GSS資安電子報0056期【ArcSight Event Log收集機制介紹】

作者：叡揚資訊 資訊安全事業處產品顧問 

NEWS： 免費下載試用 ArcSight Logger

企業風險管理存在的挑戰：沒有中心控制點

我們每天由防火牆事件、防毒資料、應用程式紀錄、資料庫存取、檔案伺服器存取等活動，產生了數百萬計的事件紀錄，而這些事件紀錄各自分散在各地，造成資安事件紀錄分析與管理上的困難，對於相關法律規範的符合度及業務的連貫性也存在著執行上的困難。

ArcSight的做法是收集各地的資料做集中處理，並且對資料格式做標準格式轉換及正規化處理。所有的事件皆經過正規化處理的過程，轉換成標準的格式，然後再送至中央處理平台做事件分析。根據分析的結果，可以依照需求產生圖形化的查詢結果，方便監控與針對可疑事件採取相關行動。

ArcSightConnector是一個日誌資料收集軟體。可進行事件減量（過濾及合併重複事件）之工作，並把減量後的安全事件標準化、格式化，輸出至後端處理分析。ArcSight Connector（亦稱SmartConnector）負責收集監控設備原始事件資料，包含了200種以上的Connector Type，可收集市場上不同設備的事件資訊。依據資訊來源的資安設備不同，則對應的Connector Type也不同。

SmartConnector支援的大多是市場上知名、市佔率較高的設備機型；若是遇到特殊的資安設備或監控系統，則可使用FlexConnector。FlexConnector是一個可由使用者自由客製化的SmartConnector模組，可依據設備特性將事件資訊正規化，並且決定收送的資安事件之來源。資料庫、或是其他軟體及設備，可透過Syslog、ODBC、log file等不同的方式將資安訊息導入監控平台。

Connector收集機制介紹

1. 安裝Agent模式

        可以直接對檔案進行分析，同時再傳遞回Logger/ESM/Express 端時，亦可以進行壓縮與加密

2. 不安裝Agent模式

        由硬體式的Connector直接連線到設備收集日誌，設備端必須提供連線port，  連線帳號及讀取權限

3. 客制化模式Flexconnector

        對於自行開發的應用程式產生的Log，可以透過客制化Log收集工具Flexconnector收集，並且對日誌做正規化處理。

Flexconnector 開發介面

透過正規表示式Regular Expression對Log進行分析，識別Log所紀錄資訊，再對應到相關欄位儲存。

Connector功能介紹

• 事件過濾Filtering

        對於一般Switch / Router發出icmp封包等與資安事件無關的日誌，會先過濾掉。

• 事件聚合Aggregation

        將短時間內相同類型的原始事件彙整成一筆事件記錄，以降低傳輸後端處理的資料量，但又不會影響後續的關聯分析判斷。

• Heartbeat Connector

        當網路斷線的時候，Connector可以持續收集系統日誌，並cache在connector上，cache的資料量可達到50G以上，當網路恢復連線時，再將cache的日誌傳回後端作分析與儲存。

• 集中更新管理

        所以佈署在外部的Connector，皆可集中更新管理。