Novell® Sentinel
Contents
1. 2 7 Ridenominazione di host Wizard 2 7 Eliminazione di host Wizard 2 7 Riavvio di host Wizard ei ia 2 7 Esportazione di host WiZard i le nie ia ail een 2 8 Visualizzazione delle propriet di host Wizard i 2 8 Modifica di file dei MOdElli 2 8 Eliminazione di file dei iModellli punenanacnene ian 2 9 Ridenominazione di file di ricerca a Ra eni 2 9 Eliminazione di file di ricerca Eliminazione di uno script Eliminazione di una sequenza di avvio i 2 10 Porte Wizard an ila aa lia GR RO 2 10 Avvio e arresto di porte Wizard interfaccia utente grafica rere nesrrnrrnnesrrrnnrn nnne 2 10 Modifica di porte Wizard iaia riali albini 2 11 Eliminazione di porte Wizard i 2 11 Debug delle porte Wizarde ietie eiii iiaia ai Aa aaa 2 12 Caricamento e download dei servizi di raccolta e degli NOSt i 2 13 Upgrade dei servizi di raccolta iii 2 17 3 Generazione e manutenzione dei servizi di raccolta 3 1 Cenni sulla generazione di servizi di raccolta 3 2 Passaggi fondamentali per l implementazione dei servizi di raccolta i 3 2 Generazione dei servizi di raccolta iaia ail iis 3 3 Creazione e configurazione dei file dei MOdELlli i 3 3 Creazione e configurazione d2. E 0061 ai 0048 H N 7220 18 54 3220 succ 6565 oespad 6420 dev p fa09 4000 ff11 28d3 ac10 0046 acl0 EE T a74e 0202 004d M lt 37 gt Ap 2031 2031 383a 11 su 2773 7520 726f 6465 6420 666f 6f6e 202f 6465 ts 0 5d7e 3534 6 74 7220 762f 3c33 3a31 2720 6f65 7074 talkabout gt pes020 esecurity net 0 16 32 48 64 80 96 lt 37 gt Ap r 1 18 54 11 373e 4170 3120 7375 r 1 7375 6363 su root 7370 6164 eeded for 732 30 m on SYSLOG C port 38890 000a 5e02 a335 0000 83cd 1395 0800 4500 A 0061 a0K 0226 18 54 oespad 6420 dev p 304b 4000 ff11 EEE E 97ea 0202 004d Mj lt 37 gt Ap 2031 2031 383a 11 su 2773 7520 726f 6465 6420 666f 6f6e 202f 6465 ts 0 031 6a82 3534 6 74 7220 762f acl0 ICZI 32431 2720 6 65 7074 0048 acl0 373e 4170 3120 7375 ro LL 7375 6363 su root 7370 6164 eeded for 732 30 m on Il contenuto della registrazione effettuata da talkabout invece il seguente Apr A 14 Guida dell utente di Sentinel Wizard 1 18 54 11 ultrabookIIi su oespadm on dev pts 0 su root succeeded for Configurazione di un server socket su host UNIX NOTA il termine agente equivalente a servizio di raccolta Si far in seguito riferimento agli agenti come servizi di raccolta I server socket rappresentano un punt
3. 16 servizi Gestione servizi di raccolta arresto riga di comando in Windows 4 avvio riga di comando in Windows 3 avvio iN WINdOWS i 3 installazione Windows 4 rimozione Windows i 5 servizio di raccolta aggiornamento i 17 caricamento di pi servizi di raccolta in una retesns in A aea i i ia 17 caricamento in pi host 14 caricamento in un host 13 generazione i 3 state trasmissione 1 5 stato analisi 1 7 anisi lana ia 1 4 Arresto arri rata ar 1 5 AECISIONE iriiiiit 1 4 1 7 FIGEZIONE 227 falena rata 1 4 1 5 ricezione RX arenie 1 4 successivo e vai a 1 5 trasmissione iaia 1 4 trasmissione TX 1 4 stato analiS 0 1 4 1 7 stato arresto fine 1 5 stato deciSIONe n 1 7 stato deciZIONe n 1 4 stato ricezione 1 4 1 5 stato successivo e vai a 1 5 stato trasmissione 1 4 1 5 tipo di connessione nessuno a 14 processo permanente 13 processo transitorio 13 SOCKEt ilari ae iena E 12 trap SNMP e 14 tipo di onnessione file NUOVI curano 12
4. 6 modifica WiNdOWS nen 5 porta arresto interfaccia utente grafica 11 avvio interfaccia utente grafica 11 creazione e ea iii dalle 14 deb g yaptin ia aN i 12 eliminazione neeese ee nnne rereeree ee 11 Modifica rioni iaia a Ts da 11 Porta Wizard Vedere porta porte caricamento in pi host 16 processo permanente 15 Valore RX TX eparina aed 16 processo server socket impostazione eetere eeen neeeeeeeee ee B 1 processo transitorio 15 valore RKT indii tiini 16 propriet h st Wizard nali 8 riavvio host Wizard nen 7 ridenominazione file di ricerca neneeese eene reserer reesen 9 host Wizard ss ansia nera ipi e 7 ridenominazione di host Wizard 7 Rikicsin ti Sfere dirso cui ie tario Mara 1 4 script assegnazione di una sequenza di avvio 11 CICAZIONE siv rinite 9 eliminazione rr rserereee 10 ii Guida dell utente di Sentinel Wizard sequenza di avvio assegnazione a uno script 11 eliM NAZ ONE eenen 10 server socket CONf gUraZ ONE B 1 servizi di Gestione servizi di raccolta arresto in WINdOWS 3 servizi di raccolta download da un solo host
5. Connettore syslog A 9 Un esempio di utilizzo degli argomenti proxy e log in UNIX il seguente syslog SyslogConnectorAgent sh proxy localhost 9091 log connector messages log id IDUnivoco Configurazione della registrazione per il server proxy syslog Il server proxy syslog memorizza i messaggi di registrazione nel file SESEC_HOME wizard syslog syslog_trace log Modificando il file delle propriet possibile modificare i livelli di registrazione ESEC_HOME wizard syslog syslog_log prop Si tratta del file delle propriet di registrazione specificato dalla riga seguente del file syslog conf wrapper java additional 1 Djava util logging config file syslog_ log prop Per variare i livelli di registrazione modificare opportunamente la sezione seguente Configurazione dei livelli di registrazione Le regole inerenti alla registrazione vengono lette dall alto verso il basso Iniziare con le regole pi generali e quindi passare a quelle pi specifiche HHHHHH Esempi di argomenti della riga di comando possibile eseguire il server proxy syslog e il connettore del client senza utilizzare gli script forniti con l installazione A tal fine necessario utilizzare gli argomenti della riga di comando descritti in questa sezione Proxy syslog java server Xms64m Xmx256m Djava util logging config file syslog logger prop jar syslog jar udp lt porta gt tcp lt porta gt connecto
6. Lo stato Ricezione specifica il metodo utilizzato da Wizard per determinare quando i dati vengono ricevuti dal servizio di raccolta Nello stato Ricezione vengono specificati Tipo di ricezione Byte minimi Stringhe di decisione per la delimitazione Se la connessione viene interrotta durante il passaggio allo stato di trasmissione e viene immesso un valore nella casella Rx Tx Value Valore Rx Tx nel pannello Port Information Informazioni sulla porta si verifica l evento successivo e viene tentato di ripristinare la connessione In base allo stato Ricezione del buffer di ricezione vengono valorizzate automaticamente due variabili s RXBufferString contiene il testo ricevuto dal buffer di ricezione i RXBufferLength contiene la lunghezza di s RXBufferString Questo equivale a eseguire il codice dello script seguente in base allo stato Ricezione COPY s RXBufferString LENGTH i RXBufferLength s RXBufferString Le variabili valorizzate automaticamente consentono di effettuare facilmente confronti nello stato Decisione quando si tratta di determinare se lo stato Ricezione abbia raggiunto il timeout i RXBufferLength 0 Esse consentono inoltre di utilizzare direttamente il buffer di ricezione in tutta la variabile s_RXBufferString Introduzione a Wizard 1 5 1 6 Tipi di ricezione l editor dei modelli consente di utilizzare quattro tipi di ricezione ovvero Timeout consente agli script di continuare l
7. naturali che separino i messaggi mentre nel caso di syslog su UDP i messaggi presentano una terminazione naturale poich i pacchetti UDP trasportano ognuno un solo messaggio e sono privi di collegamenti Installazione e disinstallazione Il connettore syslog stato progettato per essere utilizzato su qualsiasi piattaforma Wizard e per garantirne la portabilit entrambi i componenti sono scritti in Java Di seguito vengono riportati i requisiti hardware e software Requisiti del sistema Software Java 1 4 1 o superiore Wizard 4 2 o superiore Windows 2000 XP 2003 Solaris 8 9 RedHat Enterprise Linux v3 ES AS Hardware 14 MB di RAM aggiuntivi 45 MB di memoria virtuale per ogni istanza del connettore e del proxy syslog Guida dell utente di Sentinel Wizard Installazione I file relativi ai client del proxy e del connettore syslog vengono installati automaticamente durante l installazione del servizio di raccolta i file syslog si trovano nella directory seguente Per UNIX ESEC_HOME wizard syslog Per Windows sESEC_HOME3 wizard syslog La procedura guidata non avvia automaticamente il proxy syslog se si desidera che ci avvenga necessario installare syslog come servizio attenendosi alle istruzioni seguenti Installazione come servizio di Windows Windows NOTA possibile installare il proxy syslog come servizio di Windows affinch venga eseguito automaticamente per ottenere quest
8. l elaborazione sulla porta del servizio di raccolta passa allo stato successivo previsto dallo script Scenario Wait Attesa si attende che il servizio di raccolta di Wizard riceva il numero minimo di byte indicato nella casella Minimum Bytes Byte minimi Una volta che Wizard ha ricevuto pi del numero minimo di byte specificato l elaborazione sulla porta del servizio di raccolta passa allo stato successivo previsto dallo script In caso contrario l elaborazione sulla porta del servizio di raccolta non raggiunge mai il timeout Guida dell utente di Sentinel Wizard Scenario Delim Timeout Delimitatore timeout se viene rilevata la stringa di decisione per la delimitazione dopo avere ricevuto il numero minimo di byte indicato nell apposita casella i dati fino al delimitatore compreso quest ultimo vengono memorizzati nel buffer di ricezione In caso contrario i dati non vengono trasferiti nel buffer di ricezione e l elaborazione sulla porta del servizio di raccolta raggiunge il timeout nell intervallo di default Scenario Delim Wait Delimitatore attesa se viene rilevata la stringa di decisione per la delimitazione dopo avere ricevuto il numero minimo di byte indicato nell apposita casella l elaborazione sulla porta del servizio di raccolta prosegue e i dati vengono elaborati In caso contrario i dati non vengono trasferiti nel buffer di ricezione e la porta non raggiunge il timeout Qualora la stringa di decisio
9. per gestire vari sistemi operativi Argomenti di comandi Percorsi assoluti e relativi la variabile di ambiente WORKBENCH_ HOME considerata la HOME relativa Quando si verifica uno stato di ricezione trasmissione Rx Tx viene attivato il processo indicato nella casella Rx Tx Value Valore Rx Tx Il processo termina insieme all analizzatore sintattico Generazione e manutenzione dei servizi di raccolta 3 15 Al termine dei processi permanenti viene inviato un evento di livello 5 All avvio dei processi permanenti viene inviato un evento di livello 1 L output standard stdout dei processi permanenti transitori collegato allo stato lettura ricezione dell analizzatore sintattico L input standard stdin dei processi permanenti transitori collegato allo stato scrittura trasmissione dell analizzatore sintattico Configurazione del valore Rx Tx per le connessioni permanenti e transitorie Rx Tx Type Tipo Rx Tx Per la configurazione delle connessioni permanenti e transitorie sono disponibili tre processi relativi ai connettori ovvero DBConnector connettore di processi JDBC Lea Client Remote Data Exchange Protocol RDEP Non utilizzare virgolette nella casella Rx Tx Value Valore Rx Tx nel caso di processi permanenti e transitori Se il processo rappresentato da un percorso assoluto a un nome di eseguibile lungo e contenente spazi necessario immetterlo senza virgolette Ad esem
10. per ricevere messaggi syslog oppure accettare i collegamenti dei client Gli switch da utilizzare sono udp lt porta gt porta per i messaggi UDP provenienti dai dispositivi default 514 tcp lt porta gt porta per i collegamenti TCP provenienti dai dispositivi default 1468 connector lt porta gt porta per i collegamenti TCP provenienti dai connettori default 9091 A 4 Guida dell utente di Sentinel Wizard Per variare queste impostazioni modificare la sezione seguente del file syslog conf wrapper app parameter 3 tcp wrapper app parameter 4 1468 wrapper app parameter 5 udp wrapper app parameter 6 514 wrapper app parameter 7 connector wrapper app parameter 8 9091 Ad esempio se si desidera modificare le impostazioni delle porte come indicato di seguito Listener sulla porta UDP 4514 per i messaggi syslog Listener sulla porta TCP 4168 per i messaggi syslog Listener sulla porta TCP 4991 per i collegamenti del connettore necessario apportare le seguenti modifiche alla sezione del file syslog conf riportata in precedenza wrapper app parameter 3 tcp wrapper app parameter 4 4168 wrapper app parameter 5 udp wrapper app parameter 6 4514 wrapper app parameter 7 connector wrapper app parameter 8 4991 Per default la configurazione del proxy syslog viene impostata in modo da accettare i collegamenti client provenienti da qualsiasi host Per aumentare la sicurezza possibile impostare il proxy syslog in m
11. txt in lingua inglese yWorks Copyright 2003 2006 yWorks NOTA al momento della pubblicazione della presente documentazione i collegamenti indicati sopra risultano attivi Qualora i collegamenti risultassero non pi validi o le relative pagine Web non pi attive contattare Security s Office of the Counsel at 404 Gallows Road Vienna VA 500 703 852 8000 Sommario 1 Introduzione a Wizard 1 1 SOMMANO sa aa ei e rl i IRR a Ni be E A o 1 1 Gonvenzioni utilizzate razr ia rire errare 1 1 Note e avvertenze lac e e ie ere a errata 1 1 GOMAandiz iticii ari ia ani E 1 1 Wizard So ira 1 1 Servizi di raccolta ea ii 1 2 File deimodellitt n n i A iS N dille ei 1 4 File dei parametri sainn nna Desde e 1 8 File di ficerca E R TAA E TE E SEA EE I A E E EAA EE EER 1 8 File di mappatura a iena a e ail aa pri 1 8 File manifest astiscn eri aa E etae eA e aipee diee 1 9 Altri riferimenti di SENtINEl 1 10 Gome contattare Novellii liti ia 1 10 2 Gestione di host Wizard 2 1 Modalit di acquisizione dei dati sui servizi di raccolta da parte degli host Wizard 2 1 Autorizzazioni degli host Wizard ricarica 2 2 Gestione di host Wizard 2 3 Avvio e arresto di Gestione servizi di raccolta 2 3 Amministrazione di Gestione servizi di raccolta 2 4 Avvio del Generatore servizi di raccolta
12. File gt Carica Scarica Pulsante Carica Scarica 2 Viene visualizzata la finestra Carica Scarica 2 16 Guida dell utente di Sentinel Wizard Nella finestra Carica Scarica fare clic sulla scheda Popola rete Nell elenco denominato Configurazioni delle porte host e dei servizi di raccolta che si desidera caricare scegliere l host in cui desidera caricare le impostazioni per la configurazione delle porte e i servizi di raccolta Nell elenco denominato Host nei quali si desidera caricare questa configurazione scegliere l host in cui desidera caricare le impostazioni selezionate Tutti gli host Wizard della rete vengono inclusi automaticamente nell elenco I pulsanti indicano se il computer host in linea Fare clic su Seleziona tutto per selezionare tutti gli host Wizard dell elenco Fare clic su Nessuna selezione per deselezionare tutti gli host Wizard dell elenco Caricamento di pi servizi di raccolta in una rete Caricamento di pi servizi di raccolta in una rete 1 Nella finestra principale di Wizard scegliere un servizio di raccolta nell albero omonimo Fare clic su una delle opzioni seguenti File gt Carica Scarica Fare clic con il pulsante destro del mouse sul servizio di raccolta quindi scegliere Carica servizio di raccolta Pulsante Carica Scarica el Selezionare la scheda Popola rete Nel primo riquadro di selezione nel menu a discesa selezionare la configurazione delle port
13. auto asd prima di main 3 10 Guida dell utente di Sentinel Wizard DemoAsset M Startup Scripts C ExploitDetect_test QI SendMultipleEvents default O j SendOneEvent T1A_CHKP_FR WL_xxxx O J TI_CISC_Plxx_06xx_LOC J TI_GNUx_NMAP_0355 i agent i B alert_style Debug di uno script All inizio della procedura di debug nel pannello Informazioni sulla porta lo stato della porta passa a Debug Per effettuare il debug degli script consultare il Capitolo 2 relativo al debug delle porte Wizard Assegnazione di una sequenza di avvio agli script Se si desidera che una porta venga attivata all avvio E possibile assegnare una sequenza di avvio in modo da eseguire una determinata serie di script La sequenza di avvio un file che contiene i nomi degli script da eseguire all avvio Assegnazione di una sequenza di avvio agli script 1 Fare clic con il pulsante destro del mouse sul nome dello script interessato nell albero dei servizi di raccolta e selezionare Nuova sequenza di avvio Viene visualizzata la finestra di dialogo Nuova sequenza di avvio 2 Digitare il nome della sequenza nella finestra di dialogo e fare clic su OK La sequenza di avvio un file che contiene i nomi degli script da eseguire all avvio I nomi delle sequenze sono soggetti alle limitazioni seguenti Non possibile utilizzare startup e backout Non possibile utilizzare un nome di sequenza pi volte nell
14. chiave File di modello File di parametro tem par File di ricerca f ikp File script asd Sequenze di avvio chn File di mappatura Cv Sequenze di backup chn File dei modelli 1 4 possibile creare modificare eliminare e aggiungere stati ai modelli I modelli determinano il modo in cui i record vengono elaborati La maggior parte delle decisioni relative ai modelli dipendono dal tipo di record utilizzati e dal loro formato disponibile un file di modelli equivalente con estensione tem che si trova nella posizione WORKBENCH_HOMF Elements lt nome servizio di raccolta gt Docs I file dei modelli si basano sugli stati Uno stato un punto di decisione all interno del flusso o del percorso logico di un modello Ogni punto stato contiene informazioni che indicano il processo da eseguire Gli stati contengono riferimenti ai parametri e quando il modello viene unito a un file di parametri i valori specifici sostituiscono i parametri stessi In questo caso vengono creati uno o pi file di script Quando uno stato viene inserito in un modello gli viene assegnato un numero che rimarr invariato indipendentemente dalla posizione nella quale esso viene spostato all interno del modello Esistono tre raggruppamenti di stati Glistati Trasmissione Ricezione Decisione e Analisi sono numerati nell ordine in cui vengono inseriti nel modello a Stato di trasmissione Tx trasmette una stringa a una
15. determinata porta a Stato Ricezione Rx definisce se Wizard riceve informazioni da un applicazione per la sicurezza all interno di un buffer Le informazioni sono dedotte dalla definizione della porta a Stato Decisione utilizza una stringa di dati o una variabile per determinare a quale stato passare Guida dell utente di Sentinel Wizard a Stato Analisi utilizza i comandi di analisi per creare modelli per l elaborazione delle informazioni raccolte nel buffer di ricezione Gli stati Successivo e Vai a vengono identificati dal numero dello stato a cui fanno riferimento o Stato Successivo indica lo stato a cui passare nello script successivo o Stato Vai utilizzato per tornare a uno stato differente all interno dello script corrente Lo stato Arresto sempre assegnato al numero zero Indica quando interrompere l elaborazione su una porta Stato Trasmissione Lo stato Trasmissione invia una stringa o una variabile in base al tipo di dati selezionato al tipo di connessione configurato per il servizio di raccolta in questione Se la connessione viene interrotta durante il passaggio allo stato di trasmissione e viene immesso un valore nella casella Rx Tx Value Valore Rx Tx nel pannello Port Information Informazioni sulla porta si verifica l evento successivo e viene tentato di ripristinare la connessione Il ritardo tra i caratteri indica il numero di millisecondi ms che separano l invio di ogni byte Stato Ricezione
16. deve disporre di una connessione seriale all host del servizio di raccolta realizzata direttamente mediante un cavo seriale oppure tramite modem a ogni estremit della connessione Quando si utilizza questo tipo di connessione potrebbe essere necessario effettuare altre modifiche o integrazioni Connessione socket La connessione socket viene utilizzata se i dati vengono acquisiti da un socket TCP necessario indicare l indirizzo IP e il numero della porta TCP dell host remoto nella casella Rx Tx Value Valore Rx Tx separati dai due punti Ad esempio per indicare la porta SMTP necessario immettere le indicazioni seguenti nella casella Rx Tx Value Valore Rx Tx lt Indirizzo IP gt lt porta gt Pu inoltre essere necessario creare nell host remoto un processo server per il socket TCP e configurarlo in modo che invii i dati alla porta TCP Per ulteriori informazioni sulla configurazione dei servizi di raccolta che utilizzano questo tipo di connessione consultare la relativa documentazione ad esempio Snort Cisco PIX e Solaris Syslog per i servizi di raccolta disponibile in sworkbench home elements lt nome servizio di raccolta gt docs Connessione file nuovi La connessione file nuovi viene utilizzata per acquisire unicamente i dati relativi agli eventi di sicurezza aggiunti al file dopo l avvio dello script La connessione apre il file e legge a partire dalla fine necessario indicare il percorso del
17. di arresto NOTA se si seleziona la connessione per processi permanenti o transitori necessario che il valore Rx Tx comprenda il percorso e il nome del file relativi al processo da eseguire possibile utilizzare percorsi e nomi di file completi oppure relativi rispetto a WORKBENCH_HOME Ad esempio Percorso completo C Programmi Cisco Csids client start Percorso relativo Generazione e manutenzione dei servizi di raccolta 3 13 elements Cisco Csids client start Nel caso dei processi permanenti si presume che il valore Rx Tx sia relativo a meno che non sia indicato un percorso completo Terminazione dei processi transitori se un processo transitorio si interrompe prima della terminazione dell analizzatore sintattico esso viene riavviato in occasione dell invio dello stato di lettura o scrittura successivo privo di eventi Per ulteriori informazioni consultare la sezione Processi permanenti e transitori Per informazioni sull impostazione del valore Rx Tx per questo tipo di connessione consultare la sezione Impostazione del valore Rx Tx per connessioni permanenti e transitorie Rx Tx Type Tipo Rx Tx Connessione trap SNMP La connessione trap SNMP viene utilizzata per ricevere trap SNMP v1 v2 e v3 inviati dai sensori all indirizzo IP del server Wizard In base all indirizzo IP e all identificatore dell oggetto IDO del dispositivo che effettua l invio la funzione Gestione s
18. di default anche gli script assegnati a questa sequenza vengono eliminati dalla colonna dello script di avvio ma quelli di default vengono comunque visualizzati nel menu Sequenze di avvio Porte Wizard In questa sezione viene illustrato come arrestare avviare modificare eliminare ed eseguire il debug delle porte Wizard Avvio e arresto di porte Wizard interfaccia utente grafica Quando si avvia o si arresta un servizio di raccolta i pulsanti corrispondenti nella colonna Avvia Arresta cambiano quando il servizio di raccolta viene effettivamente avviato o arrestato Se si interviene su un servizio di raccolta remoto la modifica pu essere differita in attesa della ricezione dello stato del servizio in questione L avvio o l arresto di una porta comporta l esecuzione dello script di avvio e di backout selezionato Quando si avviano tutte le porte ogni porta si avvia se la casella Esegui porta all avvio di Altre opzioni porta del menu Opzioni selezionata 2 10 Guida dell utente di Sentinel Wizard Avvio e arresto di tutte le porte Wizard 1 Nella finestra di Wizard Per arrestare tutte le porte fare clic sul pulsante di arresto sulla barra degli strumenti Per avviare tutte le porte fare clic sul pulsante di avvio sulla barra degli strumenti Ele Edit View Qr w Interrompi Awia Avvio e arresto di una porta Wizard 1 Nella finestra di Wizard Per arrestare una porta fare clic sul
19. documentazione WORKBENCH_HOME Elements lt nome servizio di raccolta gt docs lt nome file gt pdf Gestione di host Wizard 2 13 10 11 12 13 14 15 Fare clic sulla scheda Servizi di raccolta espandere il servizio in questione ed evidenziare il file del modello Sul lato destro fare clic sulla scheda dei parametri Impostare i valori dei parametri desiderati come descritto nella documentazione del servizio di raccolta operazione facoltativa Se si desidera che il servizio di raccolta non venga avviato all avvio o che consideri valido l orario del dispositivo fare clic sulla scheda Host Wizard fare clic con il pulsante destro del mouse sul nome della porta Wizard scegliere Altre opzioni porta e deselezionare la voce Esegui porta all avvio o selezionare la voce Considera valida l ora del dispositivo Fare clic su OK Other Port Options Startup Sequence default v T Trust Device Time Run Port At Startup OK Fare clic su Salva Fare clic sulla scheda Servizi di raccolta fare clic con il pulsante destro del mouse sul file dei modelli e scegliere Genera script Fare clic su una delle opzioni seguenti File gt Carica Scarica Fare clic con il pulsante destro del mouse sul servizio di raccolta quindi scegliere Carica servizio di raccolta Pulsante Carica Scarica i Viene visualizzata la finestra Carica Scarica Nella finestra Carica Scarica fare clic sulla scheda Se
20. e Valore per terminare la modifica Per ulteriori informazioni sulla descrizione dei comandi di analisi vedere la Guida di riferimento dell utente di Sentinel Creazione e configurazione dei file dei parametri Creazione e configurazione dei file dei parametri 1 Fare clic sulla scheda Servizi di raccolta 2 Scegliere un modello e pare clic sulla scheda Parametri nel pannello destro Generazione e manutenzione dei servizi di raccolta 3 7 Template Editor Parsing Ur Parameters ni se MW Bitmap R amp _TIMEOUT_DELAY Res_Alerting_Style See Agent standards for valid Generic_ResName FRWL_Res SubRes_Alerting_Style See Agent standards for valid 4 gt Fare doppio clic sul pulsante Nuovo nella prima colonna della tabella dei parametri Immettere il nome del nuovo parametro si tratta del nome dello script ad esempio r4 1 e premere Invio Operazione facoltativa Fare clic con il pulsante destro del mouse sul pulsante Bitmap seconda colonna seconda riga quindi scegliere Assegna bitmap Nella finestra di dialogo per l assegnazione bitmap scegliere un pulsante Bitmap Fare doppio clic su ogni casella relativa ai nuovi parametri e immettere i valori desiderati Una volta definiti tutti i valori necessario compilare i file dei parametri e dei modelli per creare lo script Passare alla sezione relativa alla generazione di script Creazione e configurazione dei file di ricerca 3 8 Q
21. elaborazione anche se non vengono ricevuti dati in un determinato intervallo di tempo Se si seleziona timeout Wizard in grado di ricevere dati fino al raggiungimento del timeout definito dalla variabile RX_TIMEOUT_DELAY Wait Attesa utilizzato principalmente quando si ricevono messaggi non richiesti relativi a eventi Wizard attende la ricezione dei dati per l intervallo timeout NOTA per i tipi di ricezione timeout e attesa l elaborazione all interno dello script non procede fino a quando non viene ricevuto il numero minimo di byte o la durata dell attesa raggiunge il valore di timeout delim timeout Delimitatore timeout utilizza una stringa predefinita per indicare a Wizard che i dati sono stati ricevuti I dati nella casella Delimiter Decide String Stringa di decisione delimitazione vengono confrontati con quelli registrati a mano a mano nel buffer di ricezione delim wait Delimitatore attesa utilizzato quando si ricevono messaggi non richiesti Una stringa di caratteri definita dall utente indica a Wizard che i dati sono stati ricevuti I dati nella casella Delimiter Decide String Stringa di decisione delimitazione vengono utilizzati per verificare i byte ricevuti a mano a mano Quando si utilizza l opzione delim wait Delimitatore attesa il parametro RX_TIMEOUT_DELAY ininfluente NOTA per i tipi di ricezione delim timeout Delimitatore timeout e delim wait Delimitatore attesa
22. in cui viene eseguito il proxy syslog possibile modificarla all avvio del proxy stesso e utilizzando l argomento proxy possibile fare in modo che i client si colleghino alla nuova porta inoltre possibile specificare l host di destinazione del client del connettore affinch non corrisponda al sistema locale Qualora il server proxy accetti sessioni di client di connettori remoti possibile configurare un client del connettore syslog in modo tale da instaurare una sessione con il proxy syslog remoto in questione In questo caso possibile configurare l indirizzo IP e la porta del client del connettore del proxy syslog per mezzo dell argomento proxy L argomento log attiva la funzione di registrazione del client del connettore che invia i messaggi a mano a mano che li riceve dal proxy syslog A differenza del file di log del proxy syslog il contenuto dei messaggi viene filtrato in base alle informazioni della sottoscrizione registrata inoltre i messaggi registrati non contengono il campo lt PRI gt relativo alla priorit Il contenuto quindi coerente con ci che il servizio di raccolta riceve dallo stesso client del connettore syslog NOTA le dimensioni del file di log possono aumentare in modo significativo quindi opportuno accertarsi che la posizione dove viene memorizzato il file disponga di abbondante spazio libero quindi preferibile utilizzare una directory che non si trovi in ESEC_HOME
23. manualmente il campo Rx Tx Value Valore Rx Tx Salvare e caricare il servizio di raccolta SNMP Attivare il servizio di raccolta interrompendo e riavviando la funzione Gestione servizi di raccolta NOTA per attivare questo servizio di raccolta necessario arrestare e riavviare la funzione Gestione servizi di raccolta come indicato nel passaggio 6 Guida dell utente di Sentinel Wizard SNMP Trap Setup Name Pacific Rim _ SNMP Trap Configuration Agent IP Addressies m SNMP Version SNMP v1 7 UDF Trap Port 162 M SNMP 1 Settings Enterprise OID s Trap Code s an 1 SNMP 2 3 Settings Security Mameis de Authentication Authentication Key Encryption Encryption Key Engine ID s Trap OIDs Multiple values may be separated by semicolons Use lt expression to enable POSIX regular expression matching OK Cancel L impostazione SNMP costituita da Indirizzo i IP del servizio di raccolta Versione SNMP Porta trap UDP Impostazioni SNMP v1 o Enterprise OID s IDO aziendali o Trap Code s Codici trap Impostazioni SNMP v2 v3 o Nomi di sicurezza Generazione e manutenzione dei servizi di raccolta 3 19 a Autenticazione a Chiave di autenticazione a Cifratura a Chiave di cifratura 2 ID motore con pulsante interrogazione o IDO trap La finestra di dialo
24. nel caso di questo argomento non viene effettuata alcuna risoluzione dei nomi host Pertanto qualora si configuri un nome host o un indirizzo IP il filtro non sar in grado di gestire l altro schema di assegnazione dei nomi Ad esempio impostando host 172 16 0 90 non vengono identificate corrispondenze con i criteri del filtro in un messaggio contenente il nome host testbox 1 anche nel caso in cui i servizi di risoluzione dei nomi prevedano l associazione tra 172 19 0 90 e testbox1 Quindi l indicazione IP degli host consente di gestire unicamente indirizzi IP mentre l indicazione dei nomi host consente di gestire esclusivamente questi ultimi Il filtro menzionato nell esempio precedente pu essere descritto per mezzo dell espressione booleana seguente Facility user o Facility kernel e Level warning o Level error e Sender 192 16 0 12 o Sender 192 16 0 0 16 e Host 17 16 8 0 24 o Host 10 1 1 13 Il numero delle combinazioni possibili dei vari argomenti corrisponde il prodotto cartesiano dei tipi di argomenti in cui ogni tipo di argomenti costituisce una serie Secondo PRINCIPIA Guida dell utente di Sentinel Wizard CYBERNETICA WEB http pespmce1 vub ac be ASC CARTES_PRODU html in lingua inglese il prodotto cartesiano L insieme di tutte le n tuple ordinate che possibile ottenere giustapponendo un elemento della prima uno sella seconda e uno dell n esima ser
25. per gestire i dati provenienti da questi ultimi possibile configurare le opzioni seguenti per le porte Tipo di connessione a Seriale lettura dati da una porta seriale RS 232C a Socket una connessione socket TCP 2 File nuovi legge solo i dati degli eventi di sicurezza che vengono aggiunti al file dopo l avvio dello script legge a partire dalla fine del file o Filetutti legge tutti i dati degli eventi di sicurezza inclusi in un file a Processo persistente avvia un processo persistente al momento dell avvio della porta comunica con il Servizio di raccolta assegnato alla porta e con un applicazione esterna ricevendo e trasmettendo gli stati continua a eseguire il processo per l intero esercizio della porta a Processo transitorio comunica con il Servizio di raccolta assegnato alla porta e con un applicazione esterna ricevendo e trasmettendo gli stati I processi transitori possono venire avviati pi volte Introduzione a Wizard 1 3 a SNMP riceve i trap SNMP v1 v2 e v3 a Nessuno Nome del servizio di raccolta possibile rinominare copiare e aggiungere servizi di raccolta Quando un modello utilizza il comando di analisi sintattica LOOKUP viene effettuata una ricerca nel file appropriato per individuare un determinato blocco di comandi di analisi da eseguire Quando un modello utilizza il comando di analisi sintattica TRANSLATE viene caricato un file di mappatura che consente di cercare rapidamente le voci
26. prompt dei comandi passare a workbench_home 2 Immettere il comando seguente ATTENZIONE non viene richiesta alcuna conferma della password n la password precedente agent manager bat password lt nuova password gt Gestione di host Wizard 2 5 3 Affinch la password diventi effettiva eseguire una delle operazioni seguenti Al prompt dei comandi digitare net stop agent manager net start agent manager Nel Generatore servizi di raccolta fare clic con il pulsante destro del mouse sul computer host interessato e scegliere di riavviare l host Fare clic su Start gt Impostazioni gt Pannello di controllo Fare doppio clic su Servizi e scegliere Gestione agenti Arrestare e avviare il servizio Gestione agenti Modifica della password di Gestione servizi di raccolta in UNIX NOTA per soddisfare le rigorose configurazioni di sicurezza necessarie per la certificazione dei criteri comuni consigliabile utilizzare una password complessa con le caratteristiche seguenti 1 Scegliere password costituite da un minimo di 8 caratteri di cui almeno uno MAIUSCOLO uno minuscolo uno speciale amp _ e uno numerico 0 9 2 Non possibile includere nella password l indirizzo di e mail o una parte qualsiasi del nome completo 3 La password non deve essere una parola comune ovvero una parola inclusa nel dizionario o di uso gergale 4 E necessario che nella password non siano incluse parol
27. pulsante di arresto nella colonna Avvia Arresta corrispondente alla porta in questione Per avviare una porta fare clic sul pulsante di avvio nella colonna Avvia Arresta corrispondente alla porta in questione Modifica di porte Wizard Se si modifica la configurazione di una porta mentre essa in funzione la porta si arresta Per evitare la perdita dei dati arrestare la porta manualmente prima di modificarne la configurazione Modifica di porte Wizard 1 Dall host interessato arrestare la porta 2 Seguire i passaggi per la creazione di una porta Wizard illustrati nel capitolo 3 La nuova configurazione sostituisce quella esistente quando si effettua il salvataggio o si carica la porta Eliminazione di porte Wizard Eliminazione di porte Wizard 1 Arrestare la porta 2 Nel pannello con le informazioni sulla porta del Generatore servizi di raccolta fare clic con il pulsante destro del mouse e scegliere Elimina porta Tutte le porte successive a quella eliminata vengono arrestate automaticamente 3 Sel eliminazione viene seguita da Host locale fare clic su File gt Salva e selezionare l opzione Informazioni sulla porta Hostremoto fare clic su File gt Carica Scarica Gestione di host Wizard 2 11 Debug delle porte Wizard 2 12 Il debugger consente di risolvere i problemi del codice del servizio di raccolta in esecuzione su una porta Il lato sinistro del pannello Debugger mostra lo script di st
28. ricezione Il contenuto della stringa di decisione viene confrontato con quello del buffer di ricezione o di una variabile per determinare quale ramo dell albero decisionale elaborare La stringa di decisione un espressione regolare conforme a POSIX 1003 2 Le variabili possono essere costituite da stringhe interi e numeri decimali a virgola mobile True forza la valutazione a true affinch Gestione servizi di raccolta segua il ramo Yes True forza la valutazione a false affinch Gestione servizi di raccolta segua il ramo No Data confronta una stringa di decisione definita dall utente con un altra stringa o con il valore di una variabile Stato Analisi Lo stato Analisi viene utilizzato per sviluppare gli script da eseguire sulle porte I comandi di analisi possono comprendere parametri uniti al modello durante la creazione degli script Per definire i comandi di analisi sono disponibili un editor visuale e un editor di testo Lo stato Analisi viene utilizzato inoltre per inserire comandi di analisi nei modelli Questi comandi possono comprendere parametri e quando il modello viene unito a un file Introduzione a Wizard 1 7 di parametri durante la creazione degli script i valori specifici sostituiscono i parametri stessi L unione di modelli e file di parametri pu dare origine a pi script da eseguire sulle porte File dei parametri I parametri sono equivalenti alle variabili I file dei parametri file par so
29. runtime sono contenute nel valore RX TX o Uno dei parametri di runtime l ID necessario che 1 ID configurato per un determinato connettore syslog sia univoco e quindi non venga assegnato ad altri connettori che si collegano allo stesso proxy syslog o Nelruntime possibile specificare un filtro per i contenuti per limitare l ambito di validit dei messaggi inviati al servizio di raccolta o Ilconnettore syslog effettua un collegamento al servizio client del connettore del proxy o Ilconnettore syslog registra il proprio ID e il filtro dei contenuti nel proxy syslog o I messaggi associati all ID dal proxy syslog vengono letti dal connettore e indirizzati all output standard o Attualmente la struttura e il contenuto dei messaggi vengono passati al servizio di raccolta senza apportare loro alcuna modifica In futuro il connettore syslog sar in grado di formattare i messaggi affinch siano conformi ai requisiti previsti per l analisi da parte del servizio di raccolta Il protocollo syslog da sempre definito come un protocollo basato su UDP In mancanza di altre applicazioni dispositivi in grado di inviare messaggi mediante TCP nonch di uno standard riconosciuto per syslog su TCP stato adottato il metodo del firewall PIX Cisco per la terminazione dei messaggi syslog ritorno a capo avanzamento riga In syslog su TCP necessario identificare il punto di terminazione poich non esistono standard definiti n limiti
30. servizio di raccolta Nel Generatore servizi di raccolta creazione modifica compilazione e debug dei servizi di raccolta Nel Generatore servizi di raccolta caricamento e download dei servizi di raccolta Nel Generatore servizi di raccolta esportazione di Host Wizard Nel Generatore servizi di raccolta aggiunta modifica ed eliminazione di porte Nel Generatore servizi di raccolta impostazione delle opzioni Porta Comando e controllo includono avvio interruzione di singole porte avvio interruzione di tutte le porte riavvio di host ridenominazione di host 2 2 Guida dell utente di Sentinel Wizard Gestione di host Wizard In questo capitolo vengono trattati gli argomenti seguenti Avvio di Gestione servizi di raccolta Ridenominazione di file di ricerca Arresto di Gestione servizi di raccolta Eliminazione di file di ricerca Amministrazione di Gestione servizi di Eliminazione di una sequenza di avvio raccolta Avvio e arresto delle porte Wizard Ridenominazione di host Modifica di porte di Wizard Eliminazione di host Eliminazione di una porta di Wizard Riavvio degli host Caricamento e download di servizi Esportazione di un host di raccolta Visualizzazione delle propriet degli host Debug delle porte Wizard Modifica di file dei modelli Eliminazione di file dei modelli Avvio e arresto di Gestione servizi di raccolta NOTA quando
31. sulla scheda Servizi di raccolta per visualizzare il pannello contenente l albero omonimo 2 Fare clic con il pulsante destro del mouse sul file di ricerca e scegliere di rinominare il file di ricerca 3 Immettere il nuovo nome e premere Invio Gestione di host Wizard 2 9 Eliminazione di file di ricerca Eliminazione di file di ricerca 1 Fareclic sulla scheda Servizi di raccolta per visualizzare il pannello contenente l albero omonimo 2 Fare clic con il pulsante destro del mouse sul file di ricerca e scegliere di eliminare il file di ricerca Eliminazione di uno script Eliminazione di uno script 1 Sono disponibili due metodi per eliminare uno script Nell albero Servizi di raccolta fare clic con il pulsante destro del mouse su uno script quindi scegliere Elimina Fare clic con il pulsante destro del mouse sullo script nella colonna dello script di avvio e scegliere Elimina script Eliminazione di una sequenza di avvio Eliminazione di una sequenza di avvio 1 Nel pannello dello script di avvio scegliere la sequenza di avvio dal menu a discesa affinch il suo nome sia visualizzato nella casella dello script di avvio 2 Fare clic con il pulsante destro del mouse sullo script interessato nell albero dei servizi di raccolta e scegliere Elimina sequenza di avvio corrente La sequenza di avvio viene rimossa dall elenco degli script da eseguire all avvio NOTA se si elimina la sequenza di avvio
32. Modifica di file dei modelli Modifica di file dei modelli 2 8 l Fare clic sulla scheda Servizi di raccolta per visualizzare il pannello contenente l albero omonimo Nell albero Servizi di raccolta fare clic sul modello quindi sulla scheda dell editor modelli sulla destra Nell editor dei modelli fare clic sullo stato che si intende variare e apportare le modifiche desiderate possibile modificare gli stati utilizzando l editor visuale o l editor di testo Per informazioni sui comandi di analisi vedere la Guida di riferimento dell utente di Sentinel Guida dell utente di Sentinel Wizard Template Editor Parsing Pa Parameters 8 6 m E E State 1 Parsing Ei Visual Editor Text Editor A Debugger E El Commands E State Script E AB H E Comments H E C Comments breakpoint 2 COPY s_ResAlentStyle R TOUPPERI s ResAlertStyle COPY s_Generic_ResNarr a COPY s_SubResaAlertStyle TOUPPERI s_SubResAlert COPY s_Generic_SubResl COPY s_SendETTag Se i TAIM CDa comeet al Eliminazione di file dei modelli Eliminazione di file dei modelli 1 Fare clic sulla scheda Servizi di raccolta per visualizzare il pannello contenente l albero omonimo 2 Nell albero Servizi di raccolta fare clic con il pulsante destro del mouse su un modello quindi scegliere Elimina modello Ridenominazione di file di ricerca Ridenominazione di file di ricerca 1 Fare clic
33. Novell l Sentinel www novell com 5 1 3 Volume IIl GUIDA DELL UTENTE DI SENTINEL WIZARD 7 luglio 2006 Novell Note legali Novell Inc non rilascia alcuna dichiarazione e non fornisce alcuna garanzia in merito al contenuto o all uso di questa documentazione e in particolare non riconosce alcuna garanzia espressa o implicita di commerciabilit o idoneit per uno scopo specifico Novell Inc si riserva inoltre il diritto di aggiornare la presente pubblicazione e di modificarne il contenuto in qualsiasi momento senza alcun obbligo di notificare tali modifiche a qualsiasi persona fisica o giuridica Inoltre Novell Inc non rilascia alcuna dichiarazione e non fornisce alcuna garanzia in merito a qualsiasi software e in particolare non riconosce alcuna garanzia espressa o implicita di commerciabilit o idoneit per uno scopo specifico Novell Inc si riserva inoltre il diritto di modificare qualsiasi parte del software Novell in qualsiasi momento senza alcun obbligo di notificare tali modifiche a qualsiasi persona fisica o giuridica Tutti i prodotti e le informazioni tecniche forniti in base al presente contratto potrebbero essere sottoposti al controllo delle esportazioni degli Stati Uniti e alle leggi in materia di scambi commerciali di altri paesi L utente accetta di rispettare tutti i regolamenti relativi al controllo delle esportazioni e di procurarsi tutte le licenze o le classificazioni necessarie per esportare rie
34. X di Gestione servizi di raccolta che consentono di Installare il servizio Gestione servizi di raccolta solo per Windows Rimuovere il servizio Gestione servizi di raccolta solo per Windows Impostareilservizio Gestione servizi di raccolta Stampare informazioni di debug complete Visualizzare la versione della build Visualizzare la guida Installazione del servizio Gestione servizi di raccolta solo per Windows Installazione del servizio Gestione servizi di raccolta solo per Windows 1 Al prompt dei comandi passare a workbench_home 2 Immettere il comando seguente agent manager bat install 2 4 Guida dell utente di Sentinel Wizard 3 Per avviare il servizio eseguire una delle operazioni seguenti Al prompt dei comandi digitare net start agent manager Fare clic su Start gt Impostazioni gt Pannello di controllo Fare doppio clic su Servizi e scegliere Gestione servizi di raccolta Avviare il servizio Gestione servizi di raccolta NOTA se la finestra Servizi gi aperta fare clic su Azione gt Aggiorna e avviare il servizio Gestione servizi di raccolta Rimozione del servizio Gestione servizi di raccolta solo per Windows Rimozione del servizio Gestione servizi di raccolta solo per Windows 1 Arrestare Gestione servizi di raccolta eseguendo una delle operazioni seguenti Al prompt dei comandi digitare net stop agent manager Fare clic su Start gt Im
35. a creazione dei modelli opportuno iniziare con uno stato di analisi di tipo solo breakpoint e aggiungere lo stato operativo Ricezione Analisi e cos via nello stato 2 Qualora sia necessario aggiungere uno stato all inizio del modulo preferibile eseguire questa operazione unicamente dopo il comando BREAKPOINT Non eliminare lo stato di analisi BREAKPOINT a meno che non sia necessario aggiungere un altro stato all inizio del modello E possibile inserire eventuali commenti nel comando BREAKPOINT per descrivere la funzionalit del modello Aggiunta di stati a un modello 1 Fare clic sulla scheda Servizi di raccolta per visualizzare il pannello contenente l albero omonimo 2 Nell albero dei servizi di raccolta scegliere un modello per visualizzare l editor di modelli nel pannello destro 3 Fare clic su Opzioni gt Aggiungi stato gt Trasmissione Ricezione Decisione Analisi Successivo Vai a o Arresto oppure fare clic sul pulsante corrispondente Guida dell utente di Sentinel Wizard E Trasmissione Di Ricezione Decisione H Analisi Successivo Mv n Interruzione 4 Mediante i pannelli di modifica nella parte inferiore del pannello dell editor di modelli inserire il nuovo codice in ogni stato a mano a mano che viene aggiunto In alternativa possibile trascinare e rilasciare un pulsante relativo allo stato Analisi dal lato sinistro dell editor di modelli all area di mo
36. accolta 17 aggiunta stato a un modello 4 autorizzazione utente gestione servizi di raccolta 2 avvio del Generatore servizi di raccolta 7 caricamento pi servizi di raccolta in una rete 17 servizio di raccolta in pi host 14 servizio di raccolta in un host 13 caricamento di servizi di raccolta 13 14 comandi di analisi da editor di testo da editor visuale viva Modifica asiatica comando di analisi sintattica LOORUP ii latini TRANSLATE componenti dei servizi di raccolta 1 3 configurazione file del modelli uscrr file dei parametri sii file di riCErca i creazione file dei MOdElli file dei parametri file di ricerca editor di testo immissione di comandi di analisi 6 editor visuale immissione di comandi di analisi 5 eliminazione file dei MOdElli 9 file di ricerca nasa iaia 10 esportazione host Wi ard airaa i r 8 file dei modelli configurazione spein 3 Crea ionNe asee ee i ip tee EN 3 elIMINAZIONE 9 Modifica iaia 8 file dei parametri configurazione i 7 creazione E AE 7 file di mappatu
37. aggi in ingresso al proxy syslog Questo argomento fa in modo che il proxy syslog esamini le informazioni contenute nell intestazione IP in modo da effettuare una valutazione in base ai criteri esposti Ci consente al filtro di gestire i relay server syslog che non forniscono i propri dati identificativi nei messaggi che inoltrano Sebbene questo argomento sia stato progettato per gestire i messaggi inoltrati possibile utilizzarlo per filtrare i messaggi inviati direttamente dall origine syslog In particolare i relay server o origini syslog interessati sono 192 16 0 12 e 192 16 0 0 16 il secondo dei quali in realt rappresenta un intervallo di indirizzi IP pertanto se l indirizzo IP dell origine compreso tra 192 16 0 0 e 192 16 255 255 i messaggi inviati sono conformi ai criteri del filtro I nomi host non sono ammessi poich non viene effettuata alcuna risoluzione per determinare il nome host corrispondente agli indirizzi IP delle origini host Sottoscrizione ai messaggi che contengono gli indicatori di host 17 16 8 0 24 o 10 1 1 13 all interno del messaggio syslog Il primo elemento un intervallo di indirizzi IP I messaggi che contengono un indicatore di host sotto forma di indirizzo IP compreso tra 17 16 8 0 e 17 16 8 255 soddisfano la condizione impostata nel filtro I nomi di host sono supportati dall argomento host ed possibile indicarli letteralmente oppure mediante espressioni regolari ricordando che anche
38. ato Il lato destro del pannello mostra gli script e le variabili RX_Buffer il cui nome pu essere lungo fino a 32 caratteri Sk visual Editor Text Editor Debugger a 1ps_acent_TW6 z Currently Debuggi SES Et State Script IDS_AGENT_TW6 e breakpdVULN_TW6 1 E Affinch il debugger sia efficace necessario che il primo stato sia uno stato di analisi e che vi siano comandi Breakpoint State 1 Parsing BI visual Editor Text Editor A Debugger n il b bi vun_rwe 7 Currently Debugging VULN_TW6 E State Script H Comments printf xFile sj main p FILER xFile xData i2 LENGTH i xData if i gt 0 strip xData 0di i REPLACE xData 10 i REPLACE xData Pa DI REPLACE xData FO x b Durante il debug attendere l aggiornamento del buffer di ricezione prima di eseguire un altra funzione iCount 5 i RXBufferLength 0 s_RXBufferString NOTA se l host della Gestione servizi di raccolta ha perso la connettivit S non possibile eseguire il debug delle relative porte Debug delle porte Wizard 1 Nell editor dei modelli scegliere la scheda Debugger nel pannello di modifica per accedere al Debugger Viene visualizzato un pannello vuoto che consente di selezionare da un elenco a discesa la porta Wizard della quale si intende eseguire il debug Facendo clic sulla scheda Host Wizard la porta in fase di debug indica che
39. c Desk17216 2174 Rx Tx Type Rx Tx Value Agent Start Stop Status Demo gent_PR Start Off i E Agents blah F E DemaAgent_NA Demo gent_PR J SendMultipleE vents H E Template_ODBC_Bv410 Template_SNMP_Bv410 Bws pi Pa g Agents E Wizard Hosts 6 Nella casella Nuovo modello dell albero dei servizi di raccolta digitare il nome del modello e premere Invio Selezionare il nuovo modello e fare clic sulla scheda dell editor di modelli 8 Nel pannello dell editor di modelli trascinare e rilasciare gli stati nell area di modifica mediante i pulsanti di stato a sinistra del pannello stesso Per informazioni sull aggiunta di stati a un modello vedere la sezione Aggiunta di stati ai modelli 9 Fare clic su Salva Aggiunta di stati ai file dei modelli 3 4 Tutti i servizi di raccolta iniziano l elaborazione in corrispondenza dello stato 1 indipendentemente dalla posizione di quest ultimo nel modello Presumendo che lo stato 1 si riferisca a un elaborazione inserire il nuovo stato dopo lo stato 1 Il Generatore servizi di raccolta assegna automaticamente il numero 1 al primo stato pertanto consigliabile che quest ultimo contenga esclusivamente il comando di analisi BREAKPOINTO L inserimento di un solo breakpoint dopo lo stato 1 facilita il debug poich l analizzatore sintattico si ferma automaticamente allo stato successivo Durante l
40. difica NOTA non utilizzare le virgolette doppie all interno della stringa di decisione nello stato omonimo ad esempio per individuare il delimitatore in un file di log o di decisione in caso contrario viene generato il messaggio di errore seguente ERRORE Lettura file del modello in corso Qualora una o pi virgolette siano inserire nella stringa di decisione o di delimitazione viene generato l errore seguente StateDecideString test 123 La soluzione alternativa consiste nell utilizzare 22 invece delle virgolette NOTA se viene selezionato un altro elemento della scheda Servizi di raccolta anche appartenente allo stesso servizio e quindi si torna al modello errato il Generatore servizi di raccolta visualizza il messaggio di errore seguente e non visualizza alcuna parte o stato del modello L errore si verifica perch le virgolette vengono utilizzate per delimitare i valori dei campi in un file tem Ad esempio StateDecideString test StateDelimiterString 123 Immissione di comandi di analisi mediante l editor visuale Sono disponibili due metodi per l immissione di un comando di analisi l editor visuale e l editor di testo E consigliabile limitare i comandi a 4096 Immissione di comandi di analisi mediante l editor visuale 1 Nell editor di modelli scegliere uno stato di analisi Quando si fa clic su un modello per aprirlo per default viene visualizzata la sch
41. e lkp rispetto alle quali vengono confrontati 1 valori ricevuti per determinare quali azioni intraprendere se necessario in risposta agli eventi di sicurezza I file di ricerca contengono clausole match utilizzate per confrontare le singole stringhe Sulla base delle clausole match di un file di ricerca specifico e i dati ricevuti dai dispositivi di origine il comando LOOKUP determina se la stringa di ricerca presente o assente I comandi di analisi possono eventualmente essere associati alla stringa match I comandi di analisi vengono eseguiti se si trova una corrispondenza File di mappatura 1 8 I file di mappatura sono file opzionali csv che consentono di eseguire una ricerca rapida delle voci chiave Il file csv il percorso relativo di una directory di script del Servizio di raccolta Attualmente questi file non possono essere modificati all interno di Generatore servizi di raccolta bens utilizzando Excel Guida dell utente di Sentinel Wizard Un esempio di file di mappatura Mese Numero Gen Feb Mar Apr Mag Giu Lug Ago Set Ott 10 Nov 11 Dic 12 ooNOQoQGAAOUON gt Le voci possono essere costituite da variabili degli script stringhe variabili o decimali in virgola mobile utilizzate per indicare le variabili nelle quali memorizzare i dati Nell esempio riportato i mesi vengono tradotti mappati in numeri ad esempio gennaio corrisponde a 1 File manifest I file manifest d
42. e di alcuna lingua poich esistono numerosi programmi per la violazione delle password in grado di elaborare milioni di possibili combinazioni di parole in pochi secondi 5 consigliabile scegliere una password facile da ricordare e allo stesso tempo complessa Ad esempio Mfhq5 ao Mio Figlio Ha Quasi 5 Anni Ormai oppure VaNdg 3a Vivo a Napoli Da Quasi 3 anni Modifica della password di Gestione servizi di raccolta in UNIX In qualit di utente esecadm passare alla directory WORKBENCH_HOME 2 Immettere il comando seguente ATTENZIONE non viene richiesta alcuna conferma della password n la password precedente agent manager sh password lt nuova password gt 3 Affinch la password diventi effettiva passare alla directory usr local bin e immettere il comando seguente agent manager sh restart 2 6 Guida dell utente di Sentinel Wizard Avvio del Generatore servizi di raccolta Avvio del Generatore servizi di raccolta l Fare clic su Start gt Programmi gt Sentinel gt Generatore servizi di raccolta oppure fare doppio clic sull icona Generatore servizi di raccolta sul desktop In base all installazione in uso eseguire il login come esecadm o mediante il nome utente per l autenticazione in Windows Login Password Ridenominazione di host Wizard Ridenominazione di host Wizard l In Generatore servizi di raccolta Wizard fare clic sulla scheda Host Wizard per aprire il pann
43. e e i servizi di raccolta dell host che si desidera caricare Nel secondo riquadro di selezione nel menu a discesa selezionare gli host nei quali si desidera effettuare il caricamento della configurazione NOTA per caricare la configurazione necessario effettuare almeno una selezione in almeno uno dei due riquadri possibile selezionare un servizio di raccolta diverso in ciascun riquadro Ogni servizio di raccolta selezionato nell elenco principale acquisisce la configurazione delle porte e i servizi di raccolta dell host selezionato nel riquadro con l etichetta Configurazioni delle porte host e dei servizi di raccolta che si desidera caricare a meno che non sia stata selezionata l opzione Nessuno Una volta completata l impostazione della configurazione di rete scegliere il pulsante Carica per iniziare il caricamento Upgrade dei servizi di raccolta Upgrade dei servizi di raccolta l Leggere la documentazione fornita con il nuovo servizio di raccolta che descrive le eventuali modifiche Memorizzare la nuova versione del servizio di raccolta nella directory workbench_home Elements del computer principale per il servizio di raccolta in questione Aprire il file dei parametri del servizio di raccolta che si sta sostituendo e tagliare e incollare i parametri uguali nel nuovo servizio Gestione di host Wizard 2 17 2 18 8 9 1 Se necessario come indicato nella documentazione del nuovo serviz
44. e in linea Per accedere alla documentazione in linea per questo e altri prodotti Novell e per ottenere aggiornamenti visitare il sito Novell all indirizzo www novell com documentation Marchi di fabbrica Novell Per i marchi Novell vedere l elenco disponibile all indirizzo http Awww novell com company legal trademarks tmlist html Materiali di terze parti Tutti i marchi di fabbrica di terze parti appartengono ai rispettivi proprietari Note legali di terze parti In Sentinel 5 possono essere incluse le tecnologie di terze parti seguenti Apache Axis e Apache Tomcat Copyright 1999 2005 Apache Software Foundation Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere http www apache org licenses ANTLR Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere http www antlr org Boost Copyright 1999 Boost org Bouncy Castle Copyright 2000 2004 the Legion of Bouncy Castle Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere http www bouncycastle org Checkpoint Copyright Check Point Software Technologies Ltd Concurrent pacchetto di utility Copyright Doug Lea Utilizzato senza classi CopyOnWriteArrayList e ConcurrentReaderHashMap Crypto Compilation Copyright 1995 2003 Wei Dai con i materiali protetti da copyright seguenti mars cpp di Brian Gladman e Sean Woods Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere
45. e indicare pi valori separandoli con un punto e virgola Trap Code s Codice trap codici trap per i sensori che inviano i trap SNMP Questi codici rappresentano i tipi di trap inviati da un determinato servizio di raccolta SNMP possibile indicare pi valori separandoli con un punto e virgola Impostazioni SNMP v2 v3 Security Name s Nome di sicurezza nome utente impiegato per accedere al servizio di raccolta I nomi di sicurezza prevedono la distinzione tra maiuscole e minuscole possibile indicare pi valori separandoli con un punto e virgola Autenticazione metodo utilizzato per l autenticazione I valori disponibili sono o Nessuno non viene effettuata alcuna autenticazione dei trap SNMP v3 o MDS ilnome di sicurezza configurato in modo da utilizzare l algoritmo MDS per creare una firma digitale per l autenticazione Chiave di autenticazione password utilizzata per effettuare l autenticazione dell utente nel servizio di raccolta Abilitata solo se l autenticazione MD5 Deve essere costituita almeno da otto caratteri Per le chiavi di autenticazione viene fatta distinzione tra maiuscole e minuscole necessario configurare la stessa chiave nel servizio di raccolta SNMP che effettua l invio Cifratura metodo utilizzato per la cifratura I valori disponibili sono o Nessuno non viene effettuata alcuna cifratura dei trap SNMP v3 2 DES il sistema si predispone a ricevere trap cifrati con il met
46. eda dell editor visivo Generazione e manutenzione dei servizi di raccolta 3 5 3 6 Template Editor Parsing Ci Parameters E N 7 4 Yes al o M State 3 Parsing EI Visual Editor Text Editor 3 Debugger Li E Commands E State Script i H E Comments PRINTF s_Tmp The agent v PRINTF s_Tmp1 Zs BadCor DISPLAY s_Tmp K ALERT s_Tmpl s_Tmp 5 D EdPESIMO i EA n ra LM D P R S UY xY 2 Nel editor visuale trascinare i comandi di analisi verso il lato destro del pannello State 3 Parsing BA visual Editor Text Editor A Debugger Li E KLM dE N 0 P E State Script Comments d negsearch PRINTF s_Tmp The agent v 3 numtohex PRINTF s_Tmp1 s BadCor parser_attachvariable fi DISPLAY s_Tmp parser_createbasic iK ALERT s_Tmp1 s_Tmp 5 parser_next parser_parsestring pause E popup AMIN RS 3 Immettere i valori degli argomenti nella finestra dell editor dei comandi popup Scegliere un tipo i tipi corrispondenti a ogni comando di analisi sono descritti nella Guida di riferimento dell utente di Sentinel Specificare un valore i valori vengono definiti per una determinata applicazione Esempi di valori per ogni comando di analisi sono disponibili nella Guida di riferimento dell utente di Sentinel Immissione di comandi di analisi mediante l editor di testo 1 Nell editor dei modelli fare clic sulla scheda de
47. eguente la porta in uso ed necessario sceglierne un altra 5555 0000 LISTEN 3 Come utente radice modificare file etc services e aggiungere una voce per il nuovo servizio socket alla fine del file Nell esempio seguente viene mostrato come aggiungere una riga per il servizio syslog_monitor configurato in modo da porsi in ascolto della porta TCP 5555 syslog _monitor5555 tcp 4 Modificare il file etc inetd conf e aggiungere una voce per il nuovo servizio socket alla fine del file Nell esempio seguente viene mostrato come aggiungere una riga Configurazione di un server socket su un host UNIX B 1 per il servizio syslog_monitor configurato in modo da eseguire lo script lusr local bin in syslog_monitor Inserire quanto segue in campi separati da tabulazioni in una sola riga del file indipendentemente dalla modalit di visualizzazione syslog monitor stream tcp nowait nobody usr local bin in syslog monitor in syslog monitor 5 Eseguire il comando seguente per attivare il processo del server socket kill HUP bin ps ef grep inetd grep v grep awk print 2 6 Collaudare il server socket A tal fine connettersi tramite Telnet alla porta desiderata per ricevere il contenuto del file di log telnet localhost 5555 Per concludere la sessione Telnet eseguire control e digitare quit al prompt telnet gt B 2 Guida dell utente di Wizard aggiornamento servizi di r
48. ei file dei parametri 3 7 Creazione e configurazione dei file di ricerca 3 8 Sommario 1 Script sciare earlier eine Creazione di una porta WIZard uisrniia a iaia ai Processi permanenti e transitori a ie RO deei di iiaeia dis Configurazione del valore Rx Tx per le connessioni permanenti e transitorie RX TX Type Tipo RITO follonica ei iosa a Impostazione di trap SNMP ii Indirizzi IP del servizio di raccolta unnrn iraniana ai Versione SNMP heinera Ea I NE Rial e Lanier Porta trap UDP rin iaia e Ra ail eni RSI ee Impostazion SNMP vili puri lalla ia edi eni Impostazioni SNMP V2 V3 i Variabilitrap SNMP ifia aeneon Aia a Variabili trap SNMP per SNMP V1 e V3 Variabili trap SNMP per SNMP V1 ntent Variabili trap SNMP per SNMP V3 unnt tt unak kt netk unn Annatuu nankuna Ennan eE nena A Connettore syslog v1 0 2 Architettura sainia a a aaa lia Installazione e disinstallazione i Requisiti del sistema i uns aaa ae Installazione nia banali Ara na ai a Ania Disinstallazione lar ir Ei Aria elite Utilizzo e ee a ae ae E A aae a A aaa aE Server LLA ESIAS E EA T AA A E EE Client del connettore Syslog ninis innii a A a ee Configurazione della registrazione per il server proxy SYSIOG i Esempi di argomenti della riga di COMANdO i Tabella delle strutture s
49. ello dell albero corrispondente Nell albero degli host Wizard fare clic con il pulsante destro del mouse sull host che si intende rinominare quindi scegliere di ridenominare l host E possibile rinominare unicamente gli host attivi Immettere il nuovo nome dell host e premere Invio NOTA la ridenominazione non altera l ID numerico assegnato agli host Wizard durante l installazione Questa informazione memorizzata in WORKBENCH _HOME wizard agents names dat Eliminazione di host Wizard Per eliminare un host necessario prima rimuoverlo dalla rete poich non possibile rimuovere host che comunicano attraverso di essa Se un host presente all interno della rete ma non effettua alcuna comunicazione nell albero degli host Wizard la relativa icona contrassegnata da una X rossa Eliminazione di host Wizard l Fare clic sulla scheda Host Wizard per visualizzare il pannello contenente l albero omonimo Nell albero Host Wizard fare clic con il pulsante destro del mouse sull host Fare clic su Elimina host Riavvio di host Wizard Riavvio di host Wizard 1 Fare clic sulla scheda Host Wizard per visualizzare il pannello contenente l albero omonimo e selezionare un host Fare clic con il pulsante destro del mouse su un host e scegliere di avviare le porte E possibile riavviare unicamente gli host attivi Gestione di host Wizard 2 7 Esportazione di host Wizard Esportazione di hos
50. engono quindi inviati a Sentinel affinch li utilizzi per correlare analisi generare report e rispondere ai casi in tempo reale Introduzione a Wizard 1 1 NOTA sebbene non sia obbligatorio consigliabile che in una configurazione che preveda pi istanze di Generatore servizi di raccolta di Wizard una di esse sia indicata come principale Il computer in questione viene pertanto utilizzato per memorizzare sviluppare o modificare i servizi di raccolta nonch per configurare porte Wizard costituito dai componenti seguenti Generatore servizi di raccolta l interfaccia utente di Wizard che consente di creare configurare distribuire e controllare i servizi di raccolta Oltre che per eseguire i servizi di raccolta a livello locale possibile utilizzare il generatore per caricare scaricare e controllare questi ultimi nei sistemi remoti Gestione servizi di raccolta il componente back end di Wizard che gestisce 1 servizi di raccolta e i messaggi di stato del sistema ed esegue il filtro globale degli eventi Un Servizio di raccolta raccoglie e normalizza gli eventi non elaborati da programmi e dispositivi di sicurezza e fornisce in output eventi normalizzati che possano essere correlati segnalati e utilizzati per rispondere ai casi Il software Sentinel viene fornito con servizi di raccolta di livello 1 Per scaricare ulteriori servizi di raccolta visitare il portale del servizio clienti all indirizzo http www esec
51. ervizi di raccolta attiva l analisi per mezzo del servizio di raccolta appropriato Lo stato Rx analisi inoltra i dati dei trap SNMP interni al servizio di raccolta possibile configurare tutte le informazioni utilizzate per raccogliere e analizzare i trap SNMP v e v3 Itrap SNMP v sono identificati mediante l indirizzo IP e l identificatore dell oggetto IDO nonch tramite il codice trap Ttrap SNMP v2 v3 sono identificati mediante l indirizzo IP il nome di sicurezza l ID del motore le chiavi di autenticazione e di cifratura se abilitate nel trap e l identificatore dell oggetto IDO Il formato originale del trap in termini di valori viene mantenuto il pi possibile inalterato Esso normalmente definito nel MIB database delle informazioni di gestione relativo al sensore da cui originato l evento Per ulteriori informazioni vedere Impostazione di trap SNMP Tipo di connessione nessuno Questa impostazione viene utilizzata in assenza di porte di comunicazione ed pi efficiente poich non tenta di effettuare alcuna connessione Il suo impiego necessario quando un servizio di raccolta non utilizza lo stato di ricezione e si limita a elaborare i comandi Per ulteriori informazioni sull impostazione dei servizi di raccolta che non utilizzano alcuna connessione consultare la relativa documentazione ad esempio ISS RealSecure e ISS SiteProtector per i servizi di raccolta dispon
52. etworks Associates Technology Inc Copyright 2001 2003 Cambridge Broadband Ltd Copyright 2003 Sun Microsystems Inc e Copyright 2003 2004 Sparta Inc Per ulteriori informazioni esclusioni di garanzia e limitazioni visitare il sito Web all indirizzo http net snmp sourceforge net in lingua inglese The OpenSSL Project Copyright 1998 2004 the Open SSL Project Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere http www openssl org Oracle Help for Java Copyright 1994 2006 Oracle Corporation RoboHELP Office Copyright Adobe Systems Incorporated precedentemente di Macromedia Skin Look and Feel SkinLF Copyright 2000 2006 L2FProd com Concesso in licenza in conformit ad Apache Software License Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere https skinlf dev java net Sonic Software Corporation Copyright 2003 2004 Il software SSC include software di sicurezza concesso inlicenza da RSA Security Inc Tinyxml Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere http grinninglizard com tinyxmldocs index html SecurityNexus Copyright 2003 2006 SecurityNexus LLC Tutti i diritti riservati Xalan e Xerces entrambi concessi in licenza da Apache Software Foundation Copyright 1999 2004 Per ulteriori informazioni esclusioni di garanzia e limitazioni visitare il sito Web all indirizzo http xml apache org dist LICENSE
53. ezionate La porta UDP di default la 514 mentre la porta TCP la 1468 ossia quella normalmente utilizzata dal firewall PIX Cisco per inviare messaggi mediante il protocollo TCP Connettore Syslog Connettore Syslog Connettore Syslog Di seguito vengono descritte le funzioni svolte da ogni componente del connettore syslog Proxy syslog a Siponeinascolto della porta UDP e o TCP per la rilevazione di messaggi syslog a Analizza i messaggi in ingresso alla ricerca di componenti standard dei messaggi syslog Priorit Data Nome host e Messaggio o Qualora l origine invii messaggi privi dei componenti Priorit Data o Nome host si attiene alla RFC 3164 BSD Syslog Protocol e inserisce i dati mancanti Connettore syslog A 1 o Una volta determinati i componenti struttura e livello in base ai valori Priorit e Nome host il proxy pubblica il messaggio alle sessioni del connettore syslog interessate o Qualora la sessione client del connettore syslog venga interrotto il proxy syslog accoda i messaggi in ingresso per il client in questione per 10 minuti Questo comportamento assicura che il servizio di raccolta non perda messaggi quando viene riavviato o interrotto temporaneamente o Il proxy syslog si pone in ascolto di una porta TCP in genere la 9091 per servire le sessioni client del connettore syslog Client del connettore syslog o Il connettore viene avviato come processo permanente le cui opzioni relative al
54. file di log nella casella Rx Tx Value Valore Rx Tx Per ulteriori informazioni sulla configurazione dei servizi di raccolta che utilizzano questo tipo di connessione consultare la relativa documentazione ad esempio Solaris Syslog per i servizi di raccolta disponibile in sworkbench home elements lt nome servizio di raccolta gt docs Connessione file tutti 3 12 La connessione file tutti viene utilizzata per acquisire tutti i dati relativi agli eventi di sicurezza contenuti in un file Selezionando le connessioni file nuovi e file tutti possibile immettere inputfile o outputfile nella casella Rx Tx Value Valore Rx Tx Il formato il seguente Guida dell utente di Sentinel Wizard inputfile outputfile oppure inputfile oppure outputfile Se si seleziona la connessione file nuovi o file tutti e le dimensioni del file diminuiscono il file stesso viene letto dall inizio Per ulteriori informazioni sulla configurazione dei servizi di raccolta che utilizzano questo tipo di connessione consultare la relativa documentazione ad esempio Solaris Syslog peri servizi di raccolta e registro eventi di Windows 2000 disponibile in sworkbench home elements lt nome servizio di raccolta gt docs Connessione processo permanente La connessione processo permanente viene utilizzata per attivare un processo permanente all avvio della porta Il processo comunica con il servizio di racco
55. fle tutti tir a a a a aiaia 12 TRANSLATE 0030 a ia 1 4 trap SNMP ariana nin 17 ACCESSO i ala 17 TIE ri iioi E 1 4 valore Rx Tx processo permanente 16 processo transitorio 16 Indice
56. g lt nome file gt Nome del file di log in cui effettuare le registrazioni Per attivare la registrazione aggiungere le due righe seguenti al file syslog conf dopo l ultima stringa wrapper app parameter wrapper app parameter l1 log wrapper app parameter 12 lt nome file gt Ad esempio per attivare la registrazione per il file ESEC_HOME wizard syslog messages log modificare le impostazioni come segue wrapper app parameter 7 connector wrapper app parameter 8 9091 wrapper app parameter 9 messageSize wrapper app parameter 10 5000 wrapper app parameter 1l1l log wrapper app parameter 12 messages log Se il nome del file non contiene un percorso assoluto quello specificato si riferisce alla directory ESEC_HOME wizard syslog NOTA le dimensioni del file di log possono aumentare in modo significativo quindi opportuno accertarsi che la posizione dove viene memorizzato il file disponga di abbondante spazio libero quindi preferibile utilizzare una directory che non si trovi in ESEC _HOME consigliabile eseguire il proxy syslog con almeno 64 MB e non oltre 256 MB di memoria heap JVM Java Virtual Machine Questa configurazione consente normalmente di ottenere le prestazioni seguenti Limiti del server proxy Numero massimo di eventi __500 eps in totale per tutte le porte client Dimensioni Q massime del 5000 messaggi valore di default in assenza di altre san connettore _____________ ndicazioni ic
57. gni host Wizard a pi porte affinch effettui il monitoraggio dei dati provenienti da pi servizi di raccolta Gli host Wizard possono disporre di porte per servizi Gestione di host Wizard 2 1 di raccolta che si collegano a vari tipi di origini dati Per eseguire singoli servizi di raccolta su un porta host Wizard necessario caricarli Le porte inoltre forniscono al Gestore dei servizi di raccolta informazioni sull ubicazione delle origini dati Autorizzazioni degli host Wizard Le autorizzazioni degli host Wizard vengono gestite per mezzo della scheda Amministratore di Sentinel Control Center Le autorizzazioni utente relative agli host Wizard sono Autorizzazione Descrizione Visualizzazione dei Consente di visualizzare la scheda Servizi di raccolta servizi di raccolta in Sentinel Control Center Consente di visualizzare la scheda Host Wizard nel Generatore servizi di raccolta Controllo dei servizi di Include tutte le funzionalit dell autorizzazione relativa raccolta alla visualizzazione dei servizi di raccolta Consente il comando e il controllo dei servizi di raccolta da Sentinel Control Center Consente il comando e il controllo dei servizi di raccolta da Generatore servizi di raccolta di Wizard Amministrazione dei Includetutte le funzionalit dell autorizzazione relativa servizi di raccolta ai comandi del servizio di raccolta Nel Generatore servizi di raccolta modifica e distribuzione del
58. go SNMP Trap Setup Impostazione trap SNMP aperta facendo clic con il pulsante destro del mouse sul pannello Informazioni sulla porta del Generatore servizi di raccolta e quindi facendo clic su Edit Rx Tx Value Modifica valore Rx Tx consente di configurare Wizard affinch Ricevaitrap su porte diverse dalla porta UDP 162 default Crei un solo script di analisi di Wizard per l elaborazione di trap provenienti da pi indirizzi IP con informazioni quali vari codici trap e identificatori di oggetti IDO trap Consental individuazione di espressioni regolari POSIX in relazione a indirizzi IP identificatori di oggetti IDO aziendali codici trap e campi IDO trap Una volta decodificati i trap Wizard imposta i valori delle variabili comprese nello script Indirizzi IP del servizio di raccolta 3 20 Gli indirizzi IP del servizio di raccolta sono quelli ai quali si desidera ricevere i trap possibile indicare pi valori separandoli con un punto e virgola possibile inoltre utilizzare il formato lt espressione gt per individuare le espressioni regolari conformi a POSIX L asterisco un modificatore del carattere o dell espressione precedente e nel caso delle espressioni regolari il punto pu essere utilizzato come carattere jolly ovunque della stringa Le espressioni regolari pi comunemente utilizzate sono le seguenti individua qualsiasi sequenza di caratteri indipendentemente dalla
59. http www eskimo com gt weidai License txt Crystal Reports Developer e Crystal Reports Server Copyright 2004 Business Objects Software Limited DataDirect Technologies Corp Copyright 1991 2003 edpFTPj concesso in licenza in base alla GNU Lesser General Public License Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere http www enterprisedt com products edtftpj purchase html Enhydra Shark concesso in licenza in base alla Lesser General Public License disponibile all indirizzo http shark objectweb org license html ICEsoft ICEbrowser ICEsoft Technologies Inc Copyright 2003 2004 ILOG Inc Copyright 1999 2004 Installshield Universal Copyright 1996 2005 Macrovision Corporation e o Macrovision Europe Ltd Java 2 Platform Standard Edition Copyright Sun Microsystems Inc Per ulteriori informazioni esclusioni di garanzia e limitazioni visitare il sito Web all indirizzo http java sun com j2se 1 4 2 j2re 1_4 2 10 license txt in lingua inglese Java 2 Platform pu inoltre includere i prodotti di terze parti seguenti n CoolServlets 1999 2 DES and 3xDES 2000 by Jef Poskanzer o Crimson 1999 2000 The Apache Software Foundation n XalanJ2 1999 2000 The Apache Software Foundation a NSIS 1 0j 1999 2000 Nullsoft Inc 2 Eastman Kodak Company 1992 o Lucinda marchio o marchio registrato di Bigelow e Holmes a Taligent Inc 2 IBM alcuni componenti disponibili al
60. ibile in sworkbench home elements lt nome servizio di raccolta gt docs Creazione assegnazione avvio e arresto di porte Wizard 3 14 Creazione di porte Wizard 1 Perinformazioni sulla configurazione del servizio di raccolta consultare la documentazione del servizio di raccolta disponibile in workbench_home elements lt nome servizio di raccolta gt docs 2 Fare clic sulla scheda Servizi di raccolta e selezionare un servizio Guida dell utente di Sentinel Wizard 3 Nel Generatore servizi di raccolta fare clic sulla scheda Host Wizard Nel pannello Informazioni sulla porta situato sul lato destro fare doppio clic su Nuovo digitare il nome della porta e premere Invio 5 Scegliere un tipo Rx Tx 6 Specificare le opzioni di configurazione in base al tipo di connessione selezionato Perle connessioni seriali e socket nella casella relativa al nome della porta fare clic su quest ultimo e scegliere Edit Rx Tx Value Modifica valore Rx Tx Indicare una selle serie di opzioni seguenti a Perle connessioni seriali scegliere velocit di trasmissione dimensioni della parola e bit di start e di stop Fare clic su OK o Perle connessioni socket immettere l indirizzo IP e il numero della porta del computer host separati da due punti Se non si intende utilizzare lo stato di ricezione impostare il tipo su Nessuno e fare clic su OK Per tutte le altre connessioni fare doppio clic sulla cella Rx Tx Value Valore Rx Tx
61. ie Questo insieme pu essere considerato uno spazio a n dimensioni nel quale ogni n tupla indica una cella Il prodotto cartesiano pi semplice di due serie una tabella bidimensionale o una tabulazione incrociata le cui celle possono essere utilizzate per immettere frequenze indicare possibilit vedere relazione o impossibilit vedere vincolo oppure per tenere traccia delle transizioni che si riferiscono al comportamento di un sistema Krippendorff NOTA alla data di pubblicazione di questo documento l indirizzo del sito Web risultava corretto Ci significa che in teoria un numero elevato di messaggi distinti potrebbe superare questo filtro Pertanto il numero di messaggi diversi viene indicato con precisione solo dalle condizioni operative reali Oltre a filtrare gli argomenti della riga di comando possibile utilizzare gli argomenti seguenti proxy lt indirizzo server gt lt n Indirizzo dell host del proxy server porta gt syslog e numero della porta a cui effettuare il collegamento log lt nome file gt Consente di effettuare la registrazione nel file indicato L argomento proxy consente di configurare il client del connettore affinch effettui il collegamento a una porta TCP diversa da quella di default o a un host diverso da quello locale Per default il proxy syslog si aspetta che le connessioni dei client avvengano sulla porta 9091 Qualora questa porta non sia disponibile nell host
62. ifferenziano i servizi di raccolta della versione 5 da quelli precedenti Questi file consentono la distribuzione dei servizi di raccolta dalla Console Sentinel nonch la gestione delle versioni dei servizi stessi L analisi dei servizi di raccolta definita nel file agent lkp I casi su cui viene effettuata la ricerca sono Setup impostazione di variabili e parametri effettuata una sola volta Check Setup verifica delle variabili e dei parametri impostati effettuata una sola volta Initialize Vars fase iniziale di ogni ciclo nella quale le variabili vengono inizializzate una volta per analisi Parse luogo dove viene eseguita l analisi Ci consente di inserire l analisi di nuovi servizi di raccolta nei modelli esistenti nonch di sovrapporre nuove versioni dell analisi del servizio di raccolta per aggiornare il codice Di seguito viene riportato l elenco dei file manifest e il relativo contenuto per la versione 5 0 agentnfo o product Snort n product vendor GNU O product version 2 0 O productsecurity type IDS a productsensor type N o product name IDSx GNUx SNRT o file version l Introduzione a Wizard 1 9 Altri riferimenti di Sentinel Sono disponibili i manuali seguenti con i CD di installazione di Sentinel Guida all installazione di SentinelTM Guida dell utente di SentinelTM 5 Guida dell utente di SentinelTM Wizard Guida di riferimento dell utente di SentinelTM Guida all integrazione di soluzi
63. immettere le informazioni necessarie e premere Invio Perle connessioni trap SNMP vedere Impostazione di trap SNMP Fare doppio clic sulla cella dei servizi di raccolta e scegliere il nome del servizio 8 Fare clic sull opzione Port Name Nome porta quindi su Other Port Options Altre opzioni porta viene visualizzata la finestra di dialogo Other Port Options Altre opzioni porta 9 Selezionare o deselezionare la casella di controllo Run Port at Startup Esegui porta all avvio scegliere la sequenza di avvio e fare clic su OK 10 Se si sta creando una porta per l host locale fare clic su File gt Salva e deselezionare l opzione Informazioni sulla porta Se si sta creando una porta per un host remoto fare clic su File gt Carica Scarica La porta viene aggiunta al pannello Informazioni sulla porta Per implementare la nuova porta non necessario riavviare il sistema Fare clic su Avvio per modificare lo stato della nuova porta da Disattivo ad Attivo Processi permanenti e transitori Grazie ai processi permanenti e transitori Wizard in grado di interagire con altre applicazioni per mezzo di script che ricevono o trasmettono dati e risposte alle analisi Ogni script viene eseguito su una porta diversa ognuna collegata a una determinata applicazione NOTA le applicazioni sono specificate nella casella Rx Tx Value Valore Rx Tx I nomi dei processi possono contenere Spazi Barre e barre rovesciate
64. io di raccolta eliminare o aggiungere nuove variabili ai parametri Se si aggiungono nuove variabili necessario popolarle Salvare il file dei parametri nel nuovo servizio di raccolta Creare il nuovo servizio di raccolta Modificare le informazioni relative alla configurazione della porta per utilizzare il nuovo servizio di raccolta Salvare le informazioni relative alla configurazione della porta Caricare il nuovo servizio di raccolta e la configurazione della porta 0 Riavviare la porta Guida dell utente di Sentinel Wizard Generazione e manutenzione dei servizi di raccolta NOTA il termine agente equivalente a servizio di raccolta Si far in seguito riferimento agli agenti come servizi di raccolta NOTA Per gli utenti di MS SQL 2000 la dimensione degli eventi non pu superare gli 8 KB I servizi di raccolta analizzano i dati provenienti da un origine di eventi di sicurezza e li inviano a Sentinel Essi vengono creati attivati e mantenuti mediante la procedura guidata Generatore servizi di raccolta Fare clic sulla scheda Servizi di raccolta per visualizzare l albero corrispondente e individuare tutti i servizi di raccolta e i relativi componenti disponibili nel sistema Sentinel in uso Wizard i iol xi File Edit View Options Preferences Help 0 0 l ojola Current Host Tanuki _MAIN Template Editor main Za Parameters PIERI Yes o Yes 5 o Ye B E DemoEvents E Dem
65. ione ed evidenziare il file del modello Sul lato destro fare clic sulla scheda dei parametri Impostare i valori dei parametri desiderati come descritto nella documentazione del servizio di raccolta operazione facoltativa Se si desidera che il servizio di raccolta non venga avviato all avvio o che consideri valido l orario del dispositivo fare clic sulla scheda Host Wizard fare clic con il pulsante destro del mouse sul nome della porta Wizard scegliere Altre opzioni porta e deselezionare la voce Esegui porta all avvio o selezionare la voce Considera valida l ora del dispositivo Fare clic su OK Fare clic su Salva Fare clic sulla scheda Servizi di raccolta per visualizzare il pannello contenente l albero omonimo Fare clic su un servizio di raccolta Fare clic su una delle opzioni seguenti File gt Carica Scarica Fare clic con il pulsante destro del mouse sul servizio di raccolta quindi scegliere Carica servizio di raccolta Pulsante Carica Scarica Viene visualizzata la finestra Carica Scarica Nella finestra Carica Scarica fare clic sulla scheda Host e selezionare o deselezionare la casella di controllo Carica i servizi di raccolta durante il caricamento Se questa casella di controllo selezionata i servizi di raccolta selezionati nella scheda omonima vengono caricati Questa casella di controllo selezionata di default Quando si effettua il download di un servizio di raccolta da un host essa non ha a
66. ione di Sentinel Advisor Crystal Reports per Sentinel Volume Il Guida dell utente di Sentinel In questa guida vengono descritti gli argomenti seguenti Funzionamento della console Sentinel Configurazione eventi Funzioni di Sentinel per rilevanza aziendale Architettura di Sentinel Servizio di mappatura Comunicazione di Sentinel Rapporti cronologici Arresto Avvio di Sentinel Gestione di host Wizard Valutazione delle vulnerabilit Casi Monitoraggio degli eventi Situazioni Filtraggio degli eventi Gestione utenti Correlazione degli eventi Workflow Gestione dati Sentinel Volume lll Guida dell utente di Wizard In questa guida vengono descritti gli argomenti seguenti Funzionamento della procedura guidata Gestione di host Wizard Generatore servizi di raccolta Creazione e manutenzione dei servizi Gestione servizi di raccolta di Wizard di raccolta servizi di raccolta Volume IV Guida di riferimento dell utenti di Sentinel In questa guida vengono descritti gli argomenti seguenti Linguaggio di script di Wizard Motore di correlazione di Sentinel Comandi di analisi sintattica di Wizard Autorizzazioni utente Funzioni dell amministratore di Wizard Opzioni della riga di comando Tag META di Wizard e Sentinel di correlazione Schema database Sentinel Volume V Guida all integrazione di soluzioni di terze parti di Sentinel Remedy HP Service Desk Operazio
67. l elaborazione all interno dello script non procede fino a quando la il confronto con la stringa per la determinazione del delimitatore non restituisce il valore true e viene ricevuto il numero minimo di byte o la durata dell attesa raggiunge il valore di timeout Byte minimi il numero minimo di byte il numero di byte che devono essere ricevuti prima che Wizard utilizzi il periodo di timeout di default oppure prosegua l elaborazione L elaborazione nello script non continua fino a quando non viene ricevuto il numero minimo di byte Stringa di decisione per la delimitazione viene completata quando il tipo di ricezione delim timeout Delimitatore timeout o delim wait Delimitatore attesa L elaborazione a livello del servizio di raccolta non passa allo stato successivo fino a quando la stringa di decisione per il delimitatore non corrisponde ai dati in ingresso e non stato ricevuto il numero minimo di byte La stringa di decisione per la delimitazione un espressione regolare conforme a POSIX 1003 2 Scenari per i tipi di ricezione esistono quattro tipi di scenari per i tipi di ricezione ovvero Scenario timeout una volta raggiunto lo stato Ricezione l elaborazione si interrompe fino a quando non viene letto il numero minimo di byte o non trascorre il numero di secondi indicato da RX_TIMEOUT_DELAY Una volta che Wizard ha ricevuto pi del numero minimo di byte specificato oppure il timeout stato superato
68. l file dei modelli compresi i punti di decisione basati sulle modalit di applicazione degli stati Creazione e configurazione del file dei parametri Creazione e configurazione del file di ricerca facoltativo Generazione dello script Assegnazione di una sequenza di avvio Creazione della porta assegnazione del servizio di raccolta alla porta e suo avvio Passaggi fondamentali per l implementazione dei servizi di raccolta I passaggi fondamentali per implementare un servizio di raccolta sono i seguenti 3 2 Determinare ci che si desidera monitorare Determinare come monitorare i dati Determinare il sistema operativo del prodotto a Sel hosteil prodotto sono co locati il modo pi logico per acquisire i dati leggerli nel file di log del prodotto o Se invece l hoste il prodotto non si trovano nello stesso computer possibile ottenere i dati necessari mediante l impostazione di un file system di rete ad esempio NFS Samba o share SMB una connessione socket TCP IP oppure una connessione seriale Generare i servizi di raccolta e avviare le porte Se si utilizzano host remoti caricare al loro interno i file dei servizi di raccolta Avviare le porte per eseguire gli script di avvio le informazioni raccolte vengono riportate attraverso il sistema Sentinel Guida dell utente di Sentinel Wizard Il monitoraggio verr No eseguito tramite una connessione seriale RS 232C Agente origi
69. l indirizzo http oss software ibm com icu4j Per ulteriori informazioni relative alle tecnologie di terze parti e le rispettive esclusioni di garanzia e limitazioni vedere http java sun com j2se 1 4 2 2se 1_4 2 thirdpartylicensereadme txt JavaBeans Activation Framework JAF Copyright Sun Microsystems Inc Per ulteriori informazioni esclusioni di garanzia e limitazioni visitare il sito Web all indirizzo www java sun com products javabeans glasgow jaf htm in lingua inglese e fare clic sul collegamento per scaricare la licenza JavaMail Copyright Sun Microsystems Inc Per ulteriori informazioni esclusioni di garanzia e limitazioni visitare il sito Web all indirizzo www java sun com products javabeans glasgow jaf htm in lingua inglese e fare clic sul collegamento per scaricare la licenza Java Ace di Douglas C Schmidt e il suo gruppo di ricerca presso la Washington University e Tao con wrapper ACE di Douglas C Schmidt e il suo gruppo di ricerca presso la Washington University University of California Irvine e Vanderbilt University Copyright 1993 2005 Per ulteriori informazioni esclusioni di garanzia e limitazioni visitare i siti Web agli indirizzi http www cs wustl edu schmidt ACE copying html e http www cs wustl edu pjain java ace JACE copying html in lingua inglese Moduli Java Authentication e Authorization Service JAAS concessi in licenza in base alla Lesser General Public License Per ul
70. lcun effetto Nell elenco selezionare gli host Wizard nei quali si desidera caricare i servizi di raccolta Tutti gli host Wizard della rete vengono inclusi automaticamente nell elenco I pulsanti indicano se il computer host in linea Fare clic su Seleziona tutto per selezionare tutti gli host Wizard dell elenco Fare clic su Nessuna selezione per deselezionare tutti gli host Wizard dell elenco Fare clic su Carica per caricare i servizi di raccolta selezionati negli host desiderati La prima volta che si esegue questa operazione viene chiesta la password di Gestione servizi di raccolta anche nel caso di host Wizard locali Download di un host Download di un host ATTENZIONE se si scarica un host che presenta un servizio di raccolta con lo stesso nome di uno all interno dell host locale il servizio di raccolta dell host locale viene sovrascritto senza alcun preavviso Gestione di host Wizard 2 15 1 Fareclic sulla scheda Host Wizard per visualizzare il pannello contenente l albero degli host 2 Nell albero degli host Wizard fare clic sull host del quale si desidera effettuare il download 3 Fare clic su una delle opzioni seguenti File gt Carica Scarica Fare clic con il pulsante destro del mouse sul servizio di raccolta quindi scegliere Carica servizio di raccolta Pulsante Carica Scarica Viene visualizzata la finestra Carica Scarica Il servizio di raccolta selezionato contrassegnat
71. ll editor di testo 2 Immettere manualmente i comandi di analisi desiderati Utilizzare il tasto Tab della tastiera per allineare il testo quando si utilizza un font fisso E possibile copiare tagliare e incollare le funzioni come in un normale editor di testo Guida dell utente di Sentinel Wizard Modifica dei comandi di analisi Command Name COPY Arguments Arguments Argument Use Type Value Destination String Mandatory ssa ll dl Search String Mandatory String z dl Optional Number Description Copy strings from Rx Buffer to a string variable until search string i Cancel Argomenti contiene tutti gli argomenti possibili per il comando di analisi selezionato nell editor visuale Argument Use Uso argomenti definisce se l argomento obbligatorio o facoltativo Tipo determina il tipo di variabili ad esempio stringhe variabili stringa numeri numeri variabili decimali a virgola mobile variabili decimali a virgola mobile o variabili predefinite Valore indica il valore definito dall utente per la variabile mostrata nella colonna Tipo Modifica dei comandi di analisi 1 Nell editor visuale possibile Fare clic con il pulsante destro del mouse su un comando di analisi e scegliere Aggiungi all elenco analisi degli stati Fare doppio clic su un comando di analisi per aprire l editor dei comandi 2 Compilare le caselle Tipo
72. lta assegnato alla porta e con un applicazione esterna ricevendo e trasmettendo gli stati I processi permanenti iniziano in corrispondenza del primo stato di lettura scrittura vengono eseguiti per tutto il tempo in cui la porta rimane attiva e vengono terminati dalla relativa porta nell ambito della procedura di arresto al termine della quale viene inviato un evento di livello 5 All avvio della porta invece viene inviato un evento di livello 1 Per ulteriori informazioni consultare la sezione Processi permanenti e transitori Per informazioni sull impostazione del valore Rx Tx per questo tipo di connessione consultare la sezione Impostazione del valore Rx Tx per connessioni permanenti e transitorie Rx Tx Type Tipo Rx Tx Per ulteriori informazioni sulla configurazione dei servizi di raccolta che utilizzano connessioni permanenti consultare la relativa documentazione ad esempio Firewall e VPN Check Point per i servizi di raccolta disponibile in sworkbench home elements lt nome servizio di raccolta gt docs Connessione processo transitorio La connessione processo transitorio viene utilizzata per attivare un processo transitorio all avvio della porta Il processo comunica con il servizio di raccolta assegnato alla porta e con un applicazione esterna ricevendo e trasmettendo gli stati I processi transitori possono venire avviati pi volte e vengono terminati dalla relativa porta nell ambito della procedura
73. lunghezza 192 168 individua qualsiasi sequenza di caratteri contenente 192 168 Per individuare le sequenze che presentano un determinato inizio utilizzare 192 168 dove il delimitatore della parte iniziale Per individuare le sequenze che presentano una determinata fine utilizzare 0 478 dove il delimitatore della parte finale abc Individua a o b o c a zA Z0 9 Individua ogni carattere dell alfabeto maiuscolo o minuscolo e qualsiasi cifra fra 0 e 9 In pratica dagli esempi precedenti di espressioni regolari possibile dedurre le regole seguenti corrisponde a un carattere qualsiasi corrisponde a nessuna o pi occorrenze della sequenza precedente corrisponde a ogni carattere della sequenza tra parentesi NOTA possibile combinare le regole precedenti Guida dell utente di Sentinel Wizard Versione SNMP possibile configurare una sola versione SNMP Le opzioni nei pannelli SNMP v1 Settings Impostazioni SNMP v1 e SNMP v2 v3 Settings Impostazioni SNMP v2 v3 vengono abilitate in base alla versione selezionata Porta trap UDP La porta UDP di destinazione di default la 162 Impostazioni SNMP v1 Queste impostazioni sono abilitate unicamente se nell elenco SNMP Version Versione SNMP stato selezionato SNMP v1 Enterprise OID s IDO aziendali identificatori degli oggetti utilizzati per determinare il tipo di servizio di raccolta che ha inviato il trap possibil
74. na porta che non richieda i privilegi dell utente radice ad esempio 1024 In questo caso probabilmente sar necessario reindirizzare i messaggi inviati alla porta 514 verso la porta sostitutiva selezionata Connettore syslog A 3 Disinstallazione Per disinstallare il proxy eseguire i comandi seguenti al prompt dei comandi Disinstallazione come servizio di Windows Windows e cd d ESEC HOME wizard syslog e syslog server bat remove Disinstallazione come servizio UNIX Per disinstallare il proxy eseguire i comandi seguenti e Eseguire il login come utente radice e Eseguire cd ESEC_HOME wizard syslog e syslog server sh remove Utilizzo Server proxy Syslog La procedura guidata non avvia automaticamente il server proxy Syslog se si desidera che ci avvenga necessario installare syslog come servizio attenendosi alle istruzioni riportate nella sezione relativa all installazione La configurazione del proxy syslog memorizzata nei file seguenti Per UNIX ESEC_HOME wizard syslog config syslog conf Per Windows sESEC_HOME wizard syslog config syslog conf Per default il proxy syslog viene impostato utilizzando la configurazione seguente Listener sulla porta UDP 514 per i messaggi syslog Listener sulla porta TCP 1468 per i messaggi syslog Listener sulla porta TCP 9091 per i collegamenti del connettore possibile configurare il proxy syslog in modo che si ponga in ascolto di altre porte
75. ne HTTP o HTTPS Una volta effettuato il collegamento il client apre una sottoscrizione o ne utilizza una esistente La sottoscrizione descrive il tipo di dati che il sensore IDS deve inviare al client nel caso di una nuova sottoscrizione il tipo di dati recuperati pu essere variato modificando il file di configurazione di rdep_client Utilizzando la sottoscrizione il client invia la richiesta dei dati degli eventi provenienti dal sensore IDS Il sensore IDS restituisce questi dati in formato XML convertiti in coppie nome valore dal client RDEP di Sentinel e analizzati e normalizzati dal servizio di raccolta Quest ultimo invia infine l evento normalizzato a Sentinel Questa applicazione installata insieme al Gestore servizi di raccolta nella directory WORKBENCH_HOME cisco rdep_client Per ulteriori informazioni su RDEP consultare il file README fornito con l applicazione la documentazione dei servizi di raccolta di Sentinel per il servizio di raccolta CISCO IDS 4 0 tramite RDEP oppure visitare il portale del servizio clienti di eSecurity all indirizzo http www esecurityinc com in lingua inglese Impostazione di trap SNMP Sentinel in grado di ricevere trapSNMP che rappresentano eventi relativi alla sicurezza che si verificano in un sensore appartenente a una determinata rete Questi eventi vengono inviati a Sentinel attraverso una rete per mezzo del protocollo SNMP Il sistema supporta SNMP vImv2 e v3 Per abili
76. ne dati nella stessa ubicazione Rete origine dati o No host abilitata S S Il monitoraggio verr eseguito leggendo un file locale da disco Il monitoraggio verr eseguito tramite una No connessione a socket TCP possibile accedere all origine dati tramite un file system di rete Il monitoraggio verr eseguito leggendo un file dall unit di rete T Generazione dei servizi di raccolta Come illustrato in precedenza per generare un servizio di raccolta sono necessari File dei modelli File dei parametri File di ricerca facoltativo Script Assegnazione del nome di una porta Wizard al servizio di raccolta Creazione e configurazione dei file dei modelli Creazione e configurazione dei file dei modelli 1 Avviare il Generatore servizi di raccolta 2 Fare clic sulla scheda Servizi di raccolta per visualizzare il pannello contenente l albero omonimo 3 Nell albero dei servizi di raccolta fare clic con il pulsante destro del mouse su Servizi di raccolta quindi fare clic su Nuovo servizio di raccolta 4 Immettere il nome del nuovo servizio di raccolta nell apposito spazio e premere Invio Generazione e manutenzione dei servizi di raccolta 5 Fare clic con il pulsante destro del mouse sul nuovo servizio di raccolta quindi fare clic su Nuovo modello TE iix File Edit View Options Preferences Help Ill 0 Curen Host Tech Do
77. ne in ascolto dei collegamenti dei connettori durante il loopback default shared si pone in ascolto dei collegamenti dei connettori all host locale Se non viene impostato viene generato un errore di comunicazione log nome del file di log in cui effettuare le registrazioni help Genera questo messaggio di guida 0000 version Restituisce la versione del proxy 0 91 poc 0 messageSize Numero di messaggi memorizzati nel buffer da inviare 0 nuovamente nel caso di collegamenti interrotti temporaneamente La dimensione massima pari a 5000 senza virgole Se non viene indicato alcun valore oppure se esso maggiore di 5000 l argomento viene impostato di default su 5000 Client del connettore syslog java jar syslogconnector jar id lt IDUnivoco gt proxy lt host numero porta gt facilities lt struttural struttura2 gt levels lt livellol livello2 gt sender lt IP1 di origine integer subnet mask IP2 di origine integer subnet mask gt host lt IPl1 integer subnet mask Hostnamel Hostname Regex1 IP2 integer subnet mask Hostname2 Hostname Regex2 gt log lt percorso del file di log gt Connettore syslog A 11 Argomenti validi proxy lt host numero porta gt Il proxy syslog per effettuare il collegamento all host e alla porta di default 127 0 0 1 9091 facilities Elenco separato da virgole delle strutture lt struttural struttua2 gt desiderate l im
78. ne per la delimitazione non venga mai incontrata l elaborazione sulla porta servizio di raccolta non raggiunge mai il timeout Se invece viene rilevata la stringa di decisione per la delimitazione ma non stato ricevuto il numero minimo di byte l elaborazione sulla porta del servizio di raccolta non raggiunge mai il timeout Stato Decisione Lo stato Decisione valuta il contenuto del buffer o della variabile di ricezione per determinare l azione da eseguire Se le informazioni nel buffer di ricezione contengono il tipo di decisione selezionato Gestione servizi di raccolta elabora il comando e restituisce il valore true quindi viene seguito il ramo Yes In caso contrario Gestione servizi di raccolta elabora il comando e restituisce il valore false quindi viene seguito il ramo No Il buffer di ricezione ovvero le sue dimensioni un parametro modificabile che si trova nella posizione seguente S WORKBENCH_HOME config wizard properties system max receive buffer size Il parametro consente di configurare il buffer di ricezione di Gestione servizi di raccolta Il default 50 000 eventi mentre il minimo 5000 eventi Quando il buffer di ricezione raggiunge le dimensioni massime i nuovi eventi vengono rilasciati a mano a mano che vengono ricevuti poich sono bloccati Esistono quattro tipi per la decisione ovvero String confronta una stringa di decisione definita dall utente con il contenuto del buffer di
79. ni di HP OpenView Introduzione a Wizard NOTA il termine agente equivalente a servizio di raccolta Si far in seguito riferimento agli agenti come servizi di raccolta La Guida dell utente di Wizard costituisce un introduzione al funzionamento di Novell Wizard In questa guida viene illustrato ogni componente e il relativo funzionamento In questa guida si presume che l utente abbia familiarit con la sicurezza di rete l amministrazione dei database e i sistemi operativi Windows e UNIX Sommario Questa guida contiene i capitoli seguenti Capitolo 1 Introduzione a Wizard Capitolo 2 Gestione di host Wizard Capitolo 3 Creazione e manutenzione dei servizi di raccolta Appendice A Connettore syslog Appendice B Server socket Appendice C Informazioni sul copyright Convenzioni utilizzate Note e avvertenze NOTA le Note forniscono ulteriori informazioni che possono rivelarsi utili ATTENZIONE le avvertenze forniscono ulteriori informazioni che possono essere utili per evitare danni al sistema o perdite di dati Comandi I comandi sono visualizzati con il font courier Ad esempio useradd g dba d export home oracle m s bin csh oracle Wizard Sentinel Wizard consente di creare configurare e controllare i servizi di raccolta I servizi di raccolta sono utilizzati per raccogliere e normalizzare gli eventi generati dai dispositivi e dai programmi di sicurezza Gli eventi normalizzati v
80. ni prima di diventare effettivi Caricamento e download dei servizi di raccolta e degli host La finestra Carica Scarica contiene tre schede ovvero Host carica la configurazione di ogni porta e la serie di servizi di raccolta in ognuno degli host specificati Ogni host presenta ancora la propria configurazione delle porte e la propria serie di servizi di raccolta Servizi di raccolta per il caricamento di singoli servizi di raccolta Popola rete carica la configurazione delle porte e o gli agenti di un determinato host in tutti gli host selezionati che ricevono la stessa configurazione delle porte e la stessa serie di servizi di raccolta dell host di origine Durante il download la configurazione delle porte di un servizio di raccolta remoto viene visualizzata sull host di cui si sta effettuando il download e tutti i servizi di raccolta dell host remoto aventi lo stesso nome di quelli dell host locale vengono sovrascritti Caricamento di un servizio di raccolta in un solo host Caricamento di un servizio di raccolta in un solo host 1 Seil servizio di raccolta gi configurato correttamente e lo script stato creato possibile ignorare i passaggi da 2 a 11 Fare clic sulla scheda Host Wizard e scegliere un host Nella colonna Nome porta fare clic su Nuovo e immettere il nome desiderato Scegliere un servizio di raccolta nella colonna omonima di a 039 Configurare il servizio di raccolta come indicato dalla
81. no tabelle utilizzate per definire i nomi delle variabili nei file di script da eseguire associati Essi sono utilizzati quando il codice di analisi contiene riferimenti e sono memorizzati come stringhe necessario convertire i valori numerici in stringhe affinch sia possibile utilizzarli Quando vengono immessi nuovi valori per i parametri essi diventano effettivi dopo la creazione dello script e durante questo processo vengono uniti al file dei modelli I nomi dei file di script da eseguire sono visualizzati nella prima riga della tabella mentre i nomi dei parametri o etichette sono riportati nella prima colonna La seconda riga della tabella utilizzata per definire le icone visualizzate nell albero del servizio di raccolta Le altre righe si riferiscono allo script in questione e definiscono le variabili o i valori dei parametri da utilizzare come parametri I file dei parametri contengono i valori seguenti Tag META informazioni e commenti sono disponibili oltre 200 tag META di cui 100 possono essere configurati dall utente e gli altri sono riservati Rule Regola i nomi dei file delle serie sono visualizzati nella riga di intestazione della tabella mentre i parametri sono riportati nella prima colonna Bitmap la seconda riga della tabella definisce le bitmap utilizzate per il file in questione visualizzate nell elenco dei servizi di raccolta File di ricerca I file di ricerca sono tabelle facoltative fil
82. o IP dell host che ha effettuato l inoltro Questo comportamento implica conseguenze significative poich il servizio di raccolta e quindi Sentinel non sono in grado di determinare l origine degli eventi relativi alla sicurezza quindi consigliabile che il proxy non sia il destinatario di messaggi inoltrati qualora questi ultimi non contengano l indirizzo IP o il nome host dell origine reale Qualora il proxy venga utilizzato in produzione questa indicazione pu comportare conseguenze significative sotto il profilo logistico Esempio Un evento su si verifica in ultrabookIIi 172 16 0 70 che esegue Solaris 7 e inoltra i messaggi a talkabout 172 16 0 72 che esegue Solaris 9 e a sua volta inoltra i messaggi al proxy syslog I seguenti sono i messaggi generati dal connettore Sentinel Proxy lt 37 gt Apr 02 06 54 11 172 16 0 72 151 234 su su root succeeded for ocespadm on dev pts 0 Client del connettore Apr 02 06 54 11 172 16 0 72 151 234 su su root succeeded for ocespadm on dev pts 0 Di seguito viene riportata la traccia dei pacchetti relativi al primo messaggio in occasione dell arrivo a talkabout e dell inoltro al server proxy di pes020 esecurity net snoop x0 udp port 514 Using device dev Amfe0 promiscuous mode ultrabookIIi gt talkabout SYSLOG C port 42830 lt 37 gt Apr 1 18 54 11 Connettore syslog A 13 16 32 48 64 80 96 0000 83cd 1395 0040 2082 202b 0800 4500
83. o di default 4 Fare clic su Scarica La prima volta che si esegue questa operazione viene chiesta la password di Gestione servizi di raccolta anche nel caso di host Wizard locali Viene effettuato il download dell host che viene aggiunto all albero degli host Wizard Viene visualizzata la finestra di avanzamento trasferimento relativa al download NOTA possibile utilizzare la finestra di avanzamento per riavviare gli host dopo un trasferimento NOTA possibile effettuare il download di un solo host per volta Se si selezionano pi host il download non viene eseguito Download dei servizi di raccolta da un host Download dei servizi di raccolta da un host 1 Fare clic su una delle opzioni seguenti File gt Carica Scarica Pulsante Carica Scarica Viene visualizzata la finestra Carica Scarica 2 Nell elenco selezionare l host Wizard da cui si desidera effettuare il download dei servizi di raccolta Tutti gli host Wizard della rete vengono inclusi automaticamente nell elenco I pulsanti indicano se il computer host in linea Fare clic su Seleziona tutto per selezionare tutti gli host Wizard dell elenco Fare clic su Nessuna selezione per deselezionare tutti gli host Wizard dell elenco 3 Fare clic su Scarica per caricare i servizi di raccolta dagli host selezionati Caricamento di porte in pi host Caricamento di porte in pi host 1 Fare clic su una delle opzioni seguenti
84. o di terminazione per i collegamenti socket di Gestione servizi di raccolta di Wizard su UNIX Ad esempio se si desidera monitorare un file di log o una postazione UNIX mediante una procedura guidata remota necessario attraversare un firewall per raggiungere la porta della postazione UNIX in questione Le istruzioni seguenti consentono di impostare un server socket in un host UNIX e monitorare un file di log ASCII che si trova al suo interno Per impostare un processo relativo a un server socket in un host UNIX 1 Creare lo script che invia i dati al collegamento socket TCP A tal fine creare un nuovo file di testo e copiarvi le linee seguenti sostituendo lt file di log gt con il percorso completo dei file che si intende monitorare bin sh bin tail f lt file di log gt Salvare il file assegnando un percorso e un nome a piacere in una posizione dove non venga eliminato e preferibilmente utilizzando un nome significativo Ad esempio usr local bin logfileserver 2 Selezionare una porta TCP dell host UNIX che non richieda privilegi da destinare all utilizzo da parte del processo del server Il numero delle porte che non richiedono privilegi compreso tra 1025 e 65 535 Per verificare se il numero della porta gi in uso utilizzare il comando seguente sostituendo lt numero porta gt con la porta desiderata netstat an grep LISTEN grep lt numero porta gt Se viene restituita una riga come nell esempio s
85. o risultato eseguire i comandi seguenti al prompt dei comandi e cd d ESEC HOME wizard syslog e syslog server bat install Viene creato un servizio di Windows denominato eSecurity Syslog Server Installazione come servizio UNIX NOTA in UNIX possibile installare il proxy syslog come servizio affinch venga eseguito automaticamente all avvio della macchina per ottenere questo risultato eseguire i comandi seguenti e Eseguire il login come utente radice e Eseguire cd SESEC_HOME wizard syslog e Eseguire syslog server sh install In questo modo il proxy syslog viene attivato automaticamente all avvio della macchina Per default il proxy syslog viene eseguito come utente radice ci necessario in quanto esso si collega per default alla porta 514 che richiede i privilegi di questo tipo di utente Per fare in modo che il proxy syslog si colleghi come un altro utente modificare lo script letc init d esyslogserver accertandosi che il tipo di utente in questione disponga dei privilegi per collegarsi alla porta della quale si pone in ascolto per rilevare il transito dei messaggi Di seguito si riportano alcuni esempi che consentono di ottenere questo risultato Utilizzare il comando sudo per avviare il proxy syslog assegnando all utente sudo i privilegi necessari per collegarsi alla porta desiderata Modificare la configurazione di syslog syslog conf affinch il proxy si colleghi a u
86. o stesso servizio di raccolta 3 Trascinare i nomi dei file di script dall albero dei servizi di raccolta nella colonna degli script di avvio Gli script vengono eseguiti nell ordine in cui appaiono nella colonna dall alto verso il basso 4 Per modificare l ordine degli script trascinarli all interno dalla colonna oppure fare clic con il pulsante destro del mouse su Script di avvio e scegliere l opzione per riordinarli Creazione di una porta Wizard E possibile creare pi porte per un servizio di raccolta Per alcuni tipi di sensore pu essere necessario creare pi istanze dello stesso servizio di raccolta e assegnare ogni istanza a una porta diversa Il tipo di connessione della porta determina quali informazioni vengono acquisite le modalit con cui viene effettuata questa operazione nonch il momento in cui viene stabilita una connessione I tipi di connessione sono i seguenti Seriale Socket File nuovi Generazione e manutenzione dei servizi di raccolta 3 11 File tutti Processo permanente Processo transitorio Trap SNMP Nessuna Connessione seriale La connessione seriale viene utilizzata se i dati vengono acquisiti da una porta seriale RS 232C mediante un cavo seriale o un collegamento tramite modem necessario indicare la porta seriale interessata ad esempio COM1 COM2 nella casella Rx Tx Value Valore Rx Tx Anche l host che esegue il prodotto che si intende monitorare
87. o too ili osiossstassofasi sorto i afesssi nici Numero massimo di 5 connettori Per variare le impostazioni della memoria modificare la sezione seguente del file syslog conf Dimensioni heap Java iniziali in MB wrapper java initmemory 64 Dimensioni massime heap Java in MB wrapper java initmemory 256 Client del connettore syslog Il client del connettore syslog effettua il collegamento al proxy syslog raccogliendo i messaggi per i quali ha effettuato la sottoscrizione I messaggi raccolti dal client vengono quindi trasmessi all output standard La sessione instaurata tra il client e il serve non viene interrotta fino a quando il processo client o il proxy syslog non vengono terminati Questo comportamento rende il client particolarmente adatto per essere utilizzato dal motore del servizio di raccolta in qualit di connettore per processi permanenti A 6 Guida dell utente di Sentinel Wizard Nella finestra per la configurazione delle porte del Generatore servizi di raccolta configurare la porta in questione utilizzando un tipo e un valore Rx Tx simili ai seguenti Per UNIX syslog SyslogConnectorAgent sh lt argomenti gt Per Windows syslog SyslogConnectorAgent bat lt argomenti gt Una volta indicato il valore Rx Tx scegliere il servizio di raccolta appropriato dalla libreria e caricare la configurazione della porta ed eventualmente anche il servizio di raccolta stesso nella procedura guidata remota Per sem
88. odo DES Data Encryption Standard Chiave di cifratura chiave utilizzata per decifrare i trap inviati ai servizi di raccolta di Wizard Deve essere costituita almeno da otto caratteri Per la chiave di cifratura viene fatta distinzione tra maiuscole e minuscole attivata solo quando viene selezionato il metodo DES nell elenco Cifratura Engine ID s ID motore identificatore unico associato a un servizio di raccolta SNMP v3 Il pulsante Engine ID Query Individua ID motore consente di determinare l indirizzo IP su cui si desidera effettuare un interrogazione Un interrogazione corretta restituisce le informazioni e aggiunge l ID del motore Se nella casella gi presente un ID ne viene aggiunto uno nuovo a quest ultimo Trap OID s IDO trap ID dell oggetto trap che identifica il tipo di trap ricevuto NOTA in caso di pi nomi di sicurezza e ID dei motori vengono utilizzati gli stessi schemi di autenticazione e di cifratura per tutti Generazione e manutenzione dei servizi di raccolta 3 21 NOTA qualora siano necessarie chiavi di autenticazione e di cifratura diverse per i vari servizi di raccolta SNMP necessario configurare una porta per ogni servizio Variabili trap SNMP Alcune variabili sono valide per tutti t trap SNMP v1 e v3 mentre altre sono valide solo per una versione Le tabelle seguenti riportano tutte le variabili trap raggruppate in base alla versione di SNMP per la quale possibile utili
89. odo che accetti unicamente collegamenti dai client che si trovano nello stesso host Questa precauzione pu rivelarsi utile poich le comunicazioni tra i connettori dei client e il proxy non prevedono alcun controllo della privacy o degli accessi n procedure di autenticazione Per effettuare questa impostazione utilizzare gli switch seguenti private si pone in ascolto dei collegamenti dei connettori durante il loopback shared si pone in ascolto dei collegamenti dei connettori all host locale default Lo switch shared fa in modo che il proxy associ il listener del collegamento client a un socket accessibile agli host remoti Per variare queste impostazioni modificare la sezione seguente del file syslog conf wrapper app parameter 2 shared Ad esempio per consentire unicamente collegamenti client provenienti dallo stesso host necessario modificare le impostazioni come indicato di seguito wrapper app parameter 2 private possibile configurare il proxy syslog affinch registri tutti i messaggi ricevuti in un file di log Il formato dei messaggi visualizzato uguale a quello utilizzato dal proxy syslog per inoltrare i messaggi a un altro server syslog Di conseguenza la priorit lt PRI gt utilizzata dal server syslog ricevente per determinare i parametri di struttura e livello viene riportata all inizio di ogni messaggio Questo tipo di registrazione viene attivata dallo switch Connettore syslog A 5 lo
90. oni di terze parti di SentinelTM Note di rilascio Come contattare Novell Sito Web http www novell com Supporto tecnico Novell http www novell com support index html Supporto tecnico Novell internazionale http support novell com phone html sourceidint suplnav4_phonesup Supporto in autonomia http support novell com support_options html sourceidint suplnav_supportprog Per supporto 24x7 800 858 4000 1 10 Guida dell utente di Sentinel Wizard Gestione di host Wizard NOTA il termine agente equivalente a servizio di raccolta Si far in seguito riferimento agli agenti come servizi di raccolta Gli host Wizard sono computer sui quali installata la funzione Gestione servizi di raccolta Essi interagiscono con i computer che eseguono il Generatore servizi di raccolta e con Sentinel per mezzo della rete I servizi di raccolta ricevono e analizzano i dati in base ai quali gli host inviano avvisi a Sentinel Wizard rileva automaticamente gli host appartenenti alla rete e li aggiunge all elenco contenuto nella scheda Host Wizard Non possibile aggiungere host manualmente ma possibile rinominare quelli esistenti ed eliminare quelli che non sono pi fisicamente presenti e in grado di comunicare tramite la rete Il Generatore servizi di raccolta riceve tutti i messaggi relativi allo stato degli host e nell albero degli host Wizard viene visualizzata una X rossa in corrispondenza degli hos
91. ovulnerabilityUpload E SendMultipleE vents E SendOneEvent E T1_CHKFP_FRWL_xxxx_OPSC_Bv B E TI_CISC_PlXx_06x4_LOGF_Bw41 G E TI_GNUx_NMAP_0355_LOGF_By E B E T1 GNUx_SNAT_0200_LOGF_Bv Ei rA T1_GNUx SNAT_0200 LOGF_Bw i B agent B agent_parsing B alert_style e Jl TEAR auto B auto custom E Rename_Customer_RT1_Filter i E _Rename Customer RT Pia i Le __D no Agents E Wizard Hosts m State 1 Parsing Parsing BA visual Editor Text Editor J Debugger E an E State Script z a C t E man bian E Rename_Customer_CT1_Filter SS LOOKUP Setup std E Rename_Customer_CT2_Filter ss LOOKUP Setup agent E Rename_Customer_CUSTOM_ na iv in LOOKUP Setup custom E Rename_Customer_DHN_ Filter na MET 3 LOOKUP Check_Setup std E Rename_Customer_DIP_Filter LOOKUPI Check Setup agent E Rename_Customer_DP_Filter f E Rename_Customer_DUN_Filter E Rename_Customer_EVT_Filter Generazione e manutenzione dei servizi di raccolta 3 1 Gestione servizi di raccolta consente di Generare servizi di raccolta o Creare e configurare i file dei modelli a Creare i file dei parametri o Creare i file di ricerca a Generare script u Creare una porta di Wizard Cenni sulla generazione di servizi di raccolta I passaggi fondamentali per la generazione di servizi di raccolta sono Creazione e configurazione de
92. pio WORKBENCH_HOME e security elements checkpoint lea_clien t checkpoint lea_client conf new Non utilizzare spazi negli argomenti dell eseguibile nella casella Rx Tx Value Valore Rx Tx Questi argomenti sono infatti cos delimitati e in presenza di spazi il software presume che vi siano due argomenti dove invece ve n uno solo Se gli argomenti passano nella posizione di un file di configurazione come nel caso di Check Point utilizzare un percorso relativo rispetto a WORKBENCH_HOME Ad esempio checkpoint lea client checkpoint lea client conf new DBConnector DBConnector un connettore di processi JDBC esegue un client che effettua il collegamento a un server di database effettua un interrogazione SQL su di esso e invia il risultato all output standard nel formato basato su coppie nome valore L interrogazione SQL da eseguire viene letta dall input standard o da un file Il nome nel risultato dato dalla coppia nome valore viene dedotto dal nome della colonna della serie di risultati Per questo motivo necessario indicare esplicitamente il nome della colonna desiderata nell interrogazione SQL La sintassi effettiva varia in base al server di database Questa applicazione installata insieme al Gestore servizi di raccolta nella directory WORKBENCH_HOME dbconnector Per ulteriori informazioni sull utilizzo di DBConnector consultare il file README fornito con l applicazione la documentazione dei servi
93. plificarne l uso generale il client del connettore syslog stato progettato in modo da utilizzare vari argomenti di default La riga di comando pi semplice per il client del connettore syslog la seguente Per UNIX syslog SyslogConnectorAgent sh id IDUnivoco Per Windows syslog SyslogConnectorAgent bat id IDUnivoco L interpretazione della riga di comando la seguente Collegamento al proxy syslog in ascolto su questa connessione all indirizzo 127 0 0 1 9091 Sottoscrizione di tutti i messaggi inviati indipendentemente dal valore del campo Facilities Strutture di syslog Sottoscrizione di tutti i messaggi inviati indipendentemente dal valore del campo Levels Livelli di syslog Sottoscrizione di tutti i messaggi indipendentemente dall indirizzo dell origine IP contenuta nell intestazione Sottoscrizione di tutti i messaggi indipendentemente dall indicazione dell host all interno dei messaggi stessi Assegnazione dell ID contenuto in IDUnivoco ai parametri per la sottoscrizione alla sessione La sessione del client del connettore syslog viene registrata all interno del proxy syslog insieme con il filtro delle sottoscrizioni descritto in precedenza facendo riferimento all ID di MyUniqueID L ID obbligatorio L ID obbligatorio ed necessario che sia unico ovvero che non venga assegnato ad altre sessioni client del connettore che si collegano allo
94. postazione di default comprende tutte le strutture levels lt livellol Elenco separato da virgole dei livelli di gravit livello2 gt desiderati l impostazione di default comprende tutti i livelli sender lt IP1 di Elenco separato da virgole dei mittenti desiderati origine integer subnet l impostazione di default comprende tutti mask IP2 di i mittenti origine integer subnet elio dii ene hu host lt IP1 integer subnet Elenco separato da virgole degli host desiderati mask Hostnamel Hostname l impostazione di default comprende tutti gli host Regex1 IP2 integer subnet liana e nale ii A i log lt percorso del file di Nome del file di log in cui effettuare log gt le registrazioni id lt IDUnivoco Consente di indicare l identit del connettore OBBLIGATORIO help Genera questo messaggio di guida version Restituisce la versione del connettore 0 91 poc Tabella delle strutture supportate Quando il nome delle strutture specificato nella riga di comando del client del connettore syslog non viene effettuata alcuna distinzione tra maiuscole e minuscole KERNEL UUCP LOCALO USER CRON LOCAL1 MAIL SECURITY LOCAL2 DAEMON FTP DAEMON LOCAL3 AUTH NTP LOCAL4 SYSLOG LOG AUDIT LOCAL5 LPR LOG ALERT LOCAL6 NEWS CLOCK DAEMON LOCAL7 Tabella dei livelli supportati Quando il nome dei livelli specificato nella riga di comando del client del connettore syslog non viene effettuata alcuna distinzione
95. postazioni gt Pannello di controllo Fare doppio clic su Servizi e scegliere Gestione servizi di raccolta Arrestare il servizio Gestione servizi di raccolta Chiudere la finestra Servizi 2 Al prompt dei comandi passare a workbench_home 3 Immettere il comando seguente agent manager bat remove Modifica della password di Gestione servizi di raccolta in Windows NOTA per soddisfare le rigorose configurazioni di sicurezza necessarie per la certificazione dei criteri comuni consigliabile utilizzare una password complessa con le caratteristiche seguenti 1 Scegliere password costituite da un minimo di 8 caratteri di cui almeno uno MAIUSCOLO uno minuscolo uno speciale amp _ e uno numerico 0 9 2 Non possibile includere nella password l indirizzo di e mail o una parte qualsiasi del nome completo 3 La password non deve essere una parola comune ovvero una parola inclusa nel dizionario o di uso gergale 4 E necessario che nella password non siano incluse parole di alcuna lingua poich esistono numerosi programmi per la violazione delle password in grado di elaborare milioni di possibili combinazioni di parole in pochi secondi 5 E consigliabile scegliere una password facile da ricordare e allo stesso tempo complessa Ad esempio Mfhq5 ao Mio Figlio Ha Quasi 5 Anni Ormai oppure VaNdg 3a Vivo a Napoli Da Quasi 3 anni Modifica della password di Gestione servizi di raccolta in Windows 1 AI
96. r lt porta gt private shared log lt percorso file gt messageSize lt numero gt Argomenti validi server E necessario indicarlo sempre poich utilizzato dalla JVM Xms64m Specifica le dimensioni iniziali della memoria del proxy syslog E consigliabile impostare 64 MB A 10 Guida dell utente di Sentinel Wizard al server proxy di gestire eventuali picchi nel volume dei dati pi connettori client nonch i buffer creati qualora i connettori ripetano il collegamento In caso di aumento del volume di dati o del numero di connettori client collegati possibile aumentare questo valore a condizione che vi sia memoria disponibile In ogni caso esso non pu superare 1 2 GB per server proxy syslog ovvero Xmx1200m Djava util Questa propriet specifica il percorso e il nome del file logging config di configurazione delle registrazioni per il debug per questo file motivo necessario che esso faccia riferimento alla posizione in cui si trova il file Qualora non sia specificato alcun percorso viene considerata la directory corrente dalla quale stata eseguita la JVM Esempio workbench_home syslog logger prop udp lt porta gt porta peri messaggi UDP provenienti dai dispositivi default 514 tcp lt porta gt porta per i collegamenti TCP provenienti dai dispositivi default 1468 connector lt porta gt porta peri collegamenti TCP provenienti dai connettori default 9091 private si po
97. ra definizione 1 8 file di parametro definiziONE aa a 1 8 file di ricerca configurazione reerrreereererenns 8 creazione definizione 1 8 ElIMINAZIONE ne 10 ridenominazione 9 Generatore servizi di raccolta 1 2 AVVIO ici e aaia E e aT 7 Gestione servizi di raccolta 1 2 arresto in UNIX 4 avvio iN UNIX i 4 host caricamento delle porte negli host 16 download laica ernia 15 download dei servizi di raccolta da un solo hosts aio 16 host Wizard amministrazione dei servizi di raccolta 2 autorizzazione controllo dei servizi di raccolta iugulrniaai ann 2 autorizzazione visualizzazione dei servizi di raccolta lot lee ia 2 elIMINAZIONE 7 ESPOr 6azione i 8 propriett FIAVVIO ns Ana ridenominazine i 7 LOOKUPI siria 1 4 Indice i modello aggiunta di stati ee nenene nenne rennene 4 modello di file defini Zio E oen e n E 1 4 modifica comandi di analisi 7 file dei MOdElli n 8 DOHA z s antitesi dle ad te 11 Novell TODE o EAE EE EEEE EEE 1 10 supporto tecnico renee ee 1 10 password di Gestione servizi di raccolta modifica UNIX
98. rigini ovvero Sistemi di rilevamento delle intrusioni Antivirus host Server Web Sistemi di rilevamento delle intrusioni Database rete Mainframe Firewall Valutazione delle vulnerabilit Sistemi operativi Servizi di directory Monitoraggio delle norme Gestione di rete Autenticazione Sistemi proprietari Router e switch VPN I servizi di raccolta sono costituiti da File dei modelli File dei parametri File delle ricerche File di mappatura File di descrizione dei parametri e file manifest Durante la creazione dello script del servizio di raccolta il file dei modelli e il relativo file dei parametri vengono uniti in vari file di script A ogni file di script viene assegnato un nome in base al nome della colonna contenente la serie di valori del file dei parametri I file di script vengono raggruppati in una sequenza ordinata all interno delle sequenze di avvio e di backout Queste ultime vengono assegnate a una porta che esegue la serie di script al suo interno quando viene avviata o arrestata Per essere utilizzato da una porta gli script devono essere inclusi in una sequenza di avvio o di backout Le porte consentono ai servizi di raccolta di individuare gli host Wizard all interno della rete grazie all indirizzo IP o al nome degli host in questione Esse forniscono inoltre a Sentinel le informazioni relative alla posizione dei sensori e al servizio di raccolta utilizzato
99. rvizi di raccolta Nell elenco a discesa selezionare il servizio di raccolta che si desidera caricare Fare clic su Carica La prima volta che si esegue questa operazione viene chiesta la password di Gestione servizi di raccolta anche nel caso di host Wizard locali Verr visualizzata la finestra di avanzamento trasferimento relativa al caricamento NOTA possibile utilizzare la finestra di avanzamento per riavviare gli host dopo un trasferimento Caricamento di un servizio di raccolta in pi host 2 14 Caricamento di un servizio di raccolta in pi host ATTENZIONE se si effettua il caricamento di un host che presenta un servizio di raccolta con lo stesso nome di uno all interno dell host locale il servizio di raccolta dell host remoto viene sovrascritto senza alcun preavviso Se il servizio di raccolta gi configurato correttamente e lo script stato creato possibile ignorare i passaggi da 2 a 11 Fare clic sulla scheda Host Wizard e scegliere un host Nella colonna Nome porta fare clic su Nuovo e immettere il nome desiderato Guida dell utente di Sentinel Wizard 10 11 12 13 14 15 16 Scegliere un servizio di raccolta nella colonna omonima Configurare il servizio di raccolta come indicato dalla documentazione WORKBENCH HOME Elements lt nome servizio di raccolta gt docs lt nome file gt pdf Fare clic sulla scheda Servizi di raccolta espandere il servizio in quest
100. si esegue Generatore servizi di raccolta di Wizard per la prima volta pu essere visualizzato un messaggio indicante che la directory Collectors non esiste e verr creata automaticamente In questo caso alcune informazioni potrebbero essere perse Scegliere OK La directory verr creata e Generatore servizi di raccolta di Wizard verr avviato Se questo messaggio viene visualizzato anche successivamente alla prima volta in cui viene eseguito Generatore servizi di raccolta di Wizard possibile che la directory Collectors sia stata eliminata inavvertitamente e sar necessario verificare l eventuale perdita di informazioni Avvio e arresto del servizio Gestione servizi di raccolta in Windows Avvio e arresto dei servizi Gestione servizi di raccolta in Windows l 2 Fare clic su Start gt Impostazioni gt Pannello di controllo Nel Pannello di controllo fare doppio clic su Strumenti di amministrazione quindi fare clic su Servizi Nella finestra di dialogo Servizi fare clic con il pulsante destro del mouse su Gestione servizi di raccolta e fare clic su Avvia o Arresta Avvio dei servizi Gestione servizi di raccolta in Windows riga di comando Aprire WORKBENCH_HOME Per avviare Gestione servizi di raccolta agent manager start agent manager restart avvia in background lo script Gestione servizi di raccolta e se interrotto avvia automaticamente il processo Gestione servizi di raccolta Se il processo agen
101. si trova in questa modalit File AlI CikWworkarea wuln_inf DemoYulnerabilityUploa Stop betus File All c Wworkarea asset_oi T1_GNUx_NMAP_0355 Start for 2 Nell elenco a discesa selezionare una porta per avviare la procedura di debug Effettuare il debug della porta eseguendo una delle seguenti operazioni Guida dell utente di Sentinel Wizard Premere F6 per eseguire un comando alla volta oppure fare clic sul pulsante per l esecuzione di un comando Fare di nuovo clic sul pulsante o premere F6 per riprendere l esecuzione dello script Premere F7 per eseguire i comandi oppure fare clic sul pulsante per la ripresa dell esecuzione dei comandi Premere F5 per sospendere l esecuzione oppure fare clic sul pulsante per la sospensione dell esecuzione dei comandi Jul L esecuzione verr sospesa finch non si preme F7 oppure il pulsante per la ripresa dell esecuzione dei comandi Il debugger si ferma in corrispondenza di tutti i breakpoint ma non interrompe l esecuzione e lo stato delle porte attivo Nella modalit debug durante le pause non viene inviato alcun evento Al termine dell analizzatore sintattico i pulsanti diventano grigi e viene visualizzato il messaggio Nessuna porta in fase di debug Il debugger non interrompe le pause per questo motivo se si effettua il debug di un analizzatore che ha incontrato un comando di pausa il pulsante Arresta o Passaggio attendono che la pausa termi
102. sportare o importare beni L utente accetta di non esportare o riesportare prodotti verso soggetti inseriti negli elenchi di esclusione di esportazione degli Stati Uniti o verso paesi soggetti a embargo o ritenuti terroristi secondo quanto specificato nelle leggi sull esportazione degli Stati Uniti L utente accetta inoltre di non utilizzare i beni per impieghi finali vietati di tipo nucleare o missilistico o di armamento chimico e biologico Per ulteriori informazioni sull esportazione del software Novell consultare il sito all indirizzo ww novell com info exports Novell non assume alcuna responsabilit per il mancato conseguimento da parte dell utente delle necessarie autorizzazioni all esportazione Copyright 1999 2006 Novell Inc Tutti i diritti riservati vietato riprodurre fotocopiare memorizzare su un sistema di recupero o trasmettere la presente pubblicazione senza l espresso consenso scritto dell editore Novell Inc possiede i diritti di propriet intellettuale relativa alla tecnologia incorporata nel prodotto descritto nel presente documento In particolare senza limitazioni questi diritti di propriet intellettuale possono comprendere uno o pi brevetti USA elencati all indirizzo http www novell com company legal patents e uno o pi brevetti aggiuntivi o in corso di registrazione negli Stati Uniti e in altri Paesi Novell Inc 404 Wyman Street Suite 500 Waltham MA 02451 U S A www novell com Documentazion
103. stesso proxy syslog Qualora venga configurato un altro client del connettore syslog avente lo stesso ID una delle due connessioni viene eliminata In particolare viene mantenuta l ultima sessione che si collegata utilizzando l ID in questione Il filtro generico mostrato in precedenza potrebbe vanificare le elaborazioni del servizio di raccolta qualora i messaggi che soddisfano i requisiti del filtro e che quindi vengono ricevuti non siano pertinenti a una determinata operazione del servizio stesso L esempio precedente mostra come l impostazione del filtro sia molto versatile mentre l esempio seguente relativo a UNIX riporta una descrizione pi restrittiva e precisa dei messaggi pertinenti per il servizio di raccolta Connettore syslog A 7 syslog SyslogConnectorAgent sh facilities user kernel levels warning error sender 192 16 0 12 192 16 0 0 16 host 17 16 8 0 24 10 1 1 13 id MyOtherUniqueID L interpretazione della riga di comando la seguente Collegamento al proxy syslog in ascolto su questa connessione all indirizzo 127 0 0 1 9091 facilities Sottoscrizione di tutti i messaggi inviati il cui campo Facilities Strutture contenga le parole chiave user o kernel facilities Sottoscrizione di tutti i messaggi inviati il cui campo Levels Livelli contenga le parole chiave warning o error sender Sottoscrizione ai messaggi identificati dall indirizzo IP di origine associato ai mess
104. suale Scegliere i comandi di analisi e completarli nella finestra dell editor di comandi I comandi vengono visualizzati nella colonna dell analisi Una volta definiti tutti i valori necessario compilare il file per creare lo script Passare alla sezione Generazione dello script Gli script vengono generati dai modelli Da un modello possibile generare pi script La Gestione servizi di raccolta consente di Generare uno script Eseguire il debug di uno script Assegnare una sequenza di avvio a uno script Generazione dello script Generazione di uno script 1 Fare clic sulla scheda Servizi di raccolta per visualizzare il pannello contenente l albero omonimo Nel pannello sinistro selezionare il modello da cui si desidera generare gli script Fare clic su File gt Genera script Nella scheda dell editor di modelli trascinare uno script dal modello alla colonna degli script di avvio o di backout del pannello destro Customer_Actions M Startup Scripts eSecurity_Actions eSecurity_AlertStyle default eSecurity_CP_keywwords eSecurity_Parsing S Parsing B I i Comments Gli script vengono eseguiti nell ordine in cui appaiono nelle colonne degli script di avvio e di backout Per modificare l ordine degli script trascinarli verso l alto o il basso all interno delle colonne Generazione e manutenzione dei servizi di raccolta 3 9 NOTA l ultimo script di una seq
105. t che non rispondono con un messaggio di stato possibile rimuovere gli host contrassegnati da una X rossa ma se il Generatore servizi di raccolta rileva comunicazioni provenienti da questo host esso viene nuovamente visualizzato nell albero Analogamente se si rimuove un host in fase di comunicazione il messaggio di stato fa in modo che esso venga reintegrato nell albero degli host Wizard E Wizard Hosts i St Tanuki_6 iE Tanuki MAIN Agli host viene assegnato un numero identificativo non appena vengono rilevati I servizi di raccolta pi recenti sono disponibili nel CD del Service Pack Per ulteriori informazioni vedere le Note di rilascio del Service Pack NOTA per ulteriori informazioni relative alla configurazione dei servizi di raccolta dimostrativi vedere il capitolo Test dell installazione della Guida all installazione di Sentinel Modalit di acquisizione dei dati sui servizi di raccolta da parte degli host Wizard Per consentire agli host Wizard computer in cui installata la funzione Gestione servizi di raccolta di ricevere dati da un servizio di raccolta necessario caricare il servizio in questione dal computer dove installato il Generatore servizi di raccolta sull host Wizard per mezzo di una porta configurata nel generatore stesso Una volta caricato il servizio di raccolta nell host quest ultimo in grado di ricevere i dati dal servizio medesimo possibile collegare o
106. t Wizard l Fare clic sulla scheda Host Wizard per visualizzare il pannello contenente l albero omonimo Selezionare un host Fare clic su File gt Esporta host Verrf creata la sottodirectory seguente SWORKBENCH_HOME upload_ lt nome host gt possibile spostare questa sottodirectory in un computer remoto per mezzo di Secure Shell SSH o utilizzando un disco Una volta trasferita la sottodirectory nel computer remoto eseguire il comando uploadhost Questa operazione consente di copiare 1 file necessari nelle directory corrette NOTA se le impostazioni SNMP vengono modificate il Generatore servizi di raccolta non in grado di comunicare con il computer remoto da quando viene premuto il pulsante Esporta a quando i file esportati del servizio di raccolta non vengono caricati Visualizzazione delle propriet di host Wizard Visualizzazione delle propriet di host Wizard 1 Fare clic sulla scheda Host Wizard per visualizzare il pannello contenente l albero omonimo Nell albero degli host Wizard fare clic con il pulsante destro del mouse sull host quindi su Propriett Viene visualizzata la finestra Propriet di Wizard contenente le informazioni seguenti Nome ID Nome host Indirizzo IP Versione Tempo di attivit Fare clic su OK per chiudere la finestra Propriet NOTA se l host non in funzione scegliendo Propriet viene visualizzata la finestra Nessuna risposta
107. tare Sentinel alla ricezione dei trap SNMP necessario creare un servizio di raccolta Wizard che utilizzi una connessione di tipo trap SNMP Rx Tx possibile configurare le impostazioni del trap SNMP e specificare i parametri che consentono ai servizi di raccolta SNMP di Wizard di trasferire i trap a Sentinel sotto forma di eventi binari La finestra per l impostazione dei trap SNMP consente di configurare le impostazioni dei servizi di raccolta SNMP di Wizard compresa la porta utilizzata per i trap SNMP i codici trap e le informazioni relative all autenticazione e alla cifratura Accesso alla finestra dei trap SNMP 1 Nel Generatore servizi di raccolta assegnare un nome di porta al servizio di raccolta SNMP Nella casella Rx Tx Type Tipo Rx Tx scegliere trap SNMP 3 Fare clic con il pulsante destro del mouse sul nome della porta e scegliere Edit Rx Tx Value Modifica valore Rx Tx Generazione e manutenzione dei servizi di raccolta 3 17 3 18 4 5 6 Immettere le informazioni relative a SNMP NOTA la porta trap UDP di default la 162 Accertarsi che questa porta sia disponibile e in caso contrario sceglierne un altra NOTA a differenza delle altre porte dei servizi di raccolta il campo Rx Tx Value Valore Rx Tx viene popolato in base alle impostazioni effettuate nella finestra SNMP Trap Setup Impostazione trap SNMP Nel caso dei servizi di raccolta SNMP pertanto non possibile modificare
108. teriori informazioni esclusioni di garanzia e limitazioni vedere http free tagish net jaas index jsp Java Network Launching Protocol JNLP Copyright Sun Microsystems Inc Per ulteriori informazioni esclusioni di garanzia e limitazioni visitare il sito Web all indirizzo www java sun com products javabeans glasgow jaf htm in lingua inglese e fare clic sul collegamento per scaricare la licenza Java Service Wrapper Componenti protetti da copyright come indicato di seguito Copyright 1999 2004 Tanuki Software e Copyright 2001 Silver Egg Technology Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere http wrapper tanukisoftware org doc english license JIDE Copyright 2002 2005 JIDE Software Inc JTDS concesso in licenza in base alla Lesser GNU Public License Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere http jtds sourceforge net MDateSelector Copyright 2005 Martin Newstead concesso in licenza in base a Lesser General Public License Per ulteriori informazioni esclusioni di garanzia e limitazioni vedere http web ukonline co uk mseries Monarch Charts Copyright 2005 Singleton Labs Net SNMP Parti di codice sono protette da copyright di diverse organizzazioni con tutti i diritti riservati Copyright 1989 1991 1992 di Carnegie Mellon University Copyright 1996 1998 2000 the Regents of the University of California Copyright 2001 2003 N
109. ternet Engineering Task Force 6 trap aziendali specifici il codice definito ins _Trap_Code Specific Guida dell utente di Sentinel Wizard s Trap _Code Specific Codice specifico del trap significativo solo ses _Trap_Code Generic 6 Variabili trap SNMP per SNMP v3 Variabile Descrizione s Trap Engine ID ID del motore del servizio di raccolta SNMP v3 che ha inviato il trap s_Trap_OID Identificatore dell oggetto IDO che consente di individuare il tipo di trap SNMP v3 ricevuto Ai fini dell identificazione dei trap 1 IDO dei trap SNMP v3 sostituisce l IDO aziendale e i codici trap generici specifici di SNMP vI s_Trap_Security_ Name Nome di sicurezza con il quale conosciuto il servizio di raccolta SNMP v3 che ha inviato il trap Generazione e manutenzione dei servizi di raccolta 3 23 3 24 Guida dell utente di Sentinel Wizard Connettore syslog v1 0 2 NOTA il termine agente equivalente a servizio di raccolta Si far in seguito riferimento agli agenti come servizi di raccolta Novell ha rilasciato il connettore syslog per agevolare l integrazione tra i servizi di raccolta di Sentinel e i prodotti che generano messaggi syslog In questo documento vengono illustrati architettura installazione utilizzo e opzioni del connettore syslog Architettura Il connettore syslog consiste di due parti il proxy syslog e il client del connettore syslog Il proxy syslog ascolta le porte UDP e TCP sel
110. tmanager gi in esecuzione esso viene interrotto e riavviato agent manager sh console avvia il processo Gestione servizi di raccolta in primo piano NOTA nella modalit console accertarsi di eseguire una sola istanza di Gestione servizi di raccolta nel computer Gestione di host Wizard 2 3 Arresto dei servizi Gestione servizi di raccolta in Windows riga di comando 1 Aprire WORKBENCH _HOME 2 Per arrestare Gestione servizi di raccolta agent manager stop Avvio di Gestione servizi di raccolta in UNIX normale e console Avvio di Gestione servizi di raccolta in UNIX 1 In qualit di utente esecadm passare alla directory SWORKBENCH_ HOME 2 Immettere il comando seguente agent manager sh start agent manager sh restart avvia in background lo script Gestione servizi di raccolta e se interrotto avvia automaticamente il processo Gestione servizi di raccolta Se il processo Gestione servizi di raccolta gi in esecuzione esso viene interrotto e riavviato agent manager sh console avvia il processo Gestione servizi di raccolta in primo piano Arresto di Gestione servizi di raccolta in UNIX Arresto di Gestione servizi di raccolta in UNIX 1 In qualit di utente esecadm passare alla directory SWORKBENCH HOME 2 Immettere il comando seguente agent manager sh stop Amministrazione di Gestione servizi di raccolta Sono disponibili un file eseguibile Windows e uno script UNI
111. tra maiuscole e minuscole EMERGENCY WARNING ALERT NOTICE CRITICAL INFORMATIONAL ERROR DEBUG A 12 Guida dell utente di Sentinel Wizard Note sulla distribuzione Messaggi inoltrati al proxy syslog La maggior parte dei server syslog in grado di reindirizzare i messaggi ricevuti a un altro server syslog nonch di elaborare i messaggi in ingresso In fase di distribuzione potrebbe sembrare opportuno modificare un log host per realizzare il reindirizzamento dei messaggi al proxy syslog tuttavia il comportamento anomalo di alcuni server syslog rende questa scelta poco adatta alla distribuzione stato osservato che i server syslog di Solaris 7 e 9 nonch di Linux 8 che possono essere rappresentativi di altre versioni distribuite non inseriscono il nome dell host o l indirizzo IP nei messaggi che inviano all host Il server syslog ricevente associa l indirizzo IP o il nome host mediante la risoluzione dei nomi di origine ai file di log che genera Qualora Solaris 9 inoltri i messaggi al proxy in questione non inserisce al loro interno l indirizzo IP o il nome host dell origine da cui provengono Questo comportamento anomalo poich il file di log del sistema Solaris 9 mostra un indirizzo IP o un nome host In assenza del nome host supplementare nel messaggio il proxy syslog deduce che il messaggio proviene dal relay server e non dall host originale aggiungendo a tutti i messaggi ricevuti da Solaris 9 l indirizz
112. uenza di backout deve terminare con lo stato di elaborazione Arresto 5 Operazione facoltativa Effettuare il debug mediante il debugger 6 Fare clic su File gt Salva 7 Affinch le modifiche diventino effettive arrestare e avviare la porta mediante gli appositi pulsanti sulla barra degli strumenti Attivazione della generazione automatica per i servizi di raccolta precedenti alla versione 5 0 L attivazione della funzione di generazione automatica consente di non eseguire l operazione di creazione degli script durante la configurazione e la distribuzione dei servizi di raccolta Attivazione della funzione di generazione automatica per i servizi di raccolta precedenti alla versione 5 0 1 Copiare i file seguenti da un servizio di raccolta in versione 5 esistente e inserirli nel servizio di raccolta per il quale si desidera attivare la funzione di generazione automatica auto tem auto asd auto lkp auto par 2 Rinominare il file di modello main tem A tale scopo possibile utilizzare Generatore serivizi di raccolta Parsing ueg Renar Build Scripts Renar Renar Modificare in main il nome dell intestazione della colonna corrispondente quello dello script corrente ad esempio r4 1 e premere Invio Script Files main Parameters Fare clic sul pulsante Save Salva 5 Nella catena di avvio fare clic con il pulsante destro del mouse e trascinare il file
113. uesta procedura facoltativa Creazione e configurazione dei file di ricerca 1 Fare clic sulla scheda Servizi di raccolta per visualizzare il pannello contenente l albero omonimo Fare clic con il pulsante destro del mouse su un servizio di raccolta quindi fare clic su Nuovo file di ricerca Nella casella Nuovo file di ricerca digitare il nome del nuovo file e premere Invio Nella colonna della corrispondenza fare doppio clic su Nuovo immettere la stringa con cui effettuare il confronto e premere Invio E possibile aggiungere inserire ed eliminare le clausole match Aggiunta nella colonna della corrispondenza fare clic su una clausola di corrispondenza quindi su Aggiungi clausola di corrispondenza Inserimento nella colonna della corrispondenza fare clic su una clausola di corrispondenza quindi su Inserisci clausola di corrispondenza Guida dell utente di Sentinel Wizard 5 Te Script Eliminazione nella colonna della corrispondenza fare clic su una clausola di corrispondenza quindi su Elimina clausola di corrispondenza 7 ig Cresta Ii COMMENTS Add Match Clause Insert Match Clause Delete Match Clause Operazione facoltativa Per immettere i comandi di analisi fare clic con il pulsante destro del mouse sulla colonna dell analisi per aprire l editor visuale Per informazioni sull uso dell editor visuale vedere la sezione Immissione dei comandi di analisi mediante l editor vi
114. upportate stee neeeettertrtesttttrtrnsttettttnnsrestttentntesttntnnsreernn tenten enne Tabella dei livelli supportati soiis iv iesenii aaa aa iaia Note sulla distribuzione asirranianna na a a a Lo ia Messaggi inoltrati al proxy SYSIOG i B Configurazione di un server socket su host UNIX 2 Guida dell utente di Sentinel Wizard Prefazione La documentazione tecnica di Sentinel contiene informazioni generali sull utilizzo e rappresenta una guida di riferimento La presente documentazione rivolta ai responsabili della protezione delle informazioni Il testo contenuto nella presente documentazione da considerarsi come documento di riferimento del sistema di gestione della protezione aziendale di Sentinel Sul portale Web di Sentinel sono disponibili altri documenti La documentazione tecnica di Sentinel suddivisa in cinque differenti volumi ovvero Volume I Guida all installazione di SentinelTM 5 Volume II Guida dell utente di Sentinel 5 Volume III Guida dell utente di Sentinel 5 Wizard Volume IV Guida di riferimento dell utente di Sentinel 5 Volume V Guida all integrazione di terze parti di Sentinel Volume l Guida all installazione di Sentinel 5 In questa guida viene descritto come installare i prodotti seguenti Server Sentinel Generatore servizi di raccolta di Wizard Console Sentinel Gestione servizi di raccolta di Wizard Motore di correlaz
115. urityinc com in lingua inglese Eventi dei dispositivi di sicurezza ad esempio IDS Firewall S O Router Server Web Database Switch A S lt Mainframe Gestione servizi di raccolta di Wizard Sentinel Advisor Antivirus a lt 4 Raccolta ___ Normalizzazione gt Analisi in tempo reale gt Rapporti Servizi di raccolta Il servizi di raccolta sono utilizzati per filtrare e normalizzare i dati relativi a eventi importanti convertirli in un formato standard e metterli a disposizione del processo di Sentinel Esistono tre livelli di servizi di raccolta ovvero 1 2 servizi di raccolta supportati T1 che a sono documentati a dispongono di metadati a sono disponibili per tutti i clienti a Supporto tecnico Servizi di raccolta documentati T2 che a sono destinati alla libreria dei servizi di raccolta a sono documentati a dispongono di metadati a si basano sui modelli standard di Sentinel a Supporto tecnico limitato Guida dell utente di Sentinel Wizard Esempi di servizi di raccolta T3 che a dispongono di un installazione di prova a vengono sviluppati per un determinato cliente a possono non disporre di metadati o di documentazione a Supporto tecnico limitato I servizi di raccolta consentono di accedere ai dati relativi agli eventi da varie o
116. zi di raccolta di Sentinel per Entercept Host IDS 4 0 tramite JDBC oppure visitare il portale del servizio clienti di eSecurity all indirizzo http www esecurityinc com in lingua inglese Lea Client Il processo lea_client di Sentinel utilizza l API Log Export di OPSEC per ricavare i dati da Firewall 1 di Check Point e li restituisce nel formato nome valore Il processo lea_client di norma utilizzato per inviare i dati al servizio di raccolta di Firewall 1 di Check Point 3 16 Guida dell utente di Sentinel Wizard per Sentinel che provvede alla loro normalizzazione e in base all azione dell evento ad esempio interrompere rifiutare o accettare invia un avviso al server Sentinel Questa applicazione installata insieme al Gestore servizi di raccolta nella directory WORKBENCH_HOME checkpoint Per ulteriori informazioni sull utilizzo del processo lea_client di Check Point consultare il file README fornito con l applicazione la documentazione dei servizi di raccolta di Sentinel per il servizio di raccolta di Firewall e VPN di Check Point tramite OPSEC oppure visitare il portale del servizio clienti di eSecurity all indirizzo http www esecurityinc com in lingua inglese Remote Data Exchange Protocol RDEP Il processo rdep_client un applicazione Java che ricava i dati dai sensori remoti Cisco IDS v4 0 che eseguono RDEP Il processo rdep_client si collega al sensore IDS remoto per mezzo di una connessio
117. zzarle Variabili trap SNMP per SNMP vI e v3 Variabili trap SNMP per SNMP v1 Variabili trap SNMP per SNMP v3 Variabili trap SNMP per SNMP v1 e v3 Variabile s Trap IP s Trap _Time i Trap_Version i Trap_Vars s_Trap_OID s_Trap_Value Descrizione Indirizzo IP del servizio di raccolta sensore che ha inviato il trap Valore relativo al tempo di attivit riportato dal servizio di raccolta sensore che ha inviato il trap Di norma si tratta del tempo per il quale il servizio di raccolta stato eseguito Formato G HH MM SS ss giorni ore minuti secondi centesimi di secondo Valore relativo alla versione 1 SNMP v1 3 SNMP v3 Numero di associazioni di variabili nel trap Array avente dimensioni i_Trap_Vars dei nomi delle variabili MIB associate nel messaggio trap Ogni elemento dell array s_Trap_OID un IDO ad esempio 1 3 6 1 4 1 4286 Array avente dimensioni i Trap_vars dei valori delle variabili MIB associate nel messaggio trap Gli indici di questo array e dis Trap_OID corrispondono e pertanto s_Trap_OID 0 il nome di una variabile e s_Trap_Value 0 il suo valore Variabili trap SNMP per SNMP v1 3 22 Variabile s_ Trap Ent s_Trap_Code_ Generic Descrizione Identificatore dell oggetto aziendale del servizio di raccolta sensore che ha inviato il trap Codice generico del trap I valori disponibili sono 1 5 trap standard definiti da IETF In
Download Pdf Manuals
Related Search