em cada etapa do processo do iTRAC Juntas as op es Gabaritos Defini o de Processo e Execu o de Processo consistem no sistema de gerenciamento de workflows Gabaritos Defini o de Processo l pes Bas 1 1 l o RSS RE E res pa Sat 1 548 Rad 8 54 gt 88 lo l HIPAA Cam phetlantcthely I A secegincidaa PAO SanDaCalhedion HIPAA EndlsizCalhetian 388 Torga L 3 i MA sanconshnda inmcntonsmer AB 7 AB Logo H VBA Data alhactad i 1 Hion SianErdkakh ia Enderstaan Es o e 1 ImiPAM Caralnmem Logo analnment H Assignuser Ta 1 t gt HIPAD Eradiation a a O gabarito o projeto que controla o fluxo de execu o no iTRAC Esse gabarito consiste na rede de atividades e seus relacionamentos crit rios de transi o entre
231. oluna Physical AsssetName definida como a chave Quando a tag SourceIP do evento corresponder a um dos valores de IP de origem na coluna Physical AsssetName do mapa a linha com a chave correspondente usada para interseccionar a coluna AssetName Por exemplo no exemplo a seguir o IP 198 168 1 100 corresponde ao AssetName Finance35 NOTA quando uma coluna definida como a chave ela n o aparecer no campo suspenso Coluna E pie CustomerlD MacAddress ey Source AssetName Progr mMgmt03 Jaien e Voc pode ter mais de uma coluna definida como chave j que voc n o quer que o mapa seja o Mapa de Intervalo os Mapas de Intervalo s podem ter uma coluna de chave com o tipo dessa coluna definido como NumberRange Por exemplo com o tipo de coluna definido como String a tag AttackId cont m as colunas DeviceName nome do dispositivo de seguran a e Device AttackName definidos como chaves e usa a coluna Normalized AttackID no mapa AttackNormalization para seu valor Em uma fila em que a tag de evento DeviceName corresponde aos dados na coluna de mapa Device e o Gerenciador de dados do Sentinel 10 17 10 18 Device AttackName corresponde aos dados na coluna de mapa AttackSignature o valor de Attackld o valor na coluna NormalizedAttackID A configura o do Mapeamento de Eventos rec m descrito o seguinte s Data Source External Referenced from Map Map Name
232. on archiveConfig dirPath lt caminho v lido de diret rio no qual gravar os arquivos armazenados gt keepDays lt n mero de dias a serem mantidos gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Estabelecendo par metros de arquivamento atrav s da Linha de Comando 1 Crie um diret rio de sa da de arquivo na raiz chamada SDM archive CASDM archive NOTA Se criar um diret rio de sa da ou local diferentes voc ter que editar o arquivo manage data bat 2 Execute este comando da seguinte forma sdm action archiveConfig dirPath lt caminho de diret rio no qual gravar os arquivos armazenados gt keepDays lt n mero de dias a serem mantidos gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt O exemplo a seguir arquiva todos os dados mais antigos do que 30 dias no diret rio cASDM archive sdm action archiveConfig dirpath c ASDM archive keepDays 30 connectFile sdm connect Estabelecendo par metros de arquivamento atrav s da interface de usu rio 1 Crie um diret rio de sa da de arquivo na raiz chamada SDM archive CASDM archive NOTA Se criar um diret rio de sa da ou local diferentes voc ter que editar o arquivo manage data bat 2 A interface de usu rio do SDM n o exige par metros de arquivamento A interface de usu rio pode arquivar diretamente os dados sem precisar estabelecer par metros de arquivamen
233. onFailed C76C0 07 07 2006 14 50 01 17230 2202 EvertinsertionFaied i crsco 07 07 2008 14 50 01 172 30 2 202 EventinsertionFailed lezeco 867 de 867 Entualizar 07 07 2006 14 50 30 Recebido 36 de36 Exibindo 36 NOTA Propriedades de Active Views a op o Refinar Tabela de Eventos n o afetar a representa o gr fica Os cinco bot es esquerda do gr fico executam as seguintes fun es B Bloquear Desbloquear o Gr fico usada para detalhar ampliar reduzir aplicar zoom para sele o e gravar um gr fico como arquivo html ee Aumentar Intervalo de Exibi o aumenta o intervalo de exibi o dos eventos recebidos e Diminuir Intervalo de Exibi o diminui o intervalo de exibi o dos eventos recebidos Aumentar Tempo de Exibi o aumenta o intervalo ao longo do eixo X Diminuir Tempo de Exibi o diminui o intervalo ao longo do eixo X Quando voc clica no bot o Bloquear os seguintes bot es adicionais tornam se dispon veis Bloquear Desbloquear o Gr fico usada para detalhar ampliar reduzir aplicar zoom para sele o e gravar um gr fico como arquivo html Ampliar amplia sem mudar as configura es de tempo do gr fico Reduzir reduz sem mudar as configura es de tempo do gr fico Zoom para Sele o amplia uma sele o de intervalos dos eventos Grava os detalhes do navegador como um arquivo html com gr ficos como i
234. or de vulnerabilidades O Consultor possui uma alimenta o de alerta e ataque Al m disso cont m informa es sobre vulnerabilidades e amea as A alimenta o de ataque uma normaliza o das assinaturas do evento e dos plug ins de vulnerabilidade Para obter informa es sobre a instala o do Consultor veja o Guia de Instala o do Sentinel Os sistemas suportados s o Sistemas de detec o de intrus o Cisco Secure IDS Enterasys Dragon Host Sensor Enterasys Dragon Network Sensor Intrusion com SecureNet Provider ISS BlackICE ISS RealSecure Desktop ISS RealSecure Network ISS RealSecure Server ISS RealSecure Guard Snort Symantec Network Security 4 0 ManHunt Symantec Intruder Alert McAfee IntruShield Verificadores de vulnerabilidades eEYE Retina Foundstone Foundscan ISS Database Scanner ISS Internet Scanner ISS System Scanner ISS Wireless Scanner Nessus nCircle IP360 Qualys QualysGuard Firewalls Cisco IOS Firewall Voc precisar de pelo menos um verificador de vulnerabilidades e um IDS ou firewall de cada categoria acima O DeviceName rv31 do IDS e Firewall deve aparecer no evento destacado em cinza como na tabela acima Al m disso o IDS e Firewall devem preencher corretamente o campo DeviceAttackName rt1 por exemplo WEB PHP Mambo uploadimage php access A alimenta o do Consultor enviada ao banco de dados e ao Servi o de Dete
235. ores Ela exibe todos os gerenciadores de Coletor ativos no sistema sem agrupamento Monitorando um Coletor 8 2 Na Janela Host de Assistente por padr o voc pode monitorar o seguinte Gerenciador da tela Gerenciador do Coletor StartTime Hor rio em que o Gerenciador do Coletor foi iniciado fornecido em mm dd aa hh mm ss e fuso hor rio UpTime Per odo em que o Gerenciador de Coletor est sendo executado fornecido em dias horas minutos e segundos EventReceivedCount N mero de eventos recebidos de todos os coletores pelo Gerenciador de Coletor desde o in cio de sua opera o EventReceivedRate M dia da taxa de evento por segundo que o Gerenciador do Coletor recebeu no ltimo minuto Gerenciador da tela Gerenciador dos coletores Status ligado ou desligado EventsReceivedRate M dia da taxa de evento por segundo que a Porta do Coletor recebeu no ltimo minuto EventsReceivedCount N mero de eventos recebidos pela Porta do Coletor desde o in cio de sua opera o UpTime Per odo em que a Porta do Coletor est sendo executada fornecido em dias horas minutos e segundos Voc pode criar suas pr prias telas e com isso obter mais ou menos campos Guia do Usu rio do Sentinel Monitorando um host do assistente Monitorando um host do assistente l 2 3 Clique na guia Coletores Clique em Gerenciador da tela Gerenciador do Coletor Selecione uma op o de tela clican
236. organizando 9 16 filtro particular adicionando aaae 9 16 apagando nessies ann aire 9 18 o 010E PEET EEA ET ta iesa dona do 9 18 detalhes seis pasa tis ai dna es 9 18 modificando ataa 9 18 filtro privado 9 14 filtro p bIICO siiis riniriiisnuriiinia ia 9 13 adicionando 9 16 apagando eae 9 18 GONE e AR e E RIR aS 9 18 d tal hesa ne e eta eee 55 9 18 modificando secrete raie 9 18 filtros globali penina 9 14 Privado EE A TT 9 14 P DliGOn inea RSRS UN 9 13 Gerenciador de Coletor iniciando UNIX 11 1 iniciando Windows eene 11 2 parando UNIX 11 1 parando Windows seeen 11 2 eiai iale o E EEEE EEE nes 8 1 reiniciando UNIX escenes 11 1 gerenciador de consultas 1 15 Gerenciador de Dados do Sentinel 10 1 adicionando parti es linha de comando scsasamasiaiaiane sao sstr tata diana boda 10 30 adicionando um arquivo de mapa aeia 10 8 10 13 adicionar parti es GUI 10 5 10 6 agrega o sa 10 22 10 23 agrega o informa es de resumo 10 24 agrega o informa es do arquivo de evento 10 25 agrega o resumo do arquivo de Svent ER PR UR RD PERO CRER DRE 10 26 apagando dados linha de comando 10 35 ndice iii apagando dados importados linha de comando i 10 38 apagando um mapa n se 10 14 ap
237. ossam ser levadas em um processo NOTA As a es realizadas com o bot o direito do mouse no Servidor de Comunica o n o s o habilitadas porque a interrup o do Servidor de Comunica o resultaria na perda do contato com todos os processos Os termos Starts e AutoRestarts no contexto da Tela do Servidor s o definidos da seguinte forma Starts O n mero de vezes que o processo foi iniciado por qualquer que seja o motivo Isso inclui as inicializa es feitas pelo usu rio atrav s da GUI ou feitas automaticamente AutoRestarts O n mero de vezes que o processo foi automaticamente reiniciado Como isso s se aplica a cen rios de reinicializa o puramente autom tica n o se aplica s reinicializa es feitas por um usu rio Este campo til para determinar se o processo foi interrompido por exemplo devido a um erro e foi automaticamente reinicializado pelo Sentinel Watchdog Monitorando um processo Monitorando um processo 1 Clique na guia Admin 2 Clique em Telas de Servidor 3 Clique duas vezes em uma tela Aparecer uma tela Guia Admin 9 11 4 Expanda a tela do servidor Aparecer o na lista todos os processos IL Processes Health E tst2 Activity_Container Communication Server 9 Correlation Engine DAS Binary O Sonic Lock Remover Workflow Server Criando uma tela de servidor Criando uma tela de servidor 1 Clique na guia Admin
238. ow P MAX Um evento enviado a cada 5 minutos aproximadamente notificando o usu rio dos eventos que est o sendo gravados na parti o de overflow P MAX Quando isso ocorre o administrador precisa usar o SDM e adicionar mais parti es Do contr rio haver uma queda no desempenho Tag Valor Gravidade 5 Nome do evento InsertIntoOverflowPartition Recurso EventSubSystem Sub recurso Eventos Mensagem Erro as parti es de overflow est o recebendo dados P_MAX adicionar mais parti es Inser o de evento bloqueada Se o DAS estiver gravando em uma parti o de overflow e o usu rio tentar adicionar parti es o SDM enviar uma solicita o para o DAS parar temporariamente de inserir eventos no banco de dados Quando isso acontece o DAS envia eventos internos cada vez que tenta inserir eventos no banco de dados Tag Valor Gravidade 4 Nome do evento EventInsertionIsBlocked Sub recurso Recurso EventSubSystem Eventos Mensagem Inser o de evento bloqueada aguardando lt n m gt segundos Inser o de evento retomada Quando a inser o de eventos retomada ap s um bloqueio o seguinte evento enviado Tag Valor Gravidade 2 Nome do evento EventInsertionResumed Recurso EventSubSystem Sub recurso Eventos Mensagem Inser o de evento retomada ap s bloqueio Eventos de sistema do Sentinel5 A 5 E
239. pe I and e SensorType P 3 PUBLIC ALL Ifilter 1 1 PUBLIC Scan Events fiter e DeviceCategory SCAN PUBLIC Severe Internal fiter e SensorType l and eSeverity 3 PUBLIC Internal Events fiter e SensorType l r Gerenciar Configura o de Filtro Adicionar Gonar Epagar Detalhes Selecionar Filtros particulares Os filtros Privados s o de propriedade do usu rio Os filtros particulares s o filtros de exibi o e poder o ser compartilhados se voc tiver a permiss o Ver Filtros Particulares Filtros globais Os filtros globais s o classificados como Filtros P blicos Os filtros globais s o processados no Gerenciador do coletor seq encialmente para cada evento at que seja encontrada uma correspond ncia A avalia o do filtro global interrompida para esse evento e a a o do filtro global que corresponde assumida para aquele evento A ordem da avalia o dos filtros globais de cima para baixo como aparece no Console Eles podem ser ativados ou desativados conforme necess rio Os filtros globais fazem o seguinte Habilitam uma a o global nos eventos como eventos de queda eventos de roteamento apenas ao banco de dados ou eventos de roteamento ao banco de dados e ao Sentinel Control Center S o processados pelo Gerenciador de coletor do Assistente S o configurados na guia Admin na op o Configura o de filtro global na qual podem ser ativados e desat
240. permite a transpar ncia das localiza es Comunica o com objetos remotos os detalhes da comunica o entre os objetos remotos s o processados pelo barramento de mensagens da iSCALE Transmiss o e empacotamento de objetos quando grandes volumes de dados precisam transitar do cliente para o servidor e vice versa esses objetos s o otimizados para carregar os dados sob demanda Callbacks outro padr o e camada de abstra o incorporados no Servi o Remoto que permite a comunica o de objetos remotos PTP Estat sticas e monitoramento de servi o fornece estat sticas sobre desempenho e carga para uso desses servi os remotos Servi o de Acesso a Dados O DAS Data Access Service Servi o de Acesso a Dados um servi o de gerenciamento de objetos com o qual os usu rios podem definir objetos usando metadados O DAS gerencia o objeto e o acesso aos objetos e automatiza a transmiss o e a persist ncia Al m disso o DAS atua como uma fachada de acesso a dados a partir de qualquer armazenamento de dados persistente como bancos de dados servi os de diret rios ou arquivos As opera es do DAS incluem acesso uniforme aos dados por meio de JDBC e como alternativa estrat gias de inser o de eventos de alto desempenho usando conectores nativos ou seja OCI para Oracle 9i e ADO para Microsoft SQL Server Introdu o ao Sentinel 1 19 Servi o de Gerenciador de Consultas O Servi o de Gerenciador de Consultas o
241. plicativo usa Gerenciador de dados do Sentinel 10 27 Executando saveConnection Execute o comando como segue sdm action saveConnection server lt oracle mssql gt host lt hostIp hostName gt port lt portnum gt database lt databaseName SID gt driverProps lt propertiesFile gt user lt dbUser gt password lt dbPass gt winAuth connectFile lt filenameToSaveConnection gt O exemplo a seguir gravar as conex es de um host com um endere o IP 172 16 0 36 na porta 1521 padr o para Oracle no SQL Server o padr o 1433 Exemplo do Oracle sdm action saveConnection server oracle host 172 16 0 36 pore 1521 databas sec user esecdba password XXXXXX connectFile sdm connect Exemplo do SQL Server sdm action saveConnection server mssql host 172 16 0 36 port 1433 databas sec user esecdba password XXXXXX connectFile sdm connect O exemplo a seguir gravar as conex es de um host com um endere o IP 172 16 0 36 porta 1433 com nome do banco de dados do esec_51 para autentica o Windows Exemplo do SQL Server Autentica o do Windows sdm action saveConnection server mssql host 172 16 1 3 port 1433 database esec_51 winAuth o connectFile ESEC_HOME sdm sdm connect Isso gravar os detalhes de conex o no arquivo sdm connect Todos os outros comandos pegar o este nome de arquivo como entrada para se conectar ao banco de d
242. pode ser editado ap s a instala o Este o local do arquivo Para Windows o 5 ES EC HOM ESNsentineliconfig Para UNIX 9 ES EC HOM E sentinel config Para obter mais informa es consulte o cap tulo 11 Utilit rios Configurando e mails do Sentinel Para enviar uma mensagem de evento por e mail 1 Em uma tabela Tempo Real de Evento do Navegador Visual ou Instant neo selecione um evento ou grupo de eventos clique o bot o direito do mouse e selecione E mail Guia Active Views 3 9 3 10 2 3 Email Events i xj Selected Events 10 Message 87FF1066 2EF8 1026 FRWL Res udp drop detected FR B7FEE73A 2EF8 1026 FRWL Res udp drop detected FR 87D83324 2EF8 1026 FRWL Res tcp drop detected FR S87DSADDE ZEF8 1026 FRWL Res udp drop detected FR B7AE7B24 2EF8 1026 FRWL Res tcp drop detected FR RTBFGARA ZFFR ANZA FR Res udn dran detected FR Email Composition Email Address x Email Subject Email Message Preencha os seguintes campos Endere o de E mail Assunto do E mail Mensagem de E mail Clique em OK Para enviar uma mensagem de incidente por e mail l Depois de gravar o incidente clique na guia Incidentes Incidentes gt Exibir Gerenciador de Telas de Incidentes Clique duas vezes em Todos os Incidentes Clique duas vezes em um Incidente Clique no bot
243. poderia ser uma string Gerenciador de dados do Sentinel 10 9 10 10 Column Definition Delimiters O C Pi s 23 Comma Pipe Tab CNE 2 Intervalo de N mero um intervalo de n mero NumberRange uma faixa de n meros Por exemplo 10 a 200 seria representado como 10 200 Para usar a funcionalidade de mapa de intervalo a defini o de mapa deve ter exatamente uma coluna de chave e esta deve ser do tipo NumberRange Se houver quaisquer outras colunas de chave ou a coluna for de um tipo diferente o servi o de mapeamento n o considerar o mapa um mapa de intervalo Colunas ativas quando uma coluna marcada como ativa os dados na coluna ser o distribu dos para os processos que usam mapas Todas as colunas de chave devem estar ativas Apenas as colunas que n o de chave e que est o ativas podem ser selecionadas como a Coluna de mapa na guia Eventos Colunas de chave Uma chave um identificador exclusivo para a linha de dados no mapa Se mais de uma coluna for selecionada como chave a chave geral do mapa incluir todas as colunas selecionadas como chaves Filtragem de coluna Uma linha pode ser explicitamente inclu da ou exclu da com base nos crit rios de correspond ncia para uma coluna em particular Pode se usar isso para apagar as linhas dos dados de origem de mapa que n o s o necess rios ou v o acabar interferindo no seu mapeamento medida que voc configurar cada ajuste e cada filtro a ta
244. poss vel invasor tentou uma telnet poss vel configurar um filtro para pesquisar este invasor em particular Por exemplo voc sabe o seguinte IP de origem 189 168 10 22 Nome do evento Attempted telnet IP de Destino 189 168 10 23 Tipo de sensor H Detec o de Intrus o Severidade 5 de Host Inicializa o R pida 12 3 12 4 Para realizar uma consulta de evento 1 Clique em Consulta de Eventos cone de lente de aumento e clique na seta para baixo do campo Filtro Clique em Adicionar e insira o nome de um filtro de telnet SIP 189 168 10 22 No campo embaixo do filtro insira SourcelP 189 168 10 22 Severidade 5 EventName Attempted telnet SensorType H Corresponder se selecione e DestinationIP 189 168 10 23 Clique em Gravar Realce seu filtro e clique em Selecionar Insira seu per odo de tempo de interesse e clique em Pesquisar cone de lente de aumento Os resultados da sua consulta se parecer o com o seguinte Filter Severity E From From O To To Batch size PUBLIC telnet SIP 189 168 10 22 vY ms 09 22 01 5305 a 37 01 z fr Do 7 gt x DestinationlP DateTime EventName amp 2005 05 03 09 25 24 EDT 189 168 10 23 Attempted_telnet o amp 2005 05 03 09 25 22 EDT 189 168 10 22 189 168 10 23 l ttempted_telnet 0 amp 2005 05 03 09 25 20 EDT 189 168 10 2
245. que acionaram a regra e o nome da Regra de Correla o N Eventos Correlactonados para 9FBfFEZC 4630 1026 8E0F OBOOZ0A D x ID do Evento Regra de comela o Tamento da iota fersirezc 4630 1026 8E0F 080020AD8484 quick ore teador fioo x Q x IP de Destino Password expired 206 158 21 6 192 168 10 1 Investigando um ou mais eventos Essa fun o permite Exibir graficamente os campos de origem IP porta evento tipo de sensor nome de Coletor etc mapeados a campos de destino IP porta evento tipo de sensor nome de Coletor etc de eventos selecionados Executar uma Consulta de Eventos referentes ltima hora de um nico evento para NOTA Voc n o pode executar uma consulta sobre um campo nulo vazio a Endere os IP de Destino 5 Endere os IP de Origem a Nome do evento Segue uma ilustra o dos endere os IP de origem e de destino 3 12 Guia do Usu rio do Sentinel Joly Aplicar Layout LAEE Pia M jaz Ol Q ig Je a 172 17 11 138 172 14 11 225 17X17 13 7 172 16 2 107 Investigar Mapeador de Gr ficos Para criar um mapa de gr ficos 1 No Tempo Real de um Evento do Navegador Visual ou Instant neo clique o bot o direito do mouse em um ou mais eventos e clique em Investigar gt Visual gt Mostrar Gr fico Guia Active ViewsTM 3 13 o A Rd 202 152 90 99 ept pl Show Details i ept A Emai 168 12 24 ept 168 12 24 ept 2 Create Incident ETEF
246. que em Apply NOTA Clicar em Aplicar grava as altera es que voc fez na coluna de eventos atualmente selecionada em um buffer tempor rio Se voc n o clicar em Aplicar ao selecionar uma coluna de evento diferente as altera es que voc fez na coluna de evento previamente selecionada ser o perdidas As altera es n o ser o gravadas no servidor at voc clicar em Gravar 8 Se voc quiser editar o Mapeamento de evento de outra Coluna de eventos repita as etapas descritas Lembre se de clicar em Aplicar depois de editar o Mapeamento de evento de cada coluna de eventos 9 Clique em Gravar NOTA Clicar em Gravar gravar suas altera es no servidor A fun o de grava o grava todas as altera es armazenadas no buffer tempor rio quando voc clicar em Aplicar Renomeando as tags 10 20 A guia Eventos tamb m permite atribuir nomes aos r tulos existentes da tag de evento Por exemplo voc pode renomear o r tulo da tag de evento Ct2 para City O resultado disso ser a tag de evento que formalmente aparecia no Sentinel Control Center como Ct2 aparece agora como City Entre os lugares em que as tags de evento aparecem no Sentinel Control Center est o os filtros as regras de correla o e Active Views Guia do Usu rio do Sentinel No entanto a altera o de nome das tags n o altera o nome da vari vel nos scripts do Coletor Assim mesmo que a tag de evento chamada Ct2 seja renomeada co
247. ques afetam seus bens O Advisor tamb m cont m informa es detalhadas sobre as vulnerabilidades que os ataques pretendem explorar os poss veis efeitos dos ataques caso obtenham xito e as etapas necess rias para resolu o As etapas de resolu o recomendadas s o aplicadas e monitoradas pelos processos de resposta a incidentes do iTRAC Sa de Com o servi o Sa de os usu rios obt m uma visualiza o abrangente da plataforma distribu da do Sentinel 5 Esse servi o agrega as informa es de sa de de v rios processos que normalmente s o distribu dos em v rios servidores As informa es sobre sa de s o exibidas periodicamente no Sentinel Control Center para o usu rio final Administra o O recurso Administra o oferece os recursos de gerenciamento de usu rios e defini o da configura o normalmente necess rios aos administradores do Sentinel 5 Servi os comuns Todos os componentes descritos acima na camada de l gica comercial da arquitetura s o orientados por um conjunto de servi os comuns Esses servi os utilit rios ajudam a refinar a filtragem por meio do Mecanismo de Filtro dos eventos para usu rios a efetuar o monitoramento cont nuo das estat sticas da sa de do sistema por meio do Monitor de Sa de e a obter atualiza es din micas dos dados no mbito do sistema com o Servi o de Mapas Juntos esses utilit rios estruturam os servi os levemente integrados que permitem o processamen
248. r Relat rio ou clique em Criar Relat rio Q Uma janela Consulta de Evento ser aberta Defina o seguinte espa o de tempo filtro n vel de severidade tamanho do lote este o n mero de eventos a ver eventos exibidos dos mais antigos para os mais recentes Clique em Atualizar Consulta Para ver o pr ximo lote de eventos clique em Mais Reorganize as colunas arrastando as e soltando as e organize a ordem de classifica o clicando no cabe alho da coluna Quando sua consulta estiver completa ela ser adicionada lista de consultas r pidas do navegador Guia do Usu rio do Sentinel Executando um relat rio de eventos correlacionados Para criar um relat rio de eventos correlacionados 1 2 3 4 Clique na guia An lise No Navegador de An lise abra a pasta Relat rios de Hist rico Clique em Eventos Correlacionados Clique em An lise gt Criar Relat rio ou clique em Criar Relat rio Q Uma janela Relat rio de Eventos Correlacionados ser aberta Event Id Correlation rule Batch size h 00 7 Q x Severity EventName SourcelP DestinationiP No campo ID de Correla o digite N mero de ID do evento ou CorrelatedEventUUID NOTA CorrelatedEventUUID s fica dispon vel em uma tabela de eventos em tempo real Para ver o pr ximo lote de eventos clique em Mais Guia An lise 6 3 6 4 Guia do Usu rio do Sentinel Guia Consultor
249. r de Coletor for reiniciado outro evento ser enviado quando estiver pronto Esse evento n o ser enviado at o roteador carregar com xito todos os filtros globais e informa es de mapas Tag Valor Gravidade 1 Nome do evento EventRouterIsRunning Recurso AgentManager Sub recurso EventRouter Mensagem Roteador de evento concluiu sua inicializa o no modo lt modo gt A 10 Guia do Usu rio do Sentinel Roteador de Evento em inicializa o Esse evento enviado quando um evento est em inicializa o O roteador de evento come a a inicializa o assim que estabelece uma conex o com o backend Consulta DAS Tag Valor Gravidade 1 Nome do evento EventRouterInitializing Recurso AgentManager Sub recurso EventRouter Mensagem Roteador de evento em inicializa o no modo lt modo gt Roteador de Evento sendo interrompido Esse evento enviado quando o roteador de evento recebe uma solicita o de interrup o durante o encerramento Tag Valor Gravidade 2 Nome do evento EventRouterStopping Recurso AgentManager Sub recurso EventRouter Mensagem Roteador de evento em interrup o Roteador de Evento sendo terminado Esse evento enviado quando o roteador de evento recebe uma solicita o de interrup o durante o encerramento Tag Valor Gravidade 2 Nome do evento EventRouterTerminating Recurso Ag
250. r exibi las na tabela Tempo Real do Evento A ordem de cima para baixo em que os t tulos das colunas aparecem na caixa de di logo Gerenciar Colunas determina a ordem da esquerda para a direita em que as colunas ser o exibidas na tabela Tempo Real do Evento Na caixa de di logo Gerenciar Colunas clique em OK Se voc quiser manter as colunas nessa ordem na pr xima vez em que abrir o Sentinel Control Center clique em Arquivo gt Gravar Prefer ncias ou clique no bot o Gravar Prefer ncias do Usu rio bd Tirando um instant neo de uma janela Navegador Visual Para executar esta fun o voc deve ter a permiss o de usu rio Instant neo Esse recurso til para analisar eventos de seu interesse pois o Navegador Visual atualizado automaticamente e o alerta que voc procura pode sair da tela Al m disso um instant neo pode ser classificado por colunas Para tirar um instant neo de uma tabela Tempo Real de Evento k Com um janela Navegador Visual aberta clique em Tela Ativa gt Tempo Real do Evento gt Instant neo ou clique no bot o Tabela de Tempo Real de Eventos de Instant neos l Uma janela de Instant neo aberta e adicionada lista de pastas de instant neos nas Telas de Eventos no Navegador A exibi o gr fica n o far parte do instant neo Classificando colunas em um instant neo Para classificar colunas em um instant neo L Clique em qualquer cabe alho de coluna para classific
251. r ou ocultar a janela do Navegador 1 Clique em Op es gt Mostrar Navegador ativar ou desativar Ancorando ou flutuando a janela do Navegador Para ancorar ou flutuar a janela do Navegador 1 Clique em Op es gt Ancorar Navegador para ativar ou desativar Colocando as janelas em cascata Para colocar as janelas em cascata 1 Clique em Janelas gt Colocar Tudo em Cascata Todas as janelas abertas no painel direito ser o colocadas em cascata Navegando pelo Sentinel Control Center 2 7 Colocando as janelas lado a lado Para colocar as janelas lado a lado 1 Clique em Janelas gt Colocar Tudo Lado a Lado 2 Aponte para Lado a Lado com o Melhor Ajuste Lado a Lado Vertical Lado a Lado Horizontal Minimizando e restaurando todas as janelas Para minimizar todas as janelas 1 Clique em Janelas gt Minimizar Tudo Todas as janelas abertas no painel direito ser o minimizadas Para restaurar todas as janelas ao tamanho original Para restaurar todas as janelas ao tamanho original 1 Clique em Janelas gt Restaurar Tudo Todas as janelas abertas no painel direito ser o restauradas ao tamanho original Para restaurar uma janela individual Para restaurar uma janela individual 1 Clique na janela minimizada A janela ser restaurada ao tamanho original Fechando todas as janelas abertas de uma vez Para fechar todas as janelas 1 Clique em Janelas gt Fechar Tudo Gravando prefer ncias do u
252. rabalho 5 6 Os itens de trabalho s o apresentados ao usu rio por meio da lista de trabalho que cont m detalhes de todos os itens de trabalho alocados a esse usu rio Essa uma lista de tarefas para o usu rio E 9 Work Items 0 4 Work tems EH HPAA 0 EH AssignUser 041 Lo I gport scan 5 port scan Guia do Usu rio do Sentinel A lista de trabalho pode ser exibida a partir de qualquer guia na interface de usu rio do Sentinel Os itens de trabalho s o agrupados por processos e atividades aos quais pertencem O negrito indica os itens de trabalho que ainda n o foram aceitos pelo usu rio A lista de trabalho permite que os usu rios interajam com itens espec ficos O usu rio pode clicar duas vezes ou clicar o bot o direito do mouse em Detalhes para ver os detalhes do item de trabalho Os usu rios podem clicar o bot o direito do mouse e aceitar itens de trabalho ainda n o aceitos Os usu rios podem clicar o bot o direito do mouse e ver os detalhes do incidente associado Orig E Work tems HE HIPAA 2 2 EH Acceptincident 2 2 LF NID AttackiD 3 mH Res Accept D etails Display Associated Incident Item de trabalho Um item de trabalho consiste na tarefa a ser executada pelo usu rio com rela o atividade manual que ele est executando em um processo do iTRAC O controle e o progresso do item de trabalho ficam a cargo do usu rio
253. ravado pelo saveConnection gt Gerenciador de dados do Sentinel 10 35 O exemplo a seguir lista todos os arquivos que cont m dados entre as datas 09 25 2003 00 00 00 meia noite de 25 de setembro e 09 26 2003 00 00 00 meia noite de 26 de setembro que foram arquivados mais cedo e podem ser importados de volta Exemplo do Oracle sdm action filesToImport startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFil sdm connect Exemplo do SQL Server sdm action filesToImport startDate 09 25 2003 00 00 00 endDate 09 26 2003 00 00 00 connectFil sdm connect O exemplo a seguir lista todos os arquivos que cont m dados entre as datas 09 25 2003 16 00 00 4 da tarde de 25 de setembro e 09 26 2003 18 00 00 6 da tarde de 26 de setembro que foram arquivados mais cedo e podem ser importados de volta Exemplo do Oracle sdm action filesToImport startDate 09 25 2003 16 00 00 endDate 09 26 2003 18 00 00 connectFil sdm connect Exemplo do SQL Server sdm action filesToImport startDate 09 25 2003 16 00 00 endDate 09 26 2003 18 00 00 connectFile sdm connect Importando dados 10 36 Esta a o importData importa dados entre as datas determinadas nas seguintes tabelas suportadas Oracle 2 HIST EVENTS HIST CORRELATED EVENTS SQL Server HIST EVENTS 2 HIST CORRELATED EVENTS Caso os dados j tenham sido importados ou nenhum dado arquivado for encontrado en
254. ro de usu rios que podem acessar as regras de correla o Quando mais de um usu rio estiver editando a mesma regra a ltima pessoa a gravar sobrescrever todas as grava es anteriores Esta se o discute o seguinte Pastas de regras e regras Tipos de regras de Correla o Distribui o de regras do Mecanismo de Correla o Importando e exportando as regras de correla o Fun o do banco de dados ao armazenar regras de correla o Condi es l gicas NOTA voc n o pode correlacionar em um valor nulo vazio Pastas de regras e regras Veja a seguir a defini o do relacionamento entre Pastas de Regra e Regras As pastas de regras e as regras s o exibidas de forma hier rquica na janela regras de correla o Uma pasta de regra pode conter zero ou mais regras O n mero de pastas de regras e regras s limitado pelo espa o em disco dispon vel armazenamento Clicar duas vezes em uma pasta de regra exibe o Editor de Regra para aquele tipo de regra de correla o extens o m xima do nome das pastas de regras de 255 caracteres para o caminho da pastas e o nome da regras de 255 caracteres As descri es das pasta de regras e da regra podem ser de at 1024 caracteres Tipos de Regra de Correla o H quatro tipos de regra de correla o que voc pode escolher ao definir as regras S o eles Lista de Avisos Correla o B sica Guia Admin 9 3
255. rquestra as solicita es de hist rico de eventos e detalhamento do Sentinel Control Center Esse servi o um componente integral para implementa o do algoritmo de pagina o usado no recurso de pesquisa do Hist rico de Eventos Ele converte os filtros definidos pelo usu rio em crit rios v lidos aos quais anexa crit rios de seguran a antes da recupera o dos eventos Esse servi o tamb m assegura que os crit rios n o ser o modificados durante uma transa o de hist rico de evento paginado Servi o de Correla o O algoritmo de correla o do Sentinel 5 computa os eventos correlacionados analisando o fluxo de dados em tempo real Esse servi o publica os eventos correlacionados com base nas regras definidas pelo usu rio antes que os eventos cheguem ao banco de dados As regras no mecanismo de correla o conseguem detectar um padr o em um evento nico de uma janela em execu o de eventos Quando uma correspond ncia detectada o mecanismo de correla o gera um evento correlacionado descrevendo o padr o encontrado e pode criar um incidente ou acionar um workflow de resolu o por meio do iTRAC O mecanismo de correla o funciona com um componente verificador de regras que computa as express es das regras de correla o e valida a sintaxe dos filtros Al m de proporcionar um conjunto abrangente de regras de correla o o mecanismo de correla o do Sentinel oferece vantagens espec ficas em rela o aos mecani
256. rquivos de bloqueio do servidor de comunica o ssssssserrressseerrrrrnsserrrrnrene 11 4 Iniciando o Servidor de Comunica o no modo de console errar 11 4 Parando o Servidor de Comunica o no modo de console rear 11 5 Reiniciando os containers do Sentinel eee ecerereacaneeaeaaareneananeraaaaanenenanasa 11 5 Informa es sobre Vers o s s seia pnra eaae aea E aE aa na aa a ua ad a dia 11 6 Informa es de vers o do Sentinel Server rereceee acer cereanaraaanrans 11 6 Informa es sobre vers o do arquivo dll e exe do Sentinel 11 7 Informa es sobre vers o do jar do Sentinel erre ceraaerenarnaerans 11 7 Configurando o e mail do Sentinel erre rareaaereaaaraaaeaa aaa ana aanananaanaaa 11 8 Atualizando sua chave de licen a rea creraeacareneaaaaeana ana raaaa nara aaaaeaaareranaa 11 10 12 Inicializa o r pida 12 1 Analistas de seguran a Guia Active Views Detec o de EXpIORA Os 2 2 2 rtr raeo pae airaa aa REA ANa Sra PERENTA rE EEEE TE EAA ETE 12 2 BEY locke cH 01 10 EAER EEE TE T E A TET 12 3 Cons lta de EventOS neiere a a eea O AGO LJ O ea Ea Aeaee rai ee aE 12 3 Analista defelat riO ss eia aa a E a a a a a E R a 12 5 G i amp Analise s ona aa aa E e E e r a E N N 12 5 Consulta de Eventos isr e audros sse canssa dredi ea paasei a Ts anaE ga Eae Pia EEN aaa EEE REEERE RA TaN aE Ea 12 6 Administradores aioir
257. rtGui tableName lt nome de uma das tabelas mencionadas gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Para visualizar os Resumos da Parti o 1 Execute este comando da seguinte forma sdm action viewPartitions tableName lt nome de tabela gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt No exemplo a seguir aparece a lista de parti es da tabela EVENTOS e o status de cada parti o Exemplo do Oracle sdm action viewPartitions tableName EVENTS connectFile sdm connect Exemplo do SQL Server sdm action viewPartitions tableName EVENTS connectFile sdm connect Gerenciamento de arquivo Configura o do arquivo 10 32 Esta a o archiveConfig usada para configurar o arquivamento Esta configura o determina como os dados s o arquivados a partir das tabelas do Sentinel Esta a o usa os seguintes indicadores action archiveConfig dirPath lt caminho v lido de diret rio no qual gravar os arquivos armazenados gt keepDays lt n mero de dias a serem mantidos gt fileSize Apenas Oracle lt tamanho m ximo de cada arquivo armazenado Especifique KB MB ou GB gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt No Oracle o caminho de diret rio dirPath deve ser especificado como par metro UTL FILE DIR no arquivo init ora de acordo com as exig ncias do Orac
258. rvidor Eventos de dispositi Buffer de Reordena o vos de seguran a exemplo IDS Firewalls LA S O Banco Roteadores de dados Servidores Web Bancos de dados Switches Assistente Mainframe Filtro Global Antivirus Buffer de Reordena o Dispositivos Oooo de Seguran a Sentinel Server Mecanismo de Correla o Relat rios Ea 1 Por padr o o Hor rio do Evento definido como o hor rio do Assistente O hor rio ideal seria o hor rio do dispositivo O ideal definir o Hor rio do Evento como o 3 Buffer de Reordena o de Correla o se o Hor rio do Evento estiver atrasado em mais de 30 segundos Hor rio do Dispositivo se esse dado em rela o ao hor rio do Servidor estiver disponivel for exato e tive sido o mecanismo de correla o n o adequadamente analisado pelo Coletor processar os eventos 1 Por padr o o Hor rio do Evento definido como o hor rio do Assistente O hor rio ideal seria o hor rio do dispositivo Portanto conv m definir o Hor rio do Evento como o Hor rio do Dispositivo se este dado estiver dispon vel for exato e tiver sido adequadamente analisado pelo Coletor 2 Um buffer de tempo configur vel que reordena os eventos e atualiza as exibi es em tempo real O tempo padr o 30 segundos antes e depois do hor rio do servidor 3 Buffer de reordena o de correla o se o hor rio do evento estiver atrasado em mais
259. s H 10 fontes principais de Pares de IP de Destino nos nomes de hosts portas IPs e usu rios Para executar esse relat rio fa a o seguinte Executando um relat rio Crystal 1 Expanda os 10 Primeiros e realce as 10 Primeiras Fontes para Resumo de Pares de IP de Destino e clique no bot o Criar Relat rios lente de aumento 2 Insira esecrpt para autentica o SQL e Oracle como nome de usu rio ou seu nome de usu rio de Autentica o do Windows e insira sua senha 3 Em Tipo de Relat rio selecione Relat rio Semanal selecione Intervalo de Data Espec fico se desejar um intervalo de data espec fico NOTA Outros relat rios podem ter par metros adicionais como nome de recurso e intervalo de severidade 4 Clique em Ver Relat rio Top 10 Source to Destination IP Pairs Weekly Report Description This report summarizes the Top 10 Pairs of Source IP Addresses and Destination IP Addresses for the last full week from all sensors i e event sources monitored by e Security Agents Source IP Destination IP Number of Occurences 206 158 21 6 189 168 10 22 4174 206 158 23 8 192 168 11 23 2 880 208 152 25 22 190 168 12 21 1 154 10 0 20 5 192 168 0 1 1 152 10 0 20 7 192 168 0 4 579 10 0 20 4 192 168 0 7 577 207 25 71 204 207 25 71 204 576 199 168 10 25 199 168 11 22 576 199 168 10 22 199 168 10 22 576 190 168 12 21 190 168 12 21 576 Inicializa o R pida 12 5 5 Voc pode exportar este arquivo como Word PDF
260. s permiss es de usu rio s o amplamente detalhadas consulte o Manual de refer ncia do Usu rio Sentinel Permiss es de usu rio para obter informa es NOTA A senha do usu rio esecrpt deve ser trocada diretamente no banco de dados O Enterprise Manager pode ser usado para se fazer isso Para criar uma conta de usu rio 1 Abraa janela do Gerenciador de usu rio 2 Clique no bot o Adicionar novo Usu rio gp ER ou realce qualquer usu rio e clique o bot o direito do mouse em gt Adicionar Usu rio Guia Admin 9 27 9 28 Nome First Name Last Name Filter esecadm EE zy ALL user5 Firewall_Events Clonar Usu rio Apagar Usu rio Detalhes do Usu rio Bloquear Usu rio Desbloquear Usu rio Em Autoriza o insira Nome do usu rio Senha Confirmar senha Filtro de seguran a Para selecionar um filtro clique na seta para baixo Abre a janela de Sele o de filtro Realce um filtro ou clique em Adicionar para criar um filtro para esta conta de usu rio NOTA Depois de atribuir um filtro de seguran a para um usu rio voc n o pode apagar esse filtro Clique em Selecionar NOTA Como melhor pr tica altamente recomend vel uma extens o m nima de senha de oito caracteres que incluam alfanum ricos Opcional Em Detalhes insira Nome Sobrenome Departamento Telefone E mail Clique na guia Permiss es e atribua permiss es de us
261. s voc n o deve usar esse script em vez disso use as instru es contidas em Iniciando o Sentinel Server do UNIX ou em Iniciando o Sentinel Server para Windows Iniciando o servidor de comunica o Windows NOTA Ao iniciar este script no Windows ele n o ter a indica o como iniciado na janela de Servi os e s ser executado se a janela de Prompt de Comando continuar aberta 1 Usando o Windows Explorer v para SESEC HOMES sentineliscripts 2 Clique duas vezes em atrav s do Windows Explorar ou execute o seguinte arquivo start lbroker bat Guia do Usu rio do Sentinel Iniciando o Servidor de Comunica o UNIX 1 Fa a login como usu rio esecadm 2 Use o comando cd para mudar o diret rio SESEC HOME sentinel scripts 3 Digite start broker sh Parando o Servidor de Comunica o no modo de console Estes scripts param o servidor de comunica o na linha de comando no modo de console Tais arquivos s o teis para depurar o servidor de comunica o sem for lo a parar o resto do Sentinel Server Em opera es normais voc n o deve usar esses scripts em vez disso use as instru es contidas em Parando o Sentinel Server do UNIX ou Parando o Sentinel Server para Windows Parando o Servidor de Comunica o Windows 1 Usando o Windows Explorer v para SESEC HOMES sentineliscripts 2 Clique duas vezes em atrav
262. s To Incident 3 2006 04 17 13 51 25 EDT SourcelP 10 0 20 5 Selected Incident Browse Ok Cancel Guia Active Views 3 25 3 Clique em Procurar para relacionar os incidentes dispon veis NOTA Voc pode definir crit rios para melhorar a busca de um ou mais incidentes espec ficos 4 Clique em Pesquisar para ver uma lista de incidentes Select Data DateCreated Priority Criticality Ra Severity Rat Medium 04 17 2006 None 0 0 0 0 04 17 2006 None 0 0 0 0 rShow items that match these criteria cAdd criteria from below to this list gt Remove Define more criteria Relations None Tas Field Condition value None x None add to List 5 Realce um incidente e clique em Adicionar 6 Clique em OK Os eventos selecionados ser o adicionados ao incidente no Navegador de Incidentes NOTA Se os eventos n o forem exibidos inicialmente em um Incidente rec m criado a causa prov vel uma lacuna entre o momento da exibi o na janela Eventos em Tempo Real e o instante da inser o no banco de dados Se isso ocorrer aguarde alguns minutos para que os eventos originais sejam finalmente inseridos no banco de dados e exibidos no incidente 3 26 Guia do Usu rio do Sentinel Guia Incidentes NOTA O termo Agente intercambi vel com Coletor Mais adiante Agent
263. s atual Para ver as tabelas na interface do usu rio 1 Clique na guia Tabelas Guia do Usu rio do Sentinel amp Sentinel Database Manager S iol x Arquivo Wer Banco de Dados Sobre Parti es Mapeamento Eventos Relatando Dados z Uso de tabelas do banco de dados Tabelas Nome Total Usado Livre Uso B Loc 100M 7M gm l7 E esento 10000M OM 9999M A 0 E Esento2 500M aM 498M Wow E ESENTX 4000m om 3999M NO 0 E EsenTx2 500M oM saM os E priMaRY 200M 7M 193M 3 E sent ADVIS 200M om sam fox E sent aDVIS 100M om gm i0 E sent sMrYD 2000M OM 1999M E 0 E sent sMRyX 1000M OM go los LEGENDA Espa o livre Atualizar Espa o usado E ps Conectado a esec A tabela Utiliza o da Tabela exibe o espa o total alocado para cada tabela quanta mem ria foi usada por cada tabela e quanta mem ria ainda est dispon vel livre para cada tabela Os gr ficos de barra codificados por cor ajudam a ver o espa o total alocado para cada tabela e a percentagem usada de cada tabela NOTA No MS SQL n o existem tabelas s o usados grupos de arquivos Guia Mapeamento NOTA Para usar a guia Mapeamento seu arquivo configuration xml deve estar apontando para um Servidor de Comunica o que tamb m tem o DAS Binary e o DAS Query conectados a ele Em geral acontecer isso por padr o desde que o Servidor de Comunica o e os processos DAS estejam em execu o A guia Mapeam
264. s informa es isen es de responsabilidade e restri es consulte http net snmp sourceforge net The OpenSSL Project Copyright O 1998 2004 the Open SSL Project Para obter mais informa es isen es de responsabilidade e restri es consulte http www openssl org Oracle Help for Java Copyright O 1994 2006 Oracle Corporation RoboHELP Office Copyright O Adobe Systems Incorporated antiga Macromedia Skin Look and Feel SkinLF Copyright O 2000 2006 L2FProd com Licenciado sob a Licen a de Software do Apache Para obter mais informa es isen es de responsabilidade e restri es consulte https skinlf devjava net Sonic Software Corporation Copyright O 2003 2004 O software SSC cont m software de seguran a licenciado pela RSA Security Inc Tinyxml Para obter mais informa es isen es de responsabilidade e restri es consulte http grinninglizard com tinyxmidocs index html Security Nexus Copyright O 2003 a 2006 SecurityNexus LLC Todos os direitos reservados Xalan e Xerces licenciados pela Apache Software Foundation Copyright O 1999 2004 Para obter mais informa es isen es de responsabilidade e restri es consulte http xml apache org dist LICENSE txt yWorks Copyright O 2003 a 2006 yWorks NOTA A partir da publica o desta documenta o os links acima se tornaram ativos Caso voc descubra que quaisquer dos links acima foram desfeitos ou que as p ginas da Web vinc
265. secadm o x File Options Windows Active Views Incidents TRAC analysis Advisor Collectors Admin Help ajoje o te Bla aja EB active views incidents lt P irrac dll Analysis 2 Acvisor 2 Colectors E aamin Sever Destintionp 6 25 06 7 50 27 AM 190 168 12 21 190 168 12 21 Program execution started 6 25 06 7 50 27 AM 208 152 25 22 190 168 12 24 ibm director portscan dos 6 25 06 7 50 27 AM 208 152 25 22 190 168 12 21 ibm director portscan dos 6 25 06 7 50 27 AM 206 158 21 6 189 168 10 22 Successtul_login guest 6 25 06 7 50 27 AM 1207 25 71 204 207 25 71 204 Security policy changed 6 25 06 7 50 27 AM 206 158 23 8 207 25 71 203 Failed login guest Update 6 25 06 7 50 30 AM Received 39 of 39 Displaying 39 Filter PUBLIC High Severity Attribute Severity Event Count per Second 15 Minute 30 Second Intervals 7 49 30 AM 7 50 00 AM 0 5 w N g ES LA Event Count per Secon o 7 36 30 AM 7 38 00 AM 7 39 30 AM 7 41 00 AM 7 42 30 AM 7 44 00 AM 7 45 30 AM 7 47 00 AM 7 48 30 AM Shift drag mouse to resize Time Ctrl drag segmentto explode Interval Values Top Values Vulnerability af 6 25 06 7 35 07 AM 10 0 2077 lis21680 4 WEB PHP phpbb quick repty 6 25 06 7 35 07 AM 10 0 20 5 192 168 0 4 TELNET bsd telnet exploit re 66 25 06 7 35 07 AM 10 0 2010 9216804 WEB PHP Mambo uploadima 6 25 06 7 35 07 AM 10 0 20 5 192 168 0 1
266. segundos atraso de envio Essa condi o representada por uma linha cinza na tabela de eventos 3 2005 06 21 06 34 38 EDT Threshold e 2005 06 21 06 34 38 EDT 206 158 21 6 192 168 10 1 Password_ex O 2005 06 21 06 34 28 EDT 190 168 12 21 190 168 12 21 Program exe Quando ocorrem mais de 750 eventos a cada 30 segundos uma linha de separa o vermelha aparece indicando que h eventos al m dos exibidos 3 2005 06 21 07 07 00 EDT 172 16 112 50 172 16 0 65 unsuccessfu 005 06 21 07 07 00 EDT 172 16 112 50 172 16 0 65 suspicious fil 3 2005 06 21 07 06 58 EDT 172 16 112 50 172 16 0 65 successful a a Quando as prefer ncias do usu rio s o gravadas a tabela continua a coletar dados por at 4 dias Por exemplo se voc gravar as prefer ncias efetuar logout e voltar a efetuar login no dia seguinte sua Tela Ativa exibir todos os dados como se voc n o tivesse efetuado logout a Se uma Tela Ativa for criada e n o gravada ela continuar a coletar dados por at uma hora Nesse per odo de uma hora se uma Tela Ativa id ntica for criada exibir os dados referentes ltima hora Instant neo telas com marca o de hor rio de uma tabela de Telas de Eventos em Tempo Real As caracter sticas a seguir tornam uma Tela Ativa exclusiva Um filtro atribu do a uma Tela Ativa Oatributo Eixo Z O filtro de seguran a atribu do a um usu rio A Guia Active V
267. seriauiimacaciese ianocadicada sind inato 9 22 op o de menu Configura o de Menu FE UNA INO 0 ARETE E EEA ES IE A E 9 22 desativando ieeeeeeeees 9 22 op o de tela INCIdENTe ns ssa ses perdesse 4 4 op o de visualiza o afeifo 1a LU OD REPARRRR O RR APR PR a 4 2 op o do menu configura o do menu USANDO ssa iiin enne riero iii 3 22 Opera es do HP OpenView 3 22 par metros para uma op o de menu configura o do menu AUE IPAE lao o PAREPA E EE 9 21 parando a camada de comunica o 11 5 partitionConfig 10 28 10 29 vi Guia de Instala o do Sentinel pasta de regra criando scree n fada ed 9 7 pasta de regra de correla o exportando ss sen adiei iieiea 9 8 pastas de regras 9 3 posi o da guia Sentinel Control Center 2 7 pr tica recomendada adicionar parti es eeen 10 40 arquivar dados 10 40 prefer ncias gravando iinne ienet a Ranin 2 9 processo iniciando iiias aaiae tarak ikii 5 11 terminando isman a poros a dis 5 11 PROCESSOS drenan e eaa eean rene Aa a ET atada 1 12 DAS crea a S 1 14 data _sSynchronizer eeen 1 14 gerenciador de consultas 1 15 mecanismo de correla o 1 14 verificador de RuleLg 1 14 Watchdog iiei RO ai 1 13 regra Chandon a sala sato 9 7 9 8
268. smos de correla o centrados no banco de dados Uma vez que depende do processamento na mem ria em vez de inser es e leituras do banco de dados o mecanismo de correla o funciona tanto em volumes altos e constantes quanto em picos de eventos sob ataques circunst ncias em que o desempenho da correla o mais cr tico Como o volume de correla o n o diminui a velocidade de outros componentes do sistema a interface do usu rio permanece responsiva especialmente com altos volumes de eventos Correla o distribu da as organiza es podem distribuir v rios mecanismos de correla o cada qual em seu pr prio servidor sem precisar replicar configura es ou adicionar bancos de dados A expans o independente de componentes proporciona escalabilidade e desempenho com excelente rela o custo benef cio O mecanismo de correla o pode adicionar eventos ao incidente ap s a determina o deste Os usu rios s o incentivados a utilizar uma m trica chamada ERPS Event Rules per Second Regras de Eventos por Segundo A ERPS corresponde ao n mero de eventos que podem ser examinados por uma regra de correla o por segundo Essa medida um bom indicador de desempenho pois prev o impacto sobre este quando dois fatores se cruzam eventos por segundo e o n mero de regras em uso Servi o de Workflow iTRAC 1 20 O Servi o de Workflow recebe acionadores na cria o do incidente e inicia os processos d
269. spa o do banco de dados atingiu limite de tempo especificado Quando a inser o de eventos retomada ap s um bloqueio o seguinte evento enviado Tag Valor Gravidade 0 Nome do evento DbSpaceReachedTimeThrshld Recurso Banco de Dados Sub recurso Banco de Dados Mensagem Tabela lt string gt tem lt n m gt MB restante s e aumenta em lt n m gt bytes por segundo ficar sem espa o dispon vel no limite de tempo especificado lt n m gt segundos Espa o do banco de dados atingiu limite de porcentagem especificado Quando a inser o de eventos retomada ap s um bloqueio o seguinte evento enviado Tag Valor Gravidade 0 Nome do evento DbSpaceReachedPercentThrshld Recurso Banco de Dados Sub recurso Banco de Dados Mensagem No momento o tamanho da tabela lt string gt de lt n m gt MB com um m x de lt n m gt MB e alcan ou o limite de porcentagem de lt n m gt Espa o do banco de dados muito baixo Quando a inser o de eventos retomada ap s um bloqueio o seguinte evento enviado Tag Valor Gravidade 5 Nome do evento DbSpaceVeryLow Recurso Banco de Dados Sub recurso Banco de Dados Mensagem No momento o tamanho da tabela lt string gt de lt n m gt MB e alcan ou o limite f sico de lt n m gt MB A 6 Guia do Usu rio do Sentinel Agrega o Erro ao inserir dados de resumo n
270. ssa op o resulta no backup do arquivo atual de origem de dados do mapa que est sendo colocado na pasta ESEC HOMEYGlsentinelbinimap data Windows ou SESEC HOME sentinel bin map data UNIX O prefixo do nome do arquivo de backup da origem de dados do mapa ser o nome do arquivo atual O final do nome de arquivo conter um conjunto de n meros aleat rios com o sufixo bak Por exemplo ataques vulnel0197 bak 6 Clique em OK 7 Os dados do novo arquivo de origem dos dados do mapa ser o atualizados no servidor substituindo o conte do do arquivo atual Depois que os dados de origem forem completamente enviados os dados de mapa ser o gerados novamente e distribu dos para os clientes de mapa por exemplo Gerenciador de Coletor Guia Eventos NOTA Para usar a guia Eventos seu arquivo configuration xml deve estar apontando para um Servidor de Comunica o que tamb m tem o DAS Binary e o DAS Query conectados a ele Em geral acontecer isso por padr o desde que seu Servidor de Comunica o e os processos DAS estejam em execu o Mapeamento de evento 10 16 O mapeamento de evento um mecanismo que permite adicionar dados a um evento usando os dados que j est o no evento refer ncia e buscar os dados de uma origem externa A origem de dados externa um mapa definido com a guia Mapeamento Os dados j no evento que deve ser usado como refer ncia no mapa e nos dados que est o sendo buscados do mapa para o
271. stes s o os cinco bot es no mbito do sistema Ver Ajuda do Sentinel Mostrar Ocultar Janela de n Navega o Colocar Lado a Lado Todas Colocar em Cascata Todas as Janelas as Janelas de Exibi o de Exibi o a Usu rio A Gravar Prefer ncias do Guia Active ViewsTM Quando a guia ActiveViews M est ativa os seguintes bot es tornam se dispon veis E Active Views A Iniciar Consulta de Eventos Janela Contagem de Evento sobre Tempo Quando uma janela Contagem de Evento sobre Tempo est ativa os seguintes bot es tornam se dispon veis Instant neo de uma Tabela FE Gerenciar Colunas da Tabela de a de Contagem de Evento w Contagem de Evento sobre Tempo sobre Tempo Gr fico de Contagens de Eventos sobre Tempo Quando o gr fico Contagens de Eventos sobre Tempo est ativo os seguintes bot es tornam se dispon veis no respectivo gr fico Bloquear Desbloquear o Gr fico Aumentar Intervalo de Exibi o Diminuir Intervalo de Exibi o Aumentar Tempo de Exibi o Diminuir Tempo de Exibi o 2 4 Guia do Usu rio do Sentinel Quando voc clica no bot o Bloquear os seguintes bot es tornam se dispon veis Bloquear Desbloquear o Gr fico Aumentar Intervalo de Exibi o Diminuir Intervalo de Exibi o Aumentar Tempo de Exibi o Diminuir Tempo de Exibi o Ampliar Reduzir Detalhar para Eventos Gravar como Arquivo hml Janela Insta
272. su rio Voc deve ter a permiss o de usu rio Gravar Area de Trabalho Estas s o as prefer ncias que podem ser gravadas Janelas permanentes as que podem ser recriadas porque n o dependem dos dados que estavam dispon veis no momento de sua cria o original Por exemplo as exibi es de Resumo e Active Views podem ser gravadas No entanto n o poss vel gravar janelas tempor rias como instant neos e consultas r pidas Todas as janelas relacionadas no Navegador do Admin podem ser gravadas mas nenhuma das janelas secund rias que voc abrir clicando duas vezes em uma sele o de uma dessas janelas ser gravada Posi es das janelas Tamanhos das janelas inclusiva da janela do aplicativo Posi es das guias Navegador ancorado ou flutuante e exibido ou oculto 2 8 Guia do Usu rio do Sentinel Para gravar suas prefer ncias 1 Clique em Arquivo gt Gravar Prefer ncias ou clique no bot o Gravar Prefer ncias ta Mudando a senha do Sentinel Control Center NOTA Para obedecer s r gidas configura es de seguran a exigidas pela Certifica o de Crit rios Comuns a Novell exige uma senha forte com as seguintes caracter sticas 1 Escolha senhas com no m nimo 8 caracteres que incluam ao menos um d gito em MAI USCULA um em min scula um s mbolo especial amp _ e um d gito num rico 0 9 2 senha n o pode conter o nome usado no e mail nem partes do nome completo 3
273. t rio do Sentinel Usu rio relator senha como usu rio administrador Usu rio de BD do aplicativo Sentinel Nome de usu rio do aplicativo Sentinel para conex o com o banco de dados Abrindo a janela do Gerenciador de usu rio Para abrir a janela do Gerenciador do Usu rio 1 Clique na guia Admin 2 Clique em Admin gt Configura o do usu rio Criando uma conta de usu rio NOTA Para obedecer s r gidas configura es de seguran a exigidas pela Certifica o de Crit rios Comuns o Sentinel exige uma senha forte com as seguintes caracter sticas 1 Escolha senhas com no m nimo 8 caracteres que incluam ao menos um d gito em MAI USCULA um em min scula um s mbolo especial amp _ e um d gito num rico 0 9 2 A senha n o pode conter o nome usado no e mail nem partes do nome completo 3 A senha n o deve ser uma palavra comum por exemplo n o deve ser uma palavra registrada em dicion rio nem g ria de uso comum 4 A senha n o deve conter palavras de idioma algum pois existem v rios programas de invas o de senha capazes de verificar milh es de possibilidades de combina es de palavras em segundos 5 Escolha uma senha de que possa se lembrar mas que seja complexa Por exemplo Mft5 AIdade meu filho tem 5 anos de idade OU EmnCh5 a eu moro na Calif rnia h 5 anos Para usar este recurso voc deve ter a permiss o do usu rio para Criar conta de usu rio A
274. tados Online os dados na parti o online est o dispon veis para acesso Atual online uma parti o online na qual est o sendo atualmente inseridas as linhas Arquivado online parti o cujos dados est o arquivados mas os dados ainda est o acess veis devido a uma das seguintes raz es parti o ainda n o eliminada a parti o foi importada de volta Offline os dados em uma parti o offline n o est o dispon veis para acesso porque a parti o foi eliminada e n o foi importada Arquivado offline parti o que foi arquivada e eliminada Para gerenciar parti es I 2 3 Clique na guia Parti es Selecione a tabela na lista suspensa Selecione a guia na parte inferior da janela que se relaciona opera o que voc gostaria de realizar Adicionar Apagar Arquivar Importar ou Liberar Para adicionar parti es 1 2 3 Selecione a guia Adicionar parti es Especifique o n mero de parti es a serem adicionadas e o n mero de dias para os quais se devem adicionar as parti es Pressione Adicionar Para apagar parti es 2 3 Selecione a guia Apagar parti es Especifique o n mero de dias pelos quais as parti es mais antigas ser o apagadas Pressione Apagar Para arquivar parti es NOTA As tabelas de agrega o n o s o arquivadas Selecione a guia Arquivar parti es Especifique o n mero de dias durante os quais as parti es mais ant
275. tas atuais de exclus o de exporta o dos Estados Unidos ou para qualquer pa s embargado ou com hist rico de terrorismo como especificam as leis de exporta o norte americanas Voc concorda em n o utilizar os produtos finais em atividades proibidas relacionadas a m sseis equipamentos nucleares e armas qu mico biol gicas Consulte o site www novell com info exports para obter mais informa es sobre a exporta o do software da Novell A Novell n o assumir qualquer responsabilidade se voc n o obtiver as aprova es necess rias para exporta o Copyright O 1999 2006 Novell Inc Todos os direitos reservados Nenhuma parte desta publica o pode ser reproduzida fotocopiada armazenada em um sistema de recupera o ou transmitida sem o consentimento por escrito da Novell A Novell Inc possui os direitos de propriedade intelectual com rela o tecnologia utilizada no produto descrito neste documento Em particular e sem limita o esses direitos de propriedade intelectual podem incluir uma ou mais patentes americanas listadas em http www novell com company legal patents e uma ou mais patentes adicionais ou pedidos de patentes pendentes nos EUA e em outros pa ses Novell Inc 404 Wyman Street Suite 500 Waltham MA 02451 EUA http Avww novell com Documenta o Online Para acessar a documenta o online deste produto e de outros produtos da Novell e obter atualiza es visite www novell com documentat
276. tervalo ou seja m n Isso significa que um intervalo de 10 200 somente encontrar n meros iguais a 10 at 199 Um conjunto de exemplo de dados com a primeira coluna como chave 1 2 AA 2 4 AA 4 12 BB 10 20 BB 30 31 BB 100 200 AA 1140 120 The First 500 rows are shown Column 1 Column 2 Range alue Type MNumberRange String Key edi LJ Active cdi Led Roy 0 aa Row 1 4 20 EB Row 2 30 31 EB Row 3 100 110 AA Row 4 110 120 EE Row 5 120 200 AA 10 20 BB 100 110 AA 30 31 BB 110 120 CC 100 200 AA 120 200 AA 110 120 CC Gerenciador de dados do Sentinel 10 11 10 12 Um exemplo de configura o de evento no mapa acima talvez se pare a com o seguinte Customervar82 poata Source Customer Yar83 External Customervar84 Customertar8s Referenced from Map CustomerVar86 MapsiRangema F ustomervara Map Name af Maps RangeMap v Map Column value z Key Configuration Customer Yar97 Onde se espera que Customer Var97 contenha um valor num rico ou seja de um tipo que possa ser convertido em um valor num rico como IP ou Data Ao realizar pesquisas no mapa de intervalo de exemplo o valor em Customer Var97 pegar o mapa de intervalo e pesquisar o intervalo ao qual o valor pertence se houver Eis alguns exemplos e seus resultados CustomerVar9 1 CustomerVar
277. teterencias da Novell s mannana n a L a NTA 1 25 Entrando em contato com a Novell a a a U a a sua ai dad add 1 25 2 Navegando pelo Sentinel Control Center 2 1 Iniciando o Sentinel Control Ce ET a a NUET 2 2 Iniciando o Sentinel Control Center no Windows eeeeeeeeeererenererererenererenenereaaanananaa 2 2 Iniciando o Sentinel Control Center no UNIX eeeeeeeee ee eeeeee ee eeeerereeeeeaeenena 2 2 BarradeimentS rs Sai DA ERA A a EE T dae AAA los S Sos ida dd ana Sinta AO NS rafa SR E Ra S E 2 2 Ment ArU Oceno e ao 27 pega SE ana UU van E essas a nao d deals lapis ia iu 2 2 Menu OP ES ustasa eean useaa orrae Eea O AE menta EA resets ci IRES aneb eE dra AEA aa Saes 2 2 Menu Janelas status o vonin dia Siena aid a Sa do Da CU adia ada A OU dead cr Tired asda de ra 2 3 ACIIVE VIEWS Mesa EEEE TE EAE TAT EE OCA S ce ond ist aos an cad Del RL A ninar Dai 2 3 INGIdENTes 2a setor tas TE A E 6 aaa ba masa ano e E SMA oo Paco E OND a an Aa ES 2 3 TRAC Ms a dssa serras o Doar SE Tan N cada a ai DORM ESC AEE pu EE E E 2 3 ANAlISE s2s2s sas spas do ae Sano ves E abc 6 goi Rb US DDR 5 a Ol CT UA Dus EA RT aa fan 2 3 CONSUL asus PE EEEE T Bio EE EA qo ends data nado Gaga E A PE press asda seussaadE age assado 2 3 EO E EEE EA AA EE RE for ma E or oba TO o A OSS tra oi CLARA hu mafia 2 3 Fio pa a EE A E E EEEE E E DANE SUAS OR DRC CRE ER ERRA SABE ARA 2 3 AJUDA ss E E E E EE cod Goi SA Des lia para caio SEDE atada Sob col A ET 2 3 Barra de
278. tialDataObjectMap Mensagem Carregando do cache v lt vers o gt do mapa lt Nome_mapa gt ID lt id gt Eventos de sistema do Sentinel5 A 7 Atualizando mapa do servidor Esse evento interno gerado do lado do cliente do servi o de mapeamento aquele que faz parte do Gerenciador de Coletor Quando o Gerenciador de Coletor recebe uma solicita o para atualizar o mapa porque este foi modificado ou teve sua defini o alterada o gerenciador envia um evento interno Isso significa que o mapa n o est no cache ou que a vers o no cache n o est atualizada e o Gerenciador de Coletor est recuperando o mapa do servidor Tag Valor Gravidade 1 Nome do evento RefreshingMapFromServer Recurso MappingService Sub recurso ReferentialDataObjectMap Mensagem Atualizando com base no mapa do servidor lt nome gt com id lt ID gt Tempo esgotado na atualiza o do mapa Esse evento interno gerado do lado do cliente do servi o de mapeamento aquele que faz parte do Gerenciador de Coletor Quando o Gerenciador de Coletor recebe uma solicita o para atualizar o mapa porque este foi modificado ou teve sua defini o alterada o gerenciador envia um evento interno Isso significa que o Gerenciador de Coletor tentou recuperar o mapa do servidor e como este n o reconheceu a solicita o o tempo esgotou se Esse erro considerado transit rio e o Gerenciador de Coletor tentar novamente
279. tinel Conectores e Coletores Um conector um concentrador ou adaptador multiplexado que conecta o Mecanismo do Coletor aos dispositivos efetivamente monitorados Os Coletores atuam no n vel do componente como um agregador de dados do evento a partir de uma origem espec fica O Sentinel 5 suporta basicamente conex es remotas sem T Coletores s origens Entretanto os Coletores podem ser distribu dos em dispositivos espec ficos nos quais uma abordagem remota menos eficiente Os Coletores s o controlados a partir do Sentinel Control Center que orquestra a comunica o entre os Coletores e a plataforma do Sentinel para an lises em tempo real computa o de correla o e resposta a incidentes Gerenciador e Mecanismo de Coletores O Gerenciador de Coletor gerencia os Coletores monitora as mensagens de status do sistema e executa a filtragem de eventos conforme necess rio As principais fun es do Gerenciador de Coletor incluem transformar eventos adicionar relev ncia comercial aos eventos por meio de taxonomia executar filtragem global dos eventos rotear eventos e enviar mensagens sobre a sa de do sistema ao Sentinel Server Um Mecanismo de Coletores o componente de interpreta o que analisa o c digo dos Coletores Construtor de Coletor O Construtor de Coletor um aplicativo independente utilizado para construir configurar e depurar Coletores Esse aplicativo funciona como um IDE Integrated Development
280. ting the Event Attribute to use on the Z Axis of the chart the filter to apply and whether or not to display events Event Attribute Z Axis severity a cFilter z Display Events Yes v Finish Depois de fazer a sele o clique em Avan ar ou Concluir Se voc clicar em Concluir ser o escolhidos os seguintes valores padr o Taxa de Atualiza o e Exibi o de 30 segundos Tempo de exibi o de 15 minutos Eixo Y como Total do Evento Tipo de gr fico 2D de barra empilhada Se voc clicar em Avan ar clique nas setas para baixo para selecionar Taxa de Atualiza o e Exibi o n mero de segundos para atualiza o da taxa de eventos Tempo de Exibi o tempo de exibi o do gr fico Eixo Y Total de Eventos ou Total de Eventos por Segundo Clique em Avan ar Selecione o tipo de gr fico Clique em Avan ar Tipo de gr fico 3D em barras 2D de barra empilhada linhas ou faixas Al m da sele o do filtro poss vel refinar ainda mais a tabela de eventos Voc tem as condi es de op es a seguir Nenhum gt maior do que ou igual a exatamente cont m n o n o cont m menor do que vazio lt menor do que ou igual a n o est vazio gt maior do que Guia do Usu rio do Sentinel Depois que voc criar os crit rios clique no bot o Adicionar Lista Clique em Concluir
281. to Apagar dados eliminar parti es Esta a o deleteData apaga os dados mais antigos do que os dias de conserva o do nome de tabela dado Ela apaga dados de EVENTS CORRELATED EVENTS EVT DEST EVT NAME SMRY 1 EVT DEST SMRY 1 EVT DEST TXNMY SMRY 1 EVT PORT SMRY 1 EVT SEV SMRY 1 EVT SRC SMRY 1 Gerenciador de dados do Sentinel 10 41 Esta a o n o elimina nenhuma parti o que n o est arquivada Se desejar apagar as parti es n o arquivadas o indicador opcional forceDelete precisa ser especificado com um valor de verdadeiro Caso se use forceDelete falso ou n o elimina apenas as parti es mais antigas do que keepDays e as que est o especificado arquivadas verdadeiro elimina todas as parti es mais antigas do que keepDays incluindo as parti es n o arquivadas Este comando usa os seguintes indicadores action deleteData keepDays lt n mero de dias a serem mantidos gt forceDelete lt verdadeiro ou falso gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Executando deleteData 1 Execute este comando da seguinte forma sdm action deleteData keepDays lt n mero de dias a serem mantidos gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt O exemplo a seguir elimina as parti es das tabelas que s o mais antigas do que 30 dias garantindo que todas as parti es eliminadas s o arquiva
282. to e a expans o inigual veis do ve culo baseado em barramento de mensagens para an lises e computa o em tempo real Camada de apresenta o A camada de apresenta o proporciona a interface entre o aplicativo e o usu rio final O Sentinel Command Center um painel abrangente que apresenta informa es ao usu rio Introdu o ao Sentinel 1 23 M dulos do produto Sentinel Control Center O Sentinel Control Center consiste em um robusto painel de gerenciamento de seguran a integrado Exibi es intuitivas permitem que os analistas identifiquem rapidamente as novas tend ncias ou ataques manipulem e interajam com informa es gr ficas em tempo real e respondam a incidentes Os principais recursos incluem Active Views an lises e visualiza es em tempo real Incidentes cria o e gerenciamento de incidentes An lise defini o e gerenciamento de regras de correla o iTRACCc gerenciamento de processos de documenta o garantia de uso e monitoramento dos processos de resolu o de incidentes Relat rios m tricas e relat rios de hist rico Sentinel Wizard O Sentinel Wizard coleta dados dos dispositivos de origem e distribui um fluxo de eventos enriquecido ao aplicar a taxonomia detec o de explora o e relev ncia comercial no fluxo de dados antes de correlacionar analisar e enviar os eventos para o banco de dados Um fluxo de eventos enriquecido significa que os dados
283. tre as datas especificadas ele devolve uma mensagem O aplicativo importa cada arquivo para uma tabela e constr i a visualiza o de hist rico de todas as tabelas correspondentes A visualiza o de relat rio se junta tabela original e visualiza o de hist rico Todos os relat rios usam a visualiza o de relat rio e portanto ver o todos os dados importados Este comando usa os seguintes indicadores action importData startDate lt mm dd aaaa hh24 mi ss gt endDate lt mm dd aaaa hh24 mi ss gt dirPath diret rio do qual importar arquivos gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt Guia do Usu rio do Sentinel NOTA hh24 s o as horas representadas no formato 24 horas Por exemplo 1 15 00 p m 13h15min00 e 3 00 00 a m 03h00min00 Executando importData 1 Coloque todos os arquivos que voc deseja importar em um diret rio espec fico ou seja dirPath lt diret rio do qual importar arquivos gt 2 Execute este comando da seguinte forma sdm action importData dirPath lt diret rio do qual importar arquivos gt startDate lt mm dd aaaa hh24 mi ss gt endDate lt mm dd aaaa hh24 mi ss gt connectFile lt caminho para o nome de arquivo gravado por saveConnection gt O exemplo a seguir importa todos os arquivos arquivados do diret rio tmp contendo os dados entre as datas 09 25 2003 00 00 00 meia noite de 25 de setembro e 09 26 2
284. u rio Clique na guia Fun es e selecione a fun o para o usu rio Clique em OK NOTA a Oracle n o permite a cria o de usu rios que tenham o mesmo nome das palavras reservadas da Oracle Al m disso o Sentinel n o permite que voc use esses nomes Guia do Usu rio do Sentinel Modificando uma conta de usu rio Para usar este recurso voc deve ter a permiss o do usu rio para Modificar uma conta de usu rio atual NOTA A senha do usu rio esecrpt deve ser trocada diretamente no banco de dados O Enterprise Manager pode ser usado para se fazer isso Para modificar uma conta de usu rio 1 Abraa janela do Gerenciador de usu rio 2 Clique duas vezes em uma conta de usu rio ou clique o bot o direito do mouse em gt Detalhes do usu rio 3 Modifique a conta Clique em OK Visualizando detalhes de uma conta de usu rio Para usar este recurso voc deve ter a permiss o do usu rio para Usar visualizar a conta de usu rio Para visualizar os detalhes da conta de usu rio 1 Abraa janela do Gerenciador de usu rio 2 Clique duas vezes em uma conta de usu rio ou clique o bot o direito do mouse em gt Detalhes do usu rio 3 Reveja os detalhes da conta do usu rio e feche a janela Clonando uma conta de usu rio Para clonar uma conta de usu rio Abra a janela do Gerenciador de usu rio 2 Selecione um ID de conta de usu rio e clique o bot o direito do mouse em gt Clonar Usu ri
285. ue a regra seja distribu da de l gt Distribuir regras 3 Coloque uma marca de verifica o pr ximo s regras que voc deseja distribuir Clique em OK Guia Admin 9 9 Deploy Rules x Correlation Rules q Correlation Rules q e security Provided Rules EM Eq security M e Application I C SANS Microsoft D AA SANS Unix EH V A General 7 QB Butterovertiowt M QB Denial of service M QB virus Outbreak Detecter M QB worm Outbreak Detecte M QB Troian Horse Dete ed Para iniciar sua regra voc deve mover a regra para um mecanismo de correla o 9 Correlation Engines D 446741BA 4613 1027 4151 000DS6C732D7 CriticalvVulnerable Svr Attacks Patches Not Up To Date NOTA as regras s o distribu das habilitadas No mecanismo de correla o realce sua regra e clique o bot o direito em gt Habilitar Regra 9 Correlation Engines 445741B4 4613 1027 4151 000D56C732D7 CriticalvVulnerable Svr attacks Patches Not Up To Date Telas de Servidor As Telas de Servidor permitem fazer o seguinte 9 10 Monitorar o status de todos os processos do Sentinel Server no sistema a Servidor de Comunica o o Mecanismo de Correla o a DAS_Binary o DAS iTrac a DAS_Query n DAS RT a Gerenciador de Consultas a Verificador de RuleLg a Sonic Lock Remover Guia do Usu rio do Sentinel NOTA No Windows o Servidor de Comunica o executado como
286. uinte E Work tems Orig OM HIPAA 2 2 EH Acceptincident 2 2 e J MID AttacklD Dest port 22a Details x Display Associated Incident Res Display Associated Incident Aceitar quando o processo est em uma etapa Aceitar Ou ent o voc pode ativar a janela de detalhes e clicar no bot o Aceitar Atualizando as vari veis do item de trabalho 5 8 O servidor do iTRAC usa itens de trabalho para obter informa es dos usu rios na forma de vari veis de itens de trabalho para determinar a pr xima atividade em um processo O usu rio pode acessar as vari veis somente depois de aceitar o item de trabalho OiTRAC suporta vari veis apenas leitura e vari veis atualiz veis As vari veis apenas leitura podem ser usadas para informar ao usu rio o status de uma atividade o id de um incidente etc As vari veis atualiz veis s o usadas para aceitar entradas dos usu rios Atualmente o iTRAC oferece dois tipos de vari veis atualiz veis Lista de usu rios e Lista de booleanos ss r variable HI Misc 1 variables userName fesecadm x Id DataObjectT ti k performCont DataObjectT Guia do Usu rio do Sentinel Atualizando vari veis 1 Clique duas vezes ou clique o bot o direito do mouse no item de trabalho para ver a caixa de di logo de detalhes 2 O modo de edi o aceita som
287. uivos de eventos que precisam ser executados de forma que o resumo esteja completo Guia do Usu rio do Sentinel A seguir h todos os resumos j definidos no sistema Ele lista o nome do resumo o nome da tabela no banco de dados e seus atributos em uma breve descri o sobre o resumo Nome do Resumo Tabela descri o EventSrceSummary EventDestSummary EVT SRC SMRY 1 Este resumo soma a contagem de eventos por IP de origem informa es de bens de origem porta de origem usu rio de origem taxonomia nome evento recurso Coletor severidade e tempo do evento EVT DEST SMRY 1 Este resumo soma a contagem de eventos por IP de destino informa es de bens de destino porta de destino usu rio de destino taxonomia nome evento recurso Coletor severidade e tempo do evento por hora EventSevDestTxnmy Summary EventSevDestEvtSummary EVT DEST TXNMY SMRY 1 Este resumo soma a contagem de eventos por IP de destino informa es de bens de destino taxonomia EVT DEST EVT N AME SMRY 1 Este resumo soma a contagem de eventos por IP de destino bens de evento de destino taxonomia nome do evento severidade e tempo do evento por hora EventSevDestPortSummary EventSevSummary EVT PORT SMRY 1 Este resumo soma a contagem de eventos por porta de EVT SEVSMRYIL O T Este resumo soma a contagem de eventos por taxonomia e tempo do evento por hora Desabilitando habilitando o Resumo 1 Clique
288. uladas est o inativas contate a Novell Inc no endere o 404 Wyman Street Suite 500 Waltham MA 02451 EUA Pref cio A documenta o t cnica do Sentinel consiste no guia de refer ncia e opera o para finalidade geral Essa documenta o destinada aos profissionais de seguran a da informa o O texto foi desenvolvido para ser usado como fonte de refer ncia sobre o Sistema de Gerenciamento de Seguran a Empresarial do Sentinel A documenta o adicional est dispon vel no portal da Novell na Web A documenta o t cnica do Sentinel est dividida em cinco volumes S o eles Volume I Guia de Instala o do Sentinel 5 Volume II Guia do Usu rio do SentineliM 5 Volume II Guia do Usu rio do Assistente do SentinelTM 5 Volume IV Guia de Refer ncia do Usu rio do SentinelTM 5 Volume V Integra o de Terceiros do Sentinel M 5 Volume Guia de Instala o do Sentinel Este guia explica como instalar Sentinel Server Construtor de Coletor Assistente Console do Sentinel Gerenciador de Coletor do Assistente Mecanismo de Correla o do Sentinel Consultor Crystal Reports do Sentinel Volume II Guia do Usu rio do Sentinel Este guia aborda o seguinte Opera o do Console do Sentinel Configura o de Eventos para Recursos do Sentinel Relev ncia Comercial Arquitetura do Sentinel Servi o de Mapeamento Comunica o do Sentinel Gera o de relat
289. um Servi o do Windows e portanto n o pode ser monitorado pelas Telas de Servidor Para monitorar o Servidor de Comunica o no Windows use o Windows Service Manager O processo do Sonic Lock Remover habilitado apenas no Windows Quando um processo n o for habilitado em um servidor particular a sua coluna Habilitado ser definida como 0 e sua coluna Estado ser mostrada como NOT INITIALIZED W ALL GROUP BY SERVER HOSTNAME E oj xi e O E W Processes Health i a E deski E Communication Server D E Do NOT INITIALIZED HE Ea 1 20 Q Correlation Engine i 0 04 17 2006 11 43 3 Running 18h 45 53 15 1 2 0 DAS Aggregation 1 o 04 17 2006 11 43 1 Running 18h 46 14 5 1 2 0 Q DAS Binary 1 0 04 17 2006 11 43 1 Running 18h 46 14 Isa 20 HQ DAS Query 1 o Running 18h 46 14 5 1 2 0 O Das RT 1 o 04 17 2006 F 431 Running 18h 46 14 5 1 2 0 0 DAS_ITRAC 1 0 04 17 2006 11 43 Running 18h 46 14 5 1 2 0 0 Query Manager 1 0 E 17 2006 11 43 3 18h 45 54 E 1 2 0 Q RuleLg Checker 1 0 04 17 2006 11 43 3 18h 45 54 5 1 2 0 9 Sonic Lock Remover 1 0 04 17 2006 11 43 1 Running 18h 46 15 5 1 2 0 E Refresh 7 Options Refreshed At Tue Apr 18 06 29 34 EDT 2006 Processos iniciar interromper ou reiniciar Clique o bot o direito do mouse na entrada do processo para que essas a es p
290. ustomervar9 range DestinationIP Caso um evento contenha um IP de destino de 10 0 1 14 equivalente ao valor num rico de 167772430 a sa da para a coluna CustomerVar89 no evento seria BBB O Sentinel suporta os seguintes intervalos de n mero Intervalo de n mero negativo a n mero negativo por exemplo 234 34 Intervalo de n mero negativo a n mero positivo por exemplo 234 34 Intervalo de n mero positivo a n mero positivo por exemplo 234 236 Intervalo de n mero nico negativo por exemplo 234 Nesse caso o m n e o m x ser o 234 Intervalo de n mero nico positivo por exemplo 234 Nesse caso o m n e o m x ser o 234 Intervalo de n mero negativo a n mero m x por exemplo 234 Nesse caso o m n ser 234 e o m x ser 2263 1 Intervalo de n mero positivo a n mero m x por exemplo 234 Nesse caso o m n ser 234 e o m x ser 2 63 1 NOTA Em todos os casos o m n deve ser menor ou igual ao m x por exemplo 234 235 N O v lido Editando as defini es de mapa Para editar uma defini o de mapa 1 Clique na guia Mapeamento 2 Expanda a pasta desejada 3 Realce uma defini o de mapa e clique em Editar Gerenciador de dados do Sentinel 10 13 NOTA A fun o de edi o desativada para as defini es de mapa que se encontram na pasta Sistemas amp Edit Map Definition Column Definition
291. utos de processo nome tempo de espera ou desativar o tempo de espera descri o Modificando atributos de processo 1 Clique na guia iTRAC 2 No Navegador clique em Administra o do iTRAC gt Gerenciador de Gabaritos 3 Destaque um gabarito existente clique o bot o direito do mouse e selecione Exibir Cm do gabarito clique no bot o Detalhes do Processo 4 Na caixa de di logo Personalizador de Processos voc pode editar o seguinte Nome Dura o minutos segundos horas ou dias Tempo de espera se essa op o estiver ativada voc ter de digitar um tempo e um endere o de e mail Descri o N Personalizador de Processos e Ep Nome SANS Incident Handling Dura o minutos S E mail Do Tempo de Espera Limite EE1 Descri o ANS Incident Handling Ok Cancelar Guia iTRAC 5 3 Modificando atividades manuais Voc pode editar o recurso usu rio fun o o Tempo de Espera e a Descri o de atividades manuais 1 Clique na guia iTRAC 2 No Navegador clique em Administra o do iTRAC gt Gerenciador de Gabaritos 3 Destaque um gabarito existente clique o bot o direito do mouse e selecione Exibir 4 O Gabarito exibido em uma janela separada 5 Para editar clique duas vezes em qualquer cone de atividade manual no gabarito e fa a as altera es NOTA as seguintes atividades manuais nos gabaritos existentes pode
292. va os seguintes bot es tornam se dispon veis Criar um Novo Filtro e le Apagar o Filtro Selecionado ativo quando o filtro est selecionado Menu Configura o de Menu Quando a janela Configura o de Menu estiver ativa e no modo de modifica o os seguintes bot es estar o dispon veis E Criar Novo item de menu di Apagar Item de Menu Q Ativar Item de Menu EX Desativar Item de Menu IS le 2 6 Guia do Usu rio do Sentinel Guias Dependendo de suas permiss es de usu rio o Sentinel Control Center exibir as seguintes guias Voc deve ter a permiss o espec fica para ver cada uma delas Active ViewsIM Incidentes iTRACTM An lise Consultor Coletores Admin Para obter mais informa es sobre Guias consulte o cap tulo respectivo a cada guia Mudando a apar ncia do Sentinel Control Center Para mudar a apar ncia do Sentinel Control Center siga as instru es das seguintes se es Definindo a posi o da guia Mostrando ou ocultando a janela do Navegador Ancorando ou flutuando a janela do Navegador Colocando as janelas em cascata Colocando as janelas lado a lado Minimizando e restaurando todas as janelas Fechando todas as janelas abertas Definindo a posi o da guia Para definir a posi o da guia 1 Clique em Op es gt Posicionamento da Guia 2 Selecione Acima ou Abaixo Mostrando ou ocultando a janela do Navegador Para mostra
293. ventos O valor padr o para o tempo em cache em uma Tela Ativa de 24 horas Para configurar o N mero M ximo de Eventos por Tela Ativa e o Valor em Cache 1 Clique na guia Active Views 2 Clique em Active Views gt Propriedades 3 Fa a as altera es Active View Properties x Maximum Number of Events per Active View zooo 1000 events take approximately 1MB on average Maximum Total Display Time fi Day These values will not take effect until you restart Sentinel Control Center x Os novos valores entrar o em vigor apenas quando voc reiniciar o Sentinel Control Center Para visualizar eventos em tempo real Para visualizar eventos em tempo real 1 Clique na guia Active Views 2 Clique em Active Views gt Criar Tela Ativa ou no bot o Criar Tela Ativa e 3 Najanela Assistente de Visualiza o de Eventos clique nas setas para baixo para selecionar seu eixo Z Filtro e para Exibir Eventos Sim ou N o NOTA Na janela de sele o de filtro voc pode desenvolver seu pr prio filtro ou selecionar um dos j definidos A sele o do filtro Todos permite que todos os eventos apare am na janela Se o filtro atribu do a uma Tela Ativa for mudado ou apagado ap s a cria o da Tela Ativa essa tela n o ser afetada Guia Active ViewsTM 3 3 3 4 Active Yiews Wizard x Step 1 Event Collection Parameter Setup Define the display properties by selec
294. vezes em Ferramentas Administrativas 3 Clique duas vezes em Servi os 4 Clique o bot o direito do mouse em Gerenciador de Coletor gt Parar Iniciando o Sentinel Server para Windows Iniciando o Sentinel Server do Windows 1 Clique em Iniciar gt Configura es gt Painel de Controle Clique duas vezes em Ferramentas Administrativas Clique duas vezes em Servi os Na janela Servi os realce Sentinel SA sd oO Clique o bot o direito do mouse em gt Iniciar ou clique em Iniciar na barra de ferramentas Parando o Sentinel Server para Windows Parando o Sentinel Server do Windows 1 Clique em Iniciar gt Configura es gt Painel de Controle 2 Clique duas vezes em Ferramentas Administrativas 3 Clique duas vezes em Servi os 11 2 Guia do Usu rio do Sentinel 4 SA Na janela Servi os realce Sentinel Clique o bot o direito do mouse em gt Parar ou clique em Parar na barra de ferramentas Iniciando o Servidor de Comunica o do Sentinel para Windows Iniciando o Servidor de Comunica o do Sentinel para Windows 1 Si e O Clique em Iniciar gt Configura es gt Painel de Controle Clique duas vezes em Ferramentas Administrativas Clique duas vezes em Servi os Na janela Servi os realce Comunica o do Sentinel Clique o bot o direito do mouse em gt Iniciar ou clique em Iniciar na barra de ferramentas Parando o Servidor de Comunica o do Sentinel para Windows Parando
295. wizardelementsi lt Collector name gt idoc Voc deve ter um dos Coletores de Scanner carregados e em execu o para obter quaisquer dados de vulnerabilidade NOTA O Coletor de vulnerabilidade re ne informa es n o eventos A visualiza o da vulnerabilidade pode ser exibida nos formatos HTML gr fico o circular org nico a hier rquico a todos o N s de Eventos Mapeados a ortogonal Guia Active Views 3 17 3 18 A visualiza o em HTML um tipo de relat rio que relaciona IP host vulnerabilidade porta protocolo Segue um exemplo de uma explora o do Nessus Vulnerability Summary Host Yulnorabilitios 18 172 16 0 132 DJ TCP 21 ftp TCP 21 ftp TCP 21 ftp TCE 22 ssh STCP 22 sshj TCR 22 ssh TCP 23 telnet STCP 23 telnet TCP 25 smtp ITCP 25 srmtp TCP Z5 stntp STCP Sar submisslon TCP 5ar submission TCP 587 submission TCP 1241 nessus TCP 1291 nessus JTCP 3306 mysql TCP 122 160 71 49 OJj TCP OU TCP 21 p TCP 21 fp TCP 22 ssh TCP 23 telnat TCP 23 telnet f TCP 23 telnat TCP 25 smtp TCP 25ismtp TCP 25isrntp ITEP 25isrtp TCP 25 srtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 smtp TCP 25 srntp I TCP Wfdnslx TCP S0 dnsiz ITCP Wfdnslx TCP I0fdnsiz I TCP Wfdnsix TCP 30 dnsiz TCP So dnsix 4TEP 30 dnsix TCP 111 sunrpe TEP 111 sunrpojf TEP 161 snmp UDP 512 axec TCP 513 logln ZTCP
296. y Code A tag Vulnerabilidade tem uma entrada de coluna EXIST que significa que o valor resultante do mapeamento ser 1 se a chave estiver em IsExploitWatchlist arquivo exploitDetection csv ou O se n o estiver As colunas de chave da tag de vulnerabilidade s o IP e Normalized AttackId Quando um evento de entrada tem uma tag de evento DestinationIP Introdu o ao Sentinel 1 9 correspondente entrada da coluna IP e uma tag de evento AttackId correspondente entrada de coluna Normalized AttackId na mesma linha o resultado um 1 Se nenhuma correspond ncia for encontrada na mesma linha o resultado ser zero 0 mamng vul Label vulnerability Description he vulnerability of the t identified in this event EventID SourcelD r Data Source WizardPort C External Wizard gent Resource Referenced From Map PuDResourcA Map Name isExploitwatchlist EventName sensorName Map Column exist SensorType 3 EventTime Key Configuration Protocol Map Key Field Event Tag SourceHostName HIP DestinationlP pourcePort INormalizedattackId iattackId Mackin akinnHarckhl ama L Integra o de origem de dados O uso de tecnologia adapt vel e flex vel crucial para a estrat gia de integra o de origens de dados do Sentinel alcan ada por meio de Coletores interpretativos tamb m chamados de Coletores que analisam e normalizam os eventos no fluxo de da
Download Pdf Manuals
Related Search