PASTE動作確認用syslog message送信ツールが追加されました。
PASTEの動作確認のためにsyslog messageを送信するツールが追加されました。
実際の連係対象のセキュリティ機器からのsyslog受信を開始する前に、PASTEの設定が意図した状態となっているかを確認することができるようになりました。
現在、次のセキュリティ機器の模擬syslog messageを送信することができます。
| # |
種別 |
セキュリティ機器 |
| 1 |
NG Firewall |
Palo Alto Networks PA series |
| 2 |
IPS : Intrusion Prevention System |
TippingPoint-SMS |
| 3 |
Targeted attacks measure |
Lastline |
| 4 |
NG Firewall |
Fortinet FortiGate |
| 5 |
WAF : Web Application Firewall |
Fortinet FortiWeb |
| 6 |
Targeted attacks measure |
TrendMicro Deep Discovery Inspector |
| 7 |
DoS/DDoS measure |
radware DefensePro |
動作イメージ:
PASTEを構築し、連係対象のセキュリティ機器からのsyslogを受信開始する前に、PASTEの設定が完了しているかを確認するために利用するイメージです。
模擬するセキュリティ機器の種類を指定すると、テスト用のsyslog messageを指定した宛先に送信することができます。
# /opt/momentum_client/bin/send_testlog.pl
invalid device_type.
input []
available [paloalto pa tippingpoint tp lastline ll fortigate fg fortiweb fw trendddi td defensepro dp]
usage: /opt/momentum_client/bin/send_testlog.pl [options]
[options]
--device_type |-d : specify device type of test message
--syslog_address |-a : specify IP-address of syslog server (127.0.0.1)
--syslog_facility|-f : specify syslog facility of syslog server (local0)
--syslog_priority|-p : specify syslog priority of syslog server (crit)
--syslog_ident |-i : specify syslog ident of syslog server (send_testlog)
--show_only |-s : show message only (do not send message)
[device_type]
paloalto |pa : Palo Alto Networks PA series(NG Firewall)
tippingpoint|tp : TippingPoint-SMS(IPS : Intrusion Prevention System)
lastline |ll : Lastline(Targeted attacks meas.)
fortigate |fg : Fortinet FortiGate(NG Firewall)
fortiweb |fw : Fortinet FortiWeb(WAF : Web Application Firewall)
trendddi |td : TrendMicro Deep Discovery Inspector(Targeted attacks meas.)
defensepro |dp : radware DefensePro(DoS/DDoS meas.)
#
# /opt/momentum_client/bin/send_testlog.pl -a 172.16.181.223 -d paloalto
device type : Palo Alto Networks PA series(NG Firewall)
message body : 1,2017/07/14 09:07:48,001122344556,THREAT,vulnerability,1,2017/07/14 09:07:48,192.168.1.2,192.168.2.3,0.0.0.0,0.0.0.0,VWire-untrust_to_trust,,,msrpc,vsys1,untrust,trust,ethernet1/1,ethernet1/2,Log Transfer,2017/07/14 09:07:48,924,1,20000,80,0,0,0x0,TCP,reset-both,"",Microsoft Windows RPC Service Denial of Service Vulnerability(30155),0,any,informational,client-to-server,217,0x0,10.0.0.0-10.255.255.255,10.0.0.0-10.255.255.255,0,,0,,,0,,,,,,,
send message : done.
#
#
このように操作すると、動作確認対象のPASTEが正しく設定されている場合、以下のようなsyslog messageが受信され、それをもとにPCAPを保存する動作が実施されます。
Jul 14 09:07:50 172.16.181.223 send_testlog[17617]: 1,2017/07/14 09:07:48,001122344556,THREAT,vulnerability,1,2017/07/14 09:07:48,192.168.1.2,192.168.2.3,0.0.0.0,0.0.0.0,VWire-untrust_to_trust,,,msrpc,vsys1,untrust,trust,ethernet1/1,ethernet1/2,Log Transfer,2017/07/14 09:07:48,924,1,20000,80,0,0,0x0,TCP,reset-both,"",Microsoft Windows RPC Service Denial of Service Vulnerability(30155),0,any,informational,client-to-server,217,0x0,10.0.0.0-10.255.255.255,10.0.0.0-10.255.255.255,0,,0,,,0,,,,,,,
本機能により、実際の機器と連係する前に、PASTEの動作確認を実施することができるようになります。
設定:
本リリースの変更に際し、これまでの設定内容・設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。
本リリースで追加された機能に関する設定が追加されています。
追加された設定については、 wiki - テストログ送信ツール設定項目(send_testlog用設定) を参照ください。
従来の設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。
upgrade時に引継ぎができる要素は、次のとおりです。
| 要素 |
引継ぎ可能バージョン |
upgrade時の注意点 |
| pcap情報 |
1.1.0以降 |
pcap情報は本アプリケーションで最も重要なものですので、基本的にバージョンアップ後も継続使用することができます
構造変更の必要があり継続的に使用できない場合は、バージョンアップの案内の際に詳細を記載します |
| 設定ファイル(全体用) |
4.00.00以降 |
引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります |
| 設定ファイル(PGQ用) |
4.00.00以降 |
引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります |
| 設定ファイル(send_testlog用) |
4.06.00以降 |
引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります |
| データベース(ユーザ情報用) |
1.1.0以降 |
データベースの構造に変更があった場合は、upgrade時に初期化されます
ユーザの再登録を実施してください |
| データベース(DISK使用状況用) |
1.4.0以降 |
データベースの構造に変更があった場合は、upgrade時に初期化されます |
ダウンロード:
syslog_integration-4.06.00-20170714.tgz