Přeskočit obsah

Event Lane

Integrace jsou deklarovány v event lanech. Každý event lane může poskytovat jednu nebo více integrací. Události jsou vždy odesílány z Kafka events tématu, které musí být přítomno v deklaraci event lane.

/EventLanes/mytenant/fortinet-fortigate-10040.yaml
---
define:
  type: lmio/event-lane
  name: Fortinet FortiGate (10040)

kafka:
  events:
    topic: events.mytenant.fortinet-fortigate-10040  # (povinné)
  others:
    topic: others.mytenant

integrations:

  arcsight:
    output_type: tcp
    address: "127.0.0.1 8884"
    # další konfigurace pro integraci arcsight

  bsd_syslog:
    output_type: tcp
    address: "127.0.0.1 7999"
    # další konfigurace pro integraci bsd syslog

output_type:

  • tcp: Odesílá zprávy prostřednictvím TCP protokolu. Vyžaduje address.
  • kafka: Odesílá zprávy do vyhrazeného Kafka tématu, ze kterého je může spotřebovat jiná služba.

address: Adresa ve formátu: "cílový port", např. 127.0.0.1 8888

Integrace

Micro Focus ArcSight SOAR

Integrace s Micro Focus ArcSight SOAR odesílá zpracované události z events tématu ve formátu ArcSight Common CEF.

Konfigurace:

arcsight:
  output_type: tcp
  address: "127.0.0.1 8884"

Schéma:

---
define:
  type: lmio/schema

  deviceEventClassId_field: deviceEventClassId
  name_field: name
  severity_field: severity

Příklad výstupu

CEF:0|TeskaLabs|LogMan.io|1.0|<deviceEventClassId_field>|<name_field>|<severity_field>| {
"@timestamp": "2024-09-30T02:30:13.343068Z",
"ecs.version": "1.10.0",
"event.action": "high-download-rate",
"event.dataset": "complex",
"event.kind": "alert",
"related.events": [],
"rule.description": "Tento baseliner sleduje protokoly, které naznačují aktivitu stahování souborů, a kontroluje, zda uživatel překračuje očekávanou rychlost stahování. Sledování aktivity stahování probíhá v definovaném období (den) a regionu (Česká republika), analyzující vzorce na základě pracovních dnů, víkendů a svátků. Když rychlost stahování uživatele překročí normální chování o významnou hodnotu (3 směrodatné odchylky nad průměrem), spustí se upozornění pro další vyšetřování.\n",
"rule.id": "",
"rule.name": "Vysoká rychlost stahování",
"rule.ruleset": "lmio-library",
"tenant": "plus",
"threat.indicator.sightings": 22,
"user.id": "dolores_umbridge@hogwarts.uk",
"_id": "9c15c30d30b3b813df94393288310d17ff06364f6e9cb5bb8d374ec1ca6dd6a0"
}

BSD Syslog

Integrace, která produkuje události ve formátu BSD Syslog.

Konfigurace:

bsd_syslog:
  output_type: tcp
  address: "127.0.0.1"

Schéma:

---
define:
  type: lmio/schema

  raw: event.original
  principal_datetime: '@timestamp'

Příklad výstupu

<14> Oct 01 12:43:25 lmio LogMan.io[1]: <30>Oct 01 12:43:13 bradavice-hagrid ntopng[1007416]: ....

Pole

Integrace pole produkuje události se specifickým polem.

field:
  output_type: tcp
  address: "127.0.0.1"
  field_name: "event.original"

Příklad výstupu

{
    "event.original": <30>Oct 01 12:43:13 bradavice-hagrid ntopng[1007416]: ....
}