SCADAfence
SCADAfence将可见性扩展到IT和OT网络。您可以配置SCADAfence,通过syslog生成第三方警报,并将警报转发给InsightIDR。
SCADAfence第三方警报
只有当日志行状态为“CREATED”时,才会产生第三方告警。否则,SCADAfence日志可以在未解析数据日志集的日志搜索中找到(如果启用)。要检查哪些事件将创建一个调查,哪些事件将只作为值得注意的行为被跟踪,请导航到检测规则->攻击者行为分析并通过威胁“SCADAFence”进行过滤。
要设置SCADAfence,您需要:
在你开始之前
在继续之前,请确保您具备以下条件:
- 访问SCADAfence平台
- 安装了Rapid7采集器的中介服务器
中间服务器将在InsightIDR和SCADAfence平台之间传递警报数据。该服务器可以是任何与这两个系统都有连接的Linux机器。
你必须安装Rapid7收集器发送syslog数据到InsightIDR。按照上面的Linux安装说明进行安装采集器安装部署在服务器上设置收集器。
在InsightIDR中建立SCADAfence
从左边的菜单,转到数据收集.
当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
从Third Party Alerts部分中,单击SCADAfence图标。将出现“添加事件源”面板。
选择您在在你开始之前的一步。
命名事件源。
(可选)如果您还想在日志搜索中查看通过Syslog发送的所有其他事件,请选中未解析数据框。
设置“事件源端口”。
设置传输协议。
点击保存.
配置SCADAfence发送数据到您的收集器
在SCADAfence平台中,您需要调整设置Syslog配置.
- 进入“设置-> Syslog配置”。
- 进入知识产权Collector服务器的。
- 输入相同的港口您在在InsightIDR中建立SCADAfence上面的步骤。
- 选择传输协议
- 选择最低严重程度(例如警告)。
- 设置记录类型“长”。
- 设置分隔符字符“Rapid7 IDR”。
- 验证启用按钮设置为“是”。
- 保存配置。
验证配置
完成以下步骤来查看日志,并确保事件正在进入收集器:
- 单击InsightIDR左侧菜单中的“Data Collection”,导航到“Event Sources”页签。找到刚刚创建的新事件源并单击查看原始日志按钮。如果您在框中看到日志消息,那么这表明日志正在流向收集器。
- 点击日志搜索在InsightIDR的左侧菜单中。
- 选择适用的日志集和其中的日志名称。日志名称将是您给事件源的名称。当日志行状态为“CREATED”时,SCADAfence日志会流入第三方警报日志集。否则,SCADAfence日志可以在Unparsed Data日志集中找到(如果启用)。
日志至少需要7分钟才能出现在“日志搜索”中
请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。
示例日志
原始日志:
<11>CEF:0|SCADAfence|SCADAfence Platform|6.5.1.15|1200|Network Scanner was detected|8|alert_ip=192.168.1.51 site=N/A alert_seq=81 status=CREATED createdOn= 2012-09-13 20:40:20 updatedOn= 2012-09-13 20:41:16 details=Asset 192.168.1.51 was identified as A Network Scanner . |6.5.1.15|1200|Network Scanner was detected|8|alert_ip=192.168.1.51 site=N/A alert_seq=81 status=CREATED createdOn= 2012-09-13 20:40:20 updatedOn= 2012-09-13 20:41:16 details=Asset 192.168.1.51 was identified as A Network Scanner发送请求到太多资产/端口解释=该资产已被识别为正在进行扫描活动。它可以是合法的扫描程序(监视或管理平台),也可以是带有潜在恶意扫描网络的受感染资产。请检查资产。如果它是一个有效的扫描程序或管理系统,您可以使用“不要再次显示它”复选框来解决警报,这样它就不会再次出现。如果这不是一个有效的活动,您应该为该主机启动一个补救过程,并假定网络已被破坏。如果这是一个人的一次性扫描,您可以解决警报,并让警报重新触发,以防有另一个扫描活动。url = https://192.168.1.234/alerts/81
日志搜索
1
{
2
“时间戳”:“2021 - 09 - 13 t20:40:20.000z”,
3.
“产品”:“SCADAfence”,
4
"type":"Network Scanner Was Detected",
5
“严重程度”:“高”,
6
"title":"Asset 192.168.1.51 was identified as a network scanner, sending requests to too many assets/ports",
7
"description":"该资产已被识别为正在进行扫描活动。它可以是一个合法的扫描器(监控或管理平台),也可以是一个受感染的资产,以潜在的恶意扫描网络。
8
“source_data”:“{\“头\”:{\“deviceVendor \”,\“SCADAfence \”,\“deviceVersion \”:\“6.5.1.15 \”,\“\”,\“网络扫描仪检测\”,\“严重性\”:\“8 \”,\“signatureId \”,\“1200 \”,\“\”,\“0 \”},\“扩展\”:{\“alert_ip \”,\“192.168.1.51 \”,\“alert_seq \”,\“81 \”,\“createdOn \”,\“2021-09-13 20:40:20 \”,\“细节\”:\“192.168.1.51被确认为资产a network scanner, sending requests to too many assets/ports\",\"explanation\":\"This asset has been identified as doing scanning activity. It can either be a legitimate scanner (monitoring or management platform), or it can be an infected asset that scans the network with a potentially malicious intent. \",\"remediation\":\"Please check the asset. If it is a valid scanner or management system, you can resolve the alert using the don't-show-it-again check box so it will not appear again. If this is not a valid activity, you should start a remediation process for this host, and assume that the network is compromised. If this is a one-time scan by a person, you can resolve the alert and let the alert re-trigger in case there is another scanning activity. \",\"site\":\"N/A\",\"status\":\"CREATED\",\"updatedOn\":\"2021-09-13 20:41:16\",\"url\":\"https://192.168.1.234/alerts/81\\u0000\"},\"prefix\":\"<11>\"}"
9
}