A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Manager do SIEM Enterprise Security (ESM) 11.x
Receptor de eventos do SIEM (receptor) 11.x
Problema
Os eventos não são recebidos no receptor depois que você adiciona uma origem de dados. Além disso, você pode ver uma origem de dados existente que estava funcionando, para de enviar dados.
NOTA: A incapacidade de coletar eventos de uma determinada origem de dados afeta a visibilidade e pode reduzir a conformidade para a retenção e o registro de dados.
Causa
Há várias causas potenciais para uma falha na obtenção de eventos. Normalmente, a causa é uma das seguintes:
A origem de dados não está enviando dados para o receptor, possivelmente devido a uma configuração incorreta.
Um problema de coletor no receptor está fazendo com que o receptor não armazene os dados de evento recebidos.
O processo do analisador não pode decodificar os registros brutos em eventos.
Os eventos podem não ser inseridos no banco de dados do ESM.
A rede ou firewall está bloqueando uma porta necessária, impedindo o syslog.
Um problema com a política do SIEM.
Solução
Para resolver esse problema, trabalhe com cada uma dessas soluções em ordem.
Verifique se a origem de dados está configurada para enviar dados ao receptor:
Determine qual adaptador Ethernet está em uso. Em receptores não HA, geralmente eth0 é e os receptores ha geralmente eth1 são ou o endereço IP ' flutuante '.
SSH para o receptor, digite o comando a seguir e pressione Enter:
tcpdump –nni ethx host x.x.x.x
Onde x.x.x.x é o endereço IP da origem de dados e ethx se o adaptador Ethernet está em uso.
Nota: Para origens de dados de syslog, o tráfego de entrada é visto na porta 514 UDP. As origens de dados mais lentas podem precisar de alguns minutos de observação antes que um pacote seja observado. As mais rápidas, como uma firewall, são quase imediatas. Se nenhum pacote for observado, pode haver um problema de firewall ou de ponto de extremidade.
Se os dados não forem observados, verifique novamente o endereço IP e o número de Ethernet. Se estiverem corretos, o problema provavelmente estará no ponto de extremidade (por exemplo, o dispositivo não estava configurado corretamente). Para origens de dados que não são de syslog, execute um teste de conexão a partir da interface gráfica do usuário ao executar o tcpdump. O WMI irá ' extrair dados da porta 135 e o SQL efetua pull dos dados pela porta 1433.
Nota: Se o endereço IP e as informações de porta estiverem corretos e você não vir o tráfego de entrada no tcpdump, um firewall ou a rede poderá estar impedindo o tráfego de entrada na porta especificada. Entre em contato com o administrador de rede para obter mais etapas de solução de problemas.
Digite o comando a seguir e pressione Enter:
iptables –n –v –L|grep x.x.x.x
Observação: Verifique se há uma regra no local para o endereço IP da origem de dados que o permite através da firewall.
Uma saída típica do iptables inclui a porta e o endereço IP da origem de dados. Por exemplo, 10.10.10.10 514 para syslog.
Selecione a origem de dados na interface do usuário do ESM e escolha o status do dispositivo Dashboard. Após o carregamento, role para baixo na janela inferior e localize o vipsid número da origem de dados ao lado da letra v.
ls –al /var/log/data/inline/thirdparty.logs/##/XXX/in
Onde ## é o número de vipsid e XXX é o tipo de coletor como syslogcollector , NPP_C, ou gsql .
Se houver um Data.xxxxxx arquivo e ele não tiver 0 bytes, vá para a solução 2.
Verifique se o analisador correto está selecionado. Nos casos em que há mais de um analisador possível, escolha um com (ASP) no título. Além disso, verifique se as configurações de entrega e formato estão no padrão, a menos que você esteja usando as origens de dados MEF ou não syslog.
A política e as configurações de origem de dados podem não ser atuais. Abra as Propriedades da origem de dados e altere qualquer linha. Por exemplo, adicione um espaço ao nome e, em seguida, remova o espaço.
Clique em OKe, em seguida, clique em gravar para gravar as configurações de origem de dados no receptor.
Para distribuir a política, selecione o receptor na árvore de dispositivos e, no Editor de políticas, clique em operações, distribuir política. Ativar a caixa de seleção no canto inferior esquerdo para Atualizar de qualquer maneira.
Se for uma origem de dados syslog, ative registrar syslog desconhecido nas configurações de origem de dados na interface gráfica do usuário. Com essa ação, se um evento não puder ser analisado, ele aparecerá como desconhecido e não será Descartado.
Selecione a guia interface e certifique-se de que os números das portas estejam completos e corretos para o tipo de origem de dados em questão. Por exemplo, 514 para o syslog, 135 para o WMI, 139 para RPC, 1433 para SQL.
As regras podem não estar ativadas para a origem de dados, de modo que com a origem de dados selecionada, abra o Editor de políticas. Verifique se as regras listadas para essa origem de dados estão ativadas.
Nota: É normal que as regras de política padrão sejam desativadas. Não ative a política no nível padrão.
Se essas etapas não resolverem o problema, continue para a solução 3.
Pode haver um problema ao inserir eventos no ESM. Para ver se há um problema:
Verifique e veja se outras origens de dados não conseguem coletar dados. Em caso afirmativo, vá para Propriedades do receptor e execute uma operação de interrupção e inicialização no receptor.
Verifique para determinar se outras origens de dados estão funcionando conforme o esperado.
Se essas etapas não resolverem o problema, vá para a solução 4.
Se ainda estiver enfrentando problemas, é possível que as alterações necessárias não tenham sido gravadas. O SIEM precisa gravar as configurações de origem de dados no receptor e distribuir a política para impor as alterações:
Abra as Propriedades do receptor e clique na guia origem de dados :
Se o botão gravar estiver disponível, vá para a etapa 2.
Se o botão gravar não estiver disponível, selecione qualquer origem de dados e edite -a. Faça uma pequena alteração, como adicionar e remover um espaço para o nome/descrição, e, em seguida, clique em OK para forçar a gravação para ser ativada.
Clique em gravar para gravar as configurações de origem de dados no receptor.
Se a distribuição de políticas for exibida, selecione a caixa inferior à esquerda para forçar uma distribuição a todos os dispositivos e clique em OK.
Nota: Se ele não for exibido automaticamente, volte para a dashboard, selecione o ESM, clique em Editor de políticas na parte superior e, em seguida, clique em operações, distribuir política.
Se você ainda enfrentar problemas e seguiu as etapas em todas as soluções fornecidas, entre em contato com Suporte técnico para obter mais ajuda.
Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
Se você não for um usuário registrado, clique em registrar e preencha os campos para ter sua senha e suas instruções enviadas por e-mail para você.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.