Heute wurde endlich mein HP / TrendMicro TippingPoint Content Pack für VMware vRealize Log Insight offiziell veröffentlicht.
Das Content Pack ist nun im VMware Solution Exchange und im Log Insight Marketplace zu finden:
Veröffentlicht wurde das Content Pack im Namen der Vater Operations GmbH.
TrendMicro TippingPoint Content Pack – Überblick
VMware vRealize Log Insight Dashboards

Dashboard – Firewall
VMware vRealize Log Insight – Interactive Analytics
Hier als Beisiel eine Analyse nach geblockten IPs aus einem Subnetz, dies ist ohne weitere noch erweiterbar zu einem Digramm auch Source und Destination IPs.
TrendMicro TippingPoint Content Pack – Beschreibung
Auf zwei Dashboards mit insgesamt 18 Widgets können alle Firewall und Intrusion Prevention Logs schnell analysiert werden.
Mit den 16 Extracted Fields ist es sehr einfach die Daten nach belieben auszuwerten und zu visualisieren.
TrendMicro TippingPoint Content Pack – Konfiguration
HP TippingPoint Firewall:
Syslog needs to be activated.
HP Security Management System:
Syslog needs to be activated with custom Syntax (see User Guide).
Custom Syntax:
${_delimiter}${actionType}${_delimiter}${severity}${_delimiter}${policyUUID}${_delimiter}${signatureUUID}${_delimiter}fna=${_delimiter}${filterName}${_delimiter}snr=${_delimiter}${signatureNumber}${_delimiter}proto=${protocolLower}${_delimiter}src=${srcAddress}${_delimiter}spt=${srcPort}${_delimiter}dst=${destAddress}${_delimiter}dpt=${destPort}${_delimiter}${hitCount}${_delimiter}${deviceSlot}${_delimiter}${deviceSegment}${_delimiter}${deviceName}${_delimiter}${taxonomyID}${_delimiter}${eventTimestamp}${_delimiter}${eventID}
HP Security Management System – User Guide:
http://h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02586208-1.pdf
Please change the Alarm Values to a count that fits your environment.