セキュリティ装置のログ監視におけるフィールド値の条件判定トリガーについて
Ver 5.0を使用しております。
Paloaltoなどのセキュリティ装置からのログを
シスログサーバに集約し、Zabbixエージェントの
アクティブチェックで特定の条件に合致するログを検知した場合に
アラート発報をするような監視をしたいのですが、判定したい条件が複雑であるため、
どのように設定すれば実現できるのか(そもそもできない可能性もあります)を
アドバイスいただけないかご相談です。
該当のログフォーマットは、下記のように半角カンマ区切りとなっており、
特定のフィールドの値を条件にメール通知のアクションを実装したいと考えています。
==============================================
(発生日時), (送信元IP), (送信先IP), (優先度), (送信先ポート), (プロトコル)
Dec 8 09:00:00, 10.10.10.10, 20.20.20.20, infomation, 80, tcp
Dec 8 09:01:00, 10.10.10.10, 20.20.20.20, high, 443, tcp
==============================================
■実装したい条件例
・優先度の値がhigh かつ
・送信元IPが同一 のログが
・3分以内に30件以上検知されている
■悩んでいるところ
上記例において、送信元IPが固定ではなくどのIPが検知されるかは予測できないため、
固定ワードでのログフィルターが難しいと考えています。
トリガーのタグ付与機能を使って、正規表現で「送信元IPアドレス」のみを抽出して
タグ化することはできたのですが、そのタグのイベントのうちから、更に条件を設定して
多段条件のような形でトリガーを発報するような方法が分からず詰まってしまっています。
3つ目の条件がやっかいで、これが無ければ「イベント相関関係」の機能を使えば実現できそうなのですが、、、といった状況です。
そもそも見当違いのやり方をしようとしているのかもしれませんが、
ご助言いただけますと幸いです。
TNK - 投稿数: 4671
1件の検知で発報するのであれば、試されたようにイベントタグの
活用ができると思いますが、3分以内に30件という条件があるよう
なので、それを満たすためには、送信元IPを含んだ正規表現を使用
したアイテムの設定を行って、特定のIPに対するログとしてアイテ
ムを分割するような設定が必要になると思います。
filock_kb - 投稿数: 6
TNKさん、ありがとうございます。
イベントタグのみではやはり3つ目の条件を達成できそうにないことが
分かり助かりました。
また、実現案のご提案ありがとうございます。
ご教授いただいた方法についてですが、
セキュリティ装置からのログに記録される送信元IPアドレスであるため、
企業に対して攻撃を行っているようなIPアドレスが抽出対象となります。
そのため、不特定多数のIPアドレスがそれぞれアイテムとして登録されることによる
監視アイテム/データ・検知トリガーの大量発生によるDBのひっ迫で
パフォーマンス劣化や監視データの欠落など品質的な問題が発生する可能性があるかと思いますので、
検証や調査の上、実現性を評価しようかと思います。
貴重な情報をいただき、ありがとうございました。
filock_kb - 投稿数: 6
TNKさん、ありがとうございます。
イベントタグのみではやはり3つ目の条件を達成できそうにないことが
分かり助かりました。
また、実現案のご提案ありがとうございます。
ご教授いただいた方法についてですが、
セキュリティ装置からのログに記録される送信元IPアドレスであるため、
企業に対して攻撃を行っているようなIPアドレスが抽出対象となります。
そのため、不特定多数のIPアドレスがそれぞれアイテムとして登録されることによる
監視アイテム/データ・検知トリガーの大量発生によるDBのひっ迫で
パフォーマンス劣化や監視データの欠落など品質的な問題が発生する可能性があるかと思いますので、
検証や調査の上、実現性を評価しようかと思います。
貴重な情報をいただき、ありがとうございました。