外部スクリプトの自動対策の作成

外部スクリプトを追加するには

  1. スクリプトを作成します。

  2. スクリプトをSmartEvent Serverに置きます。

    1. $RTDIR/binにフォルダext_commandsを作成:

      mkdir $RTDIR/bin/ext_commands

    2. スクリプトを$RTDIR/bin/ext_commands/、またはこの場所のフォルダ内に入れます。

      パスとスクリプトの名前にはスペースは入れないでください。

    3. スクリプトに実行権限を与えます:

      chmod +x $RTDIR/bin/ext_commands/<script_filename>

  3. SmartEvent GUIクライアントのポリシータブの、自動対応で、追加 >外部スクリプトを選択します。

  4. 自動対応の追加ウィンドウで

    1. 自動対応オブジェクトにわかりやすい名前を付けます。

    2. コマンドラインで、実行するスクリプトの名前を入力します。

      $RTDIR/bin/ext_commands/ディレクトリにあるスクリプトの名前を指定します。

      必要に応じて関連パスを使用します。

      $RTDIR/bin/ext_commands/のフルパスは指定しないでください。

    3. 保存を選択します。

スクリプトの作成ガイドライン

  • スクリプトを手動で実行して正常に動作するか確認します。

  • スクリプトの実行時間は10分以内にしてください。それ以上になるとSmartEventサーバでスクリプトを停止します。

  • スクリプトのイベントフィールドを使用します。

    スクリプトのイベントを参照するには、この環境変数を定義:

    EVENT=$(cat)

    $EVENTを使用

    ラインエディタコマンド(awksedなど)を使ってイベントを解析して特定のフィールドを参照します。フォーマットを確認するために$EVENTを一度出力できます。

    イベントコンテンツのフォーマットはname-valueになっていて、次のフィールドの構成セットになります:

    (name: value ;* );

    名前は文字列で値はセミコロンで区切るフリーテキストか、ネストされたname-valueセットになります。

    サンプルイベント:

    (Name:Check Point administrator credential guessing; RuleID:
    {F182D6BC-A0AA-444a-9F31-C0C22ACA2114}; Uuid:
    <42135c9c,00000000,2e1510ac,131c07b6>; NumOfUpdates:0; IsLast:0;
    StartTime:16Feb2015 16:45:45; EndTime:Not Completed; DetectionTime:
    16Feb2015 16:45:48; LastUpdateTime:0; TimeInterval:600;
    MaxNumOfConnections:3; TotalNumOfConnections:3; DetectedBy:2886735150;
    Origin:(IP:192.0.2.4; repetitions:3; countryname:United States;
    hostname: theHost) ; ProductName:SmartDashboard; User:XYZ; Source:
    (hostname: theHost; repetitions:3; IP:192.0.2.4; countryname:United
    States) ; Severity:Critical; EventNumber:EN00000184; State:0;
    NumOfRejectedConnections:0; NumOfAcceptedConnections:0) ;

イベントにフィールドをさらに追加する必要がある場合:

  1. SmartEvent GUIクライアントのポリシータブで、イベントを右クリックしてプロパティ > イベントフォーマットタブを選択します。

  2. 表示カラムで、イベントに表示するイベントフィールドを選択します。

  3. イベントポリシーをSmartEvent相関ユニットにインストールします。