Cybersecurity
DevOps Cloud
IT Operations Cloud
ESM 6.11.0 からソースアドレスや通信先アドレスなどのIPアドレス系のフィールドで
IPv6 アドレスが使用できるようになりました。
以前はソースアドレスや通信先アドレスなどのIPアドレス系のフィールドはIPv4しか格納できず、
IPv6アドレスは別のフィールド(deviceCustomIPv6Address 1-3)に格納されていました。
FlexConnector Developer's Guide より
-----------------------------------------------------------
For a non-IPv6-aware parser, the IPv6 fields (deviceCustomIPv6Address1, 2, and 3)
should consistently use 1 for device, 2 for source, and 3 for destination. The labels for
them will automatically be set if the IPv6 address field is set, but if your ArcSight Console
parser sets them explicitly, it should use the exact strings shown above.
For an IPv6-aware parser, the IPv6 fields (deviceCustomIPv6Address1, 2, and 3) can
contain either IPv4 or IPv6 addresses. In practice, these fields should rarely be used. If they
are, the labels should be set to an appropriate value.
-----------------------------------------------------------
コネクタは v7.4 から IPv6 サポートになりましたが、
コネクタと ESM 間の version により次の様に取り扱われます。
イベントのタイプ | 宛先が 非IPv6 Aware | 宛先が IPv6 Aware |
非 IPv6 Aware | イベントのタイプが legacy の宛先と合っているので、 イベントへの変更はなし |
もしIPv6 アドレスが deviceCustomIPv6 address 1-3 に格納されており、 またsource, destination, または device のアドレスのフィールドに値が格納されていない場合、 deviceCustomIPv6 address 1-3 のIPv6 アドレスをsource, destination, または device のアドレスのフィールドに移動する |
IPv6 Aware | もし、source, destination, または device フィールドに IPv6 アドレスが格納されている場合、 それらをdeviceCustomIPv6Address 1-3 フィールドへ移動する |
イベントのタイプが IPv6 aware の宛先と合っているので、 イベントへの変更はなし |
宛先が IPv6 aware かどうかは、コネクタが ESM との接続開始時に、agent.log の次の様な記録でご確認いただけます。
ESM 6.9.1 が宛先の場合:
-----------------------------------------------------
[2022-04-21 16:57:42,678][INFO ][default.com.arcsight.agent.loadable._IPAddressAdjuster][checkDestType] For agentId [3n5IaS4ABABCCMKHX611gKg==] destination IPv6 awareness [LEGACY]
-----------------------------------------------------
ESM 6.11.0 以降の宛先の場合:
-----------------------------------------------------
[2022-04-21 16:57:43,641][INFO ][default.com.arcsight.agent.loadable._IPAddressAdjuster][checkDestType] For agentId [3UFseS4ABABD9lbyg4EUrkg==] destination IPv6 awareness [IPv6_AWARE]
-----------------------------------------------------
なお、CEFは、0.1 version では IPv4 のみのフィールドと IPv6 のみのフィールドの仕様となりますが、
CEF 1.0 version で、それらのフィールドで IPv4 および IPv6 の両方がサポートされるようになりました。
そのため、ソースアドレスなどで IPv6 アドレスが格納されないような場合は、CEF の Version が 1.0 になっているかもご確認ください。
次は CEF 0.1 ("CEF:0") のサンプル イベントです:
----------------------------------------------------
<14>Apr 29 10:20:41 SMAC-USER CEF:0|Palo Alto Networks|PAN-OS|8.1.1|drop|TRAFFIC|1|rt=Apr 29 2019 01:20:41 GMT deviceExternalId=012001007809 src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx
(後略)
----------------------------------------------------
次は CEF 1.0 ("CEF:1") のサンプル イベントです :
----------------------------------------------------
<14>Apr 29 10:20:41 SMAC-USER CEF:1|Palo Alto Networks|PAN-OS|8.1.1|drop|TRAFFIC|1|rt=Apr 29 2019 01:20:41 GMT deviceExternalId=012001007809 src=xxxx:xxxx:xxxx:xxxx::xxxx dst=xxxx:xxxx:xxxx:xxxx::xxxx
(後略)
----------------------------------------------------