事件工作流管理
通过在触发告警时自动响应工作流,您可以在网络中的安全事件导致入侵之前缓解这些事件。EventLog Analyzer允许您创建工作流,以便在检测到安全事件时自动执行禁用USB端口、关闭系统和更改防火墙规则等操作。
创建工作流的步骤
- 在EventLog Analyzer中,点击告警标签。
- 点击右上角的更多工具图标。
- 点击工作流打开管理工作流页面并点击+创建工作流按钮。
- 在工作流名称字段中输入工作流的名称。
- 点击工作流程名称字段旁边的描述链接,为工作流程输入适当的描述。
- 通过将工作流块从左侧窗格拖放到提供的空间中来创建工作流。确保这些块按逻辑排列以在您的基础架构中执行事件。
EventLog Analyzer 包含多个工作流块,可帮助您配置工作流以执行所需的操作。逻辑块分为不同的部分。
下面给出了工作流块的列表以及在使用它们配置工作流时要指定的详细信息:
| 逻辑块 |
详细说明 |
| 逻辑动作 |
| 决策
允许您根据上一操作的状态来分支工作流。
|
|
| 时间延迟
允许您在工作流的执行过程中引入时间延迟。
|
以分钟为单位的时间延迟。 |
| 网络动作 |
| Ping设备
允许您对网络中的设备执行ping操作以检查连接
|
- 要ping的设备的名称。
- 要发送的回应请求消息数。
- 要发送的数据包大小。
- 操作超时。
- 指定时间内的操作重试次数。
|
| 跟踪路由
允许您对网络中的设备运行跟踪路由功能,以识别路径。
|
- 要跟踪该路由到的设备的名称。
- 最大跳数。
- 操作超时。
|
| 进程动作 |
| 测试进程
允许您测试进程是否正在设备上运行。
|
- 您要在其上测试进程的设备的名称。
- 您要测试的进程。
- 进程的执行路径和命令行。
|
| 启动进程
允许您启动设备上的进程
|
- 要在其上启动进程的设备的名称。
- 进程工作目录。
- 启动该进程的命令。
|
| 停止进程
允许您停止设备上的进程
|
- 要在其上停止进程的设备的名称。
- 您要停止的进程。
- ExecuablePath和CommandLine来执行进程。
|
| 服务动作 |
| 测试服务
允许您测试设备上是否正在运行服务。
|
|
| 启动服务
允许您在设备上启动服务。
|
|
| 停止服务
允许您停止设备上的服务。
|
|
| Windows动作 |
| 注销
允许您从设备上当前活动的会话注销。
|
- 要从中注销的设备的名称。
- 选择是否要强制执行此操作。
|
| 关闭系统
允许您关闭Windows设备。
|
|
| 重启系统
允许您重启Windows设备。
|
- 要重新启动的设备的名称。
- 选择是否要强制执行此操作。
|
| 执行indows脚本
允许您在Windows设备上执行指定的脚本文件。
|
- 要在其上执行脚本文件的设备的名称。
- 脚本文件的类型。
- 脚本的参数(如果有)。您可以使用逗号分隔多个参数。
- 超时时间。
- 脚本执行的工作目录。
- 要执行的脚本。
|
| 禁用USB
允许您禁用设备上的USB端口。
|
|
| Linux动作 |
| 关闭Linux
允许您关闭Linux设备。
|
|
| 重启Linux
允许您重启Linux设备。
|
- 要重新启动的设备的名称。
- 选择是否要强制执行此操作。
|
| 执行Linux脚本
允许您在Linux设备上执行指定的脚本文件。
|
- 要在其上执行脚本文件的设备的名称。
- 脚本文件的类型。
- 脚本的参数(如果有)。您可以使用逗号分隔多个参数。
- 超时时间。
- 脚本执行的工作目录。
- 要执行的脚本。
|
| 通知动作 |
| 发送弹出消息
允许您在设备上显示弹出消息。
|
|
| 发送邮件
允许您发送邮件。
|
|
| 发送短信
允许您发送短信消息。
|
|
| 发送SNMP Trap
允许您将SNMP Trap发送到所需的目的地。
|
- 社区
- 端口号
- 企业OID
- SNMP管理器
- 消息内容
- 版本
|
| Active Directory动作 |
| 禁用用户
允许您禁用用户的帐户。
|
要禁用的用户帐户的名称。 |
| 删除用户
允许您删除用户帐户。
|
要删除的用户帐户的名称。 |
| 禁用计算机
允许您禁用计算机帐户。
|
要禁用的计算机帐户的名称 |
| Cisco ASA动作 |
| 添加入站规则
允许您添加入站规则。
|
- 防火墙设备的名称。
- 接口名称。
- 源地址。
- 目的地地址。
|
| 添加出站规则
允许您添加出站规则。
|
- 防火墙设备的名称。
- 接口名称。
- 源地址。
- 目的地地址。
|
| Miscellaneous动作 |
| 写入到文件
允许您将消息写入文件
|
- 文件所在设备的名称。
- 文件名称。
- 绝对文件路径。
- 要写入文件的文本。
- 如果文件已存在,请选择是否要追加或覆盖该文件。
|
| CSV查询
允许您在CSV文件中搜索值。
|
- 点击“浏览”,上传要执行的CSV文件。
- 指定标题或列号。
- 选择要匹配的字段。
|
| 转发日志
允许您将日志转发到所需的目的地。
|
|
| HTTP请求
允许您向URL发送HTTP请求。
|
- 要向其发送HTTP请求的URL。
- 指定要使用的方法(Get或Post)。
- 添加所需的参数。
|
- 您可以为每个逻辑块输入简短描述,以记录其在工作流中的用途。这使您以后更容易理解和编辑工作流程。
- 点击保存按钮以创建工作流。
编辑现有工作流程,您可以点击管理工作流程页面中工作流程名称对应的编辑图标。
管理工作流
您可以通过进入告警标签并点击更多工具图标中的工作流来查看和编辑EventLog Analyzer 中的现有工作流。管理工作流页面显示工作流列表、它们的描述、与每个工作流关联的告警配置文件的数量以及它们的历史记录。您可以通过点击相应的图标来启用或禁用、删除、编辑和复制工作流。
更新工作流凭证
您可以在您拥有管理权限的Windows、Linux和思科设备上自动执行工作流。您必须在EventLog Analyzer中更新这些设备的凭据才能无缝执行工作流。
在Windows设备中自动执行工作流:
如果Windows设备已添加到EventLog Analyzer,则可以使用设备凭据或设备的域凭据来执行工作流。因此,您无需手动更新Windows设备的凭据。
在Linux设备中自动执行工作流
您可以按照以下步骤配置一组用于在所有Linux设备中执行工作流的通用凭据:
- 点击管理工作流页面的工作流凭证链接。
- 点击编辑链接。
- 输入用户名、密码和端口号。
- 点击更新存储并使用这些凭据在所有Linux设备中执行工作流。
在Cisco设备中自动执行工作流
您必须按照此链接中给出的步骤配置思科防火墙中的REST API代理以执行工作流。(此处列出了Cisco REST API支持的版本)。
您可以按照以下步骤使用EventLog Analyzer配置一组通用凭据,以便在所有思科设备中执行工作流:
- 点击管理工作流页面的工作流凭证链接。
- 点击编辑链接。
- 输入用户名和密码。
- 点击更新存储并使用这些凭据在所有Cisco设备中执行工作流。
如果通用凭据不适用于某些思科设备,您需要按照以下步骤配置这些设备的凭据:
- 点击设置 → 配置 → 管理设备 → Syslog设备。
- 将鼠标指针悬停在要在其上执行工作流的设备附近,然后点击编辑图标。
- 在更新设备弹出菜单中,点击高级。
- 勾选配置REST API凭证。
- 输入用户名和密码。
- 点击验证凭证向思科设备发送REST API调用,以验证凭据是否有效。
- 点击更新以存储和使用指定的凭据来执行工作流。
|
