01_momentum_Apps » 02_PASTE

PCAP取り出し処理待ち数トレンドグラフが追加されました。

PCAP情報取り出しの処理待ち数トレンドグラフ表示機能（Queue Length Trend）がStatus画面に追加されました。
これまでよりも、より運用状態を把握しやすいものとなりました。
PASTEの使用方法はこれまでと変わりません。

設定：

本リリースの変更に際し、PASTEの設定に関して、設定書式は変更されていません。
従来の設定はそのまま継続して利用することが可能です。

PASTEの設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

PSCLI-Rubyの設定については、 wiki - PSCLI設定ファイル を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.12.00-20171208.tgz

httpdとsshdの設定が改善されました。

潜在的に脆弱性となる可能性のあるhttpdとsshdの設定が改善されました。
PASTEの使用方法はこれまでと変わりません。

設定：

本リリースの変更に際し、PASTEの設定に関して、設定書式は変更されていません。
従来の設定はそのまま継続して利用することが可能です。

PASTEの設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

PSCLI-Rubyの設定については、 wiki - PSCLI設定ファイル を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.11.00-20171127.tgz

syslog daemonが、rsyslogからsyslog-ngに変更されました。

PASTEの動作する機器上で連係利用するsyslog daemonが、rsyslogからsyslog-ngに変更されました。

従来のPASTEでは、PASTEの動作する機器上で動作するrsyslogと連係する形式で動作するように実装されていました。
今回のバージョン以降では、これがsyslog-ngに変更されました。
PASTEの設定や動作そのものはこれまでと変わりません。

syslog daemonをrsyslogからsyslog-ngに変更したことにより、syslog-ngの機能であるrewrite機能を利用することができるようになりました。
連係利用するセキュリティデバイスの種類によっては、受信したsyslog messageを書き換えたほうが連係がしやすい場合があるため、今回の変更を実施しています。

設定：

本リリースの変更に際し、PASTEの設定に関して、設定書式は変更されていません。
従来の設定はそのまま継続して利用することが可能です。
syslog機能の設定書式は変更されていますが、PASTEの通常の利用において注意する必要がある部分はありません。

PASTEの設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

PSCLI-Rubyの設定については、 wiki - PSCLI設定ファイル を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.10.00-20171107.tgz

同梱のPSCLI-Rubyが2.8.0に更新されました。

momentum Probeから情報取得するツールとして同梱しているPSCLI-Rubyが最新の2.8.0に更新されました。
PASTEの使用方法はこれまでと変わりません。

設定：

本リリースの変更に際し、PASTEの設定に関して、設定書式は変更されていません。
従来の設定はそのまま継続して利用することが可能です。
PSCLI-Ruby部分の設定書式は変更されていますが、PASTEの通常の利用において注意する必要がある部分はありません。

PASTEの設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

PSCLI-Rubyの設定については、 wiki - PSCLI設定ファイル を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.09.00-20171026.tgz

情報収集コマンド(show tech support)にて収集される情報が拡張されました。

情報収集するためのコマンドの収集する情報が追加されました。
PASTEの使用方法はこれまでと変わりません。

実行例：
設定や動作状態などを一度に収集することができます。

# /opt/momentum_client/bin/show_tech_support.sh 

[ show tech support information for PASTE ]
  filename          : /root/paste_show_tech_support-20171005095812.tgz
  file size (bytes) : 28,151

#

設定：

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.08.00-20171005.tgz

バグフィックスを含むメンテナンスリリースです

次の点が変更されました。

1. PASTE動作確認用syslog message送信ツールの設定ファイルの引継ぎ処理の修正

ver4.07.00以前においてバージョンアップインストールを実施する際に、PASTE動作確認用syslog message送信ツールの設定ファイルの引継ぎが実施されない問題が修正されました。

機能拡張に相当する内容は本リリースには含まれていません。

設定：

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.07.01-20170906.tgz

情報収集コマンド(show tech support)にて収集される情報が拡張されました。

情報収集するためのコマンドの収集する情報が追加されました。
PASTEの使用方法はこれまでと変わりません。

実行例：
設定や動作状態などを一度に収集することができます。

# /opt/momentum_client/bin/show_tech_support.sh 

[ show tech support information for PASTE ]
  filename          : /root/paste_show_tech_support-20170905162412.tgz
  file size (bytes) : 28,151

#

設定：

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.07.00-20170905.tgz

PASTE動作確認用syslog message送信ツールが追加されました。

PASTEの動作確認のためにsyslog messageを送信するツールが追加されました。
実際の連係対象のセキュリティ機器からのsyslog受信を開始する前に、PASTEの設定が意図した状態となっているかを確認することができるようになりました。

現在、次のセキュリティ機器の模擬syslog messageを送信することができます。

動作イメージ：
PASTEを構築し、連係対象のセキュリティ機器からのsyslogを受信開始する前に、PASTEの設定が完了しているかを確認するために利用するイメージです。
模擬するセキュリティ機器の種類を指定すると、テスト用のsyslog messageを指定した宛先に送信することができます。

# /opt/momentum_client/bin/send_testlog.pl
invalid device_type.
input     []
available [paloalto pa tippingpoint tp lastline ll fortigate fg fortiweb fw trendddi td defensepro dp]

usage: /opt/momentum_client/bin/send_testlog.pl [options]
 [options]
  --device_type    |-d : specify device type of test message
  --syslog_address |-a : specify IP-address of syslog server (127.0.0.1)
  --syslog_facility|-f : specify syslog facility of syslog server (local0)
  --syslog_priority|-p : specify syslog priority of syslog server (crit)
  --syslog_ident   |-i : specify syslog ident of syslog server (send_testlog)
  --show_only      |-s : show message only (do not send message)
 [device_type]
   paloalto    |pa : Palo Alto Networks PA series(NG Firewall)
   tippingpoint|tp : TippingPoint-SMS(IPS : Intrusion Prevention System)
   lastline    |ll : Lastline(Targeted attacks meas.)
   fortigate   |fg : Fortinet FortiGate(NG Firewall)
   fortiweb    |fw : Fortinet FortiWeb(WAF : Web Application Firewall)
   trendddi    |td : TrendMicro Deep Discovery Inspector(Targeted attacks meas.)
   defensepro  |dp : radware DefensePro(DoS/DDoS meas.)

# 
# /opt/momentum_client/bin/send_testlog.pl -a 172.16.181.223 -d paloalto
device type  : Palo Alto Networks PA series(NG Firewall)
message body : 1,2017/07/14 09:07:48,001122344556,THREAT,vulnerability,1,2017/07/14 09:07:48,192.168.1.2,192.168.2.3,0.0.0.0,0.0.0.0,VWire-untrust_to_trust,,,msrpc,vsys1,untrust,trust,ethernet1/1,ethernet1/2,Log Transfer,2017/07/14 09:07:48,924,1,20000,80,0,0,0x0,TCP,reset-both,"",Microsoft Windows RPC Service Denial of Service Vulnerability(30155),0,any,informational,client-to-server,217,0x0,10.0.0.0-10.255.255.255,10.0.0.0-10.255.255.255,0,,0,,,0,,,,,,,
send message : done.
#
# 

このように操作すると、動作確認対象のPASTEが正しく設定されている場合、以下のようなsyslog messageが受信され、それをもとにPCAPを保存する動作が実施されます。

Jul 14 09:07:50 172.16.181.223 send_testlog[17617]: 1,2017/07/14 09:07:48,001122344556,THREAT,vulnerability,1,2017/07/14 09:07:48,192.168.1.2,192.168.2.3,0.0.0.0,0.0.0.0,VWire-untrust_to_trust,,,msrpc,vsys1,untrust,trust,ethernet1/1,ethernet1/2,Log Transfer,2017/07/14 09:07:48,924,1,20000,80,0,0,0x0,TCP,reset-both,"",Microsoft Windows RPC Service Denial of Service Vulnerability(30155),0,any,informational,client-to-server,217,0x0,10.0.0.0-10.255.255.255,10.0.0.0-10.255.255.255,0,,0,,,0,,,,,,,

本機能により、実際の機器と連係する前に、PASTEの動作確認を実施することができるようになります。

設定：

本リリースの変更に際し、これまでの設定内容・設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。
本リリースで追加された機能に関する設定が追加されています。

追加された設定については、 wiki - テストログ送信ツール設定項目（send_testlog用設定） を参照ください。
従来の設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.06.00-20170714.tgz

同梱されているPSCLI-Rubyにおいて、新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み（loader2_12）の利用がサポートされました。
loader2_12では、5tuple（source IP、destination IP、source port、destination port、protocol）に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

loader2_12は5tupleを含んだ内容となっていますので、PASTEはこのloader2_12の稼働するProbeとも連係することが可能です。
PASTEの連係動作としては5tupleのみを利用した動作となりますが、そのProbeに対してURLを使った個別調査を実施することが可能となります。
個別調査はPASTEに同梱のPSCLI-Rubyを使うこともできますし、もちろん PSGUI-Win や PSCLI-C を使うこともできます。

動作イメージ：
PASTEに同梱のPSCLI-Rubyを使って、loader2_12の動作するPSSを利用して個別調査する動作イメージです。
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c I
フィールドタイプID:
   0.TEMPLATE_ID
   1.PROTOCOL
   2.IPV4_SRC_ADDR
   3.IPV4_DST_ADDR
   4.L4_SRC_PORT
   5.L4_DST_PORT
   6.ICMP_TYPE
   70.HTTP_URL_NO_QUERY
入力インターフェース:
   1.eth1_0
   2.eth2_0
開始時間:2017/05/10 13:52:00
PCAPバッファサイズ:314572800byte
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,2367,971120
2017/05/10 10:06:28,2496,1251546
2017/05/10 10:06:29,3020,1250407
2017/05/10 10:06:30,2311,1251129
2017/05/10 10:06:31,2350,1249824
2017/05/10 10:06:32,2067,1250594
2017/05/10 10:06:33,2806,1250660
2017/05/10 10:06:34,2699,1250529
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -f '70'
HTTP_URL_NO_QUERY,パケット数,パケットサイズ
cloudtriage.terilogy.com:/packages/innova_analytics_log/js/log.js,1,542
cloudtriage.terilogy.com:/index.php/tools/packages/innova_analytics_log/post.php,2,2099
cloudtriage.terilogy.com:/files/4614/4887/3222/header_top.jpg,1,528
cloudtriage.terilogy.com:/packages/innova_template_practice/themes/innova_template_practice/css/bootstrap.css,1,566
cloudtriage.terilogy.com:/packages/innova_blog/js/jquery.leanModal.min.js,2,1065
cloudtriage.terilogy.com:/files/9914/4618/4519/top_002.gif,1,525
・
　中略
・
cloudtriage.terilogy.com:/packages/innova_blog/css/modal.css,2,1069

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' 
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,0,0
2017/05/10 10:06:28,0,0
2017/05/10 10:06:29,1,141
2017/05/10 10:06:30,37,20243
2017/05/10 10:06:31,2,1368
2017/05/10 10:06:32,2,1850
2017/05/10 10:06:33,1,1036
2017/05/10 10:06:34,0,0
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c P -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -p /root/tmp/output-1.pcap
2017/05/10 10:06:27 >>> 0 byte
2017/05/10 10:06:28 >>> 0 byte
2017/05/10 10:06:29 >>> 157 byte
2017/05/10 10:06:30 >>> 20,835 byte
2017/05/10 10:06:31 >>> 1,400 byte
2017/05/10 10:06:32 >>> 1,882 byte
2017/05/10 10:06:33 >>> 1,052 byte
2017/05/10 10:06:34 >>> 0 byte
              TOTAL >>> 25,350 byte
# 

本機能により、さまざまな観点での詳細調査を実現します。

設定：

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.05.00-20170526.tgz

Tips for PASTEに、セキュリティデバイスとの連係に関する情報が追加されました。

Tips for PASTE

• Tips1. Palo Alto Networks PAシリーズとの連係（次世代ファイアウォール）
• Tips2. TippingPoint-IPS（TippingPoint-SMS）との連係（侵入防御システム）
• Tips3. Lastlineとの連係（標的型攻撃対策製品）
• Tips4. FortiGateとの連係（次世代ファイアウォール）
• Tips5. FortiWebとの連係（Webアプリケーションファイアウォール）
• Tips6. Trend Micro Deep Discovery Inspectorとの連係（標的型サイバー攻撃対策）
• Tips7. radware DefenseProとの連係（DoS/DDoS攻撃対策）