ارسال لاگ‌ها به Syslog Server یا SIEM

سامانه کیوسک امن سایبرنو امکان لاگ‌گیری از پویش‌های انجام‌شده و سایر عملیات‌های حساس و ارسال آن به Syslog Server یا سامانه‌های SIEM‌ را دارا می‌باشد.

برای فعال‌سازی این قابلیت کافیست در پنل مدیریتی وارد بخش تنظیمات عمومی شوید:

 

 

سپس ابتدا تیک گزینه "فعال‌سازی لاگ‌گیری" را بزنید، تا لاگ‌ها در پایگاه داده سامانه کیوسک ذخیره گردد. جهت ارسال لاگ‌های به سرور Syslog تیک گزینه "ارسال لاگ‌ها به سرور Syslog یا SIEM" را بزنید. در فیلد آدرس سرور Syslog نیز آدرس سرور خود را وارد کنید.

نکته: بعد از انجام تغییرات حتما اقدام به راه‌اندازی دوباره سامانه نمایید تا تنظیمات اعمال گردد.

 

چنانچه از SIEM استفاده می‌کنید، توصیه می‌گردد فرمت لاگ‌های ارسالی را از طریق Regular Expression یا سایر امکاناتی که SIEM در اختیار شما قرار می‌دهد، به آن معرفی کنید.

 در حالت کلی فرمت لاگ‌های ارسالی به صورت زیر می‌باشد:

User_Email: {0} User_IP: {1} User_Agent: {2} Log: {3} Extra: {4}

در این فرمت:

  1. عبارت {0} برابر آدرس پست الکترونیکی کاربری است که باعث ثبت لاگ شده است
  2. عبارت {1} برابر آدرس آیپی کاربر است.
  3. عبارت {2} برابر User Agent ارسالی از کاربر می‌کند.
  4. عبارت {3} حاوی محتوای لاگ می‌باشد، که می‌تواند برابر یکی از مقادیر زیر باشد: (عبارت {0} برابر با شناسه پویش می‌باشد.)
    1. The user has successfully logged in.
    2. The user has successfully logged out.
    3. The user has entered a wrong email/password.
    4. Unsuccessful attempt to change password.
    5. The user has requested to reset the password.
    6. The user password has been changed.
    7. Scan {0} has been started.
    8. Scan {0} has been finished.
  5. عبارت {4} حاوی اطلاعات اضافی مربوط به آن لاگ می‌باشد.

فیلد Extra در صورتی که محتوای لاگ مربوط به شروع یا اتمام یک پویش باشد، به صورت رشته‌ای مشابه JSON همانند تصویر زیر می‌باشد:

 

 

همانطور که مشاهده می‌شود داده‌های زیادی درباره پویش در فیلد Extra وجود دارد که از جمله آن‌ها می‌توان به موارد زیر اشاره کرد:

  1. malware: این فیلد لیست بدافزارهای شناسایی‌شده را نمایش می‌دهد. این فیلد خود به دو زیربخش تقسیم می‌گردد:
    1. normal: حاوی لیست فایل‌های غیرفشرده‌ای است که توسط ضدویروس‌ها به عنوان بدافزار شناخته شده است. به عنوان مثال در تصویر بالا فایل 0ad86653167f9bb43f56f061d2b64fd1.vir توسط سه ضدویروس Comodo، ESET و پادویش به عنوان بدافزار شناسایی شده است.
    2. compressed: این فیلد مشخص می‌کند که چه فایل‌های فشرده‌ای توسط ضدبدافزارها به عنوان بدافزار شناسایی دهد. در این بخش نام فایل درون فایل فشرده که به عنوان بدافزار شناسایی شده است نیز ارائه می‌گردد. به عنوان نمونه در تصویر بالا فایل SampleMalware.rar یک فایل فشرده بوده است که حاوی فایلی با نام 0ad86653167f9bb43f56f061d2b64fd1.vir است که توسط ۳ ضدویروس به عنوان بدافزار شناسایی شده است.
  2. paths: این فیلد حاوی لیست فایل‌ها و پوشه‌های ورودی پویش می‌باشد.
  3. progress: این فیلد مشخص می‌کند هر ضدویروس چند درصد از عملیات پویش را انجام داده است. ۱۰۰ به معنای اتمام عملیات پویش توسط آن ضدویروس می‌باشد.
  4. current_file: این فیلد مشخص می‌کند آخرین فایلی که توسط یک ضدویروس پویش شده است، کدام فایل بوده است؟
  5. avs: این فیلد حاوی لیست ضدویروس‌هایی است که در این عملیات پویش مورد استفاده قرار گرفته‌اند.
  6. compressed_files: این فیلد حاوی لیست فایل‌های فشرده ورودی و مشخصات آن می‌باشد.
  7. started_at: تاریخ شروع پویش بر حسب Unix Timestamp را نمایش می‌دهد.
  8. updated_at: تاریخ آخرین بروزرسانی وضعیت پویش را بر حسب Unix Timestamp نمایش می‌دهد.
  9. finished_at: تاریخ اتمام پویش بر حسب Unix Timestamp را نمایش می‌دهد.
  10. owner: پست الکترونیکی کاربری که اقدام به انجام عملیات پویش کرده است را نشان می‌دهد.

نمی‌توانید پاسخی پیدا کنید؟ آیا به دنبال مقاله خاصی هستید که در سؤالات عمومی قرار دارد؟ فقط پوشه ها و دسته بندی های مختلف مربوطه را مرور کنید و سپس مقاله مورد نظر خود را پیدا خواهید کرد.
صفحه اصلی سایبرنو
تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا می‌باشد.