HP / TrendMicro TippingPoint Content Pack Veröffentlicht

Heute wurde endlich mein HP / TrendMicro TippingPoint Content Pack für VMware vRealize Log Insight offiziell veröffentlicht.

Top vBlog 2018 Voting

Take the survey to cast your ballot and reward the best bloggers for their hard work and dedication by letting them know that you appreciate them.

Das Content Pack ist nun im VMware Solution Exchange und im Log Insight Marketplace zu finden:

TrendMicro TippingPoint Content Pack - Marketplace

Veröffentlicht wurde das Content Pack im Namen der Vater Operations GmbH.

TrendMicro TippingPoint Content Pack – Überblick

VMware vRealize Log Insight Dashboards

TrendMicro TippingPoint Content Pack - ITP

Dashboard – ITP

 

TrendMicro TippingPoint Content Pack - FW

Dashboard – Firewall

VMware vRealize Log Insight – Interactive Analytics

Hier als Beisiel eine Analyse nach geblockten IPs aus einem Subnetz, dies ist ohne weitere noch erweiterbar zu einem Digramm auch Source und Destination IPs.

VMware vRealize Log Insight - Interactive Analytics

VMware vRealize Log Insight – Interactive Analytics

TrendMicro TippingPoint Content Pack – Beschreibung

Auf zwei Dashboards mit insgesamt 18 Widgets können alle Firewall und Intrusion Prevention Logs schnell analysiert werden.

Mit den 16 Extracted Fields ist es sehr einfach die Daten nach belieben auszuwerten und zu visualisieren.

TrendMicro TippingPoint Content Pack – Konfiguration

HP TippingPoint Firewall:
Syslog needs to be activated.

HP Security Management System:
Syslog needs to be activated with custom Syntax (see User Guide).

Custom Syntax:

${_delimiter}${actionType}${_delimiter}${severity}${_delimiter}${policyUUID}${_delimiter}${signatureUUID}${_delimiter}fna=${_delimiter}${filterName}${_delimiter}snr=${_delimiter}${signatureNumber}${_delimiter}proto=${protocolLower}${_delimiter}src=${srcAddress}${_delimiter}spt=${srcPort}${_delimiter}dst=${destAddress}${_delimiter}dpt=${destPort}${_delimiter}${hitCount}${_delimiter}${deviceSlot}${_delimiter}${deviceSegment}${_delimiter}${deviceName}${_delimiter}${taxonomyID}${_delimiter}${eventTimestamp}${_delimiter}${eventID}

HP Security Management System – User Guide:
http://h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02586208-1.pdf

Please change the Alarm Values to a count that fits your environment.

 

Leave a Reply