Vyhledávání MAC adres

TeskaLabs LogMan.io nabízí optimalizovanou sadu vyhledávání pro práci s MAC adresami, nazvanou MAC vyhledávání.

Existují vždy tři kroky k povolení MAC vyhledávání:

1. Vytvořte deklaraci vyhledávání v LogMan.io Knihovně (popis vyhledávání)
2. Vytvořte vyhledávání a jeho obsah v sekci Vyhledávání v uživatelském rozhraní (obsah vyhledávání)
3. Přidejte vyhledávání do relevantních pravidel pro analýzu a/nebo korelaci v Knihovně (aplikace vyhledávání)

Vyhledávání MAC adresy podle výrobce

Vyhledávání výrobce MAC je, když na základě rozsahu MAC adres, jako je 0c:12:30:00:00:01 až 0c:12:30:00:00:ff, chcete získat informace o výrobci zařízení, kterému je MAC adresa přidělena.

Vestavěné vyhledávání MAC adresy podle výrobce

Když MAC adresa z události neodpovídá žádnému z poskytnutých macvendor vyhledávání, bude použito výchozí veřejné vyhledávání výrobce MAC poskytované TeskaLabs LogMan.io.

1. V LogMan.io přejděte do Knihovny.

2. V Knihovně přejděte do složky /Vyhledávání.

3. Vytvořte novou deklaraci vyhledávání pro vaše vyhledávání, například "macvendorlookup.yaml" s příponou YAML.

4. Přidejte následující deklaraci:

   define:
     type: lookup/macaddressrange
     name: macvendorlookup
     group: macvendor
   
   keys:
     - name: range1
       type: mac
     - name: range2
       type: mac
   
   fields:
     manufacturer:
       type: str
   

   Ujistěte se, že type je vždy lookup/macaddressrange.

   Změňte name v sekci define na název vašeho vyhledávání.

   group se poté používá v procesu obohacení k nalezení všech vyhledávání, která sdílejí stejnou skupinu. Hodnota je jedinečný identifikátor skupiny (použití), zde: macvendor.

   Zachovejte klíče tak, jak jsou, abyste specifikovali rozsahy.

   Do fields přidejte názvy a typy atributů vyhledávání.

   fields:
     manufacturer:
       type: str
   

   Atribut value bude použit jako výchozí.

   V současnosti jsou podporovány tyto typy: str, fp64, si32, geopoint, ip a mac.

5. Uložte.

6. V LogMan.io přejděte do Vyhledávání.

7. Vytvořte nové vyhledávání se stejným názvem jako výše, tj. "macvendorlookup". Specifikujte dvě klíče s názvy: range1, range2.

8. Vytvořte záznamy ve vyhledávání s rozsahy jako klíči a poli, jak je uvedeno výše (v příkladu je v hodnotovém slovníku uložen pouze výrobce).

9. Přidejte následující obohacovač do pravidla Parsec LogMan.io, které by mělo využívat vyhledávání:

   define:
     type: enricher/mac
     group: macvendor
   
     schema:
       /Schemas/ECS.yaml:
         postfix: device.
   

   Specifikujte skupinu vyhledávání, která má být použita v atributu group. Měla by být stejná jako skupina zmíněná výše v deklaraci vyhledávání. Nájemníci jsou automaticky vyřešeni.

   Obohacení se provádí na každém poli, které má typ mac ve schématu.

   Postfix specifikuje postfix pro atribut:

   Pokud je vstup source.mac

   Pak je výstup source.observer.<NAME_OF_THE_ATTRIBUTE>.

   Pokud jde o výchozí veřejné vyhledávání výrobce MAC (viz výše), následující položky jsou vyplněny výchozími hodnotami:

     manufacturer:
       type: str
   

Vyhledávání rozsahu MAC adres

Vyhledávání rozsahu MAC adres používá rozsahy MAC adres, jako je 0c:12:30:00:00:01 až 0c:12:30:00:00:ff, jako klíče.

Deklarace vyhledávání rozsahu MAC adres musí obsahovat typ lookup/macaddressrange v sekci define a dva klíče s typem mac v sekci keys:

define:
  type: lookup/macaddressrange
  name: mylookup
  group: mygroup

keys:
  - name: range1
    type: mac
  - name: range2
    type: mac

fields:
  ...