CVE-2020-11851 ArcSight Logger上的远程执行代码漏洞(通过ArcSight管理中心) 执行摘要 Vulnerability Background ArcSight Logger是一个全面的日志管理解决方案,可通过统一和存储来自其整个组织的机器数据日志,并促进对这些数据的快速搜索和报告,减轻了合规性负担,并为安全专业人员提供了更快的法医调查。 ArcSight管理中心(ArcMC)是一个集中式安全管理中心,可通过单个界面管理ArcSight解决方案的大型部署,例如ArcSight Logger,ArcSight SmartConnectors(连接器),ArcSight FlexConnectors和ArcSight连接器设备(ConApp)。 可以通过ArcSight管理中心的备份功能(版本:2.7.1.065.0)利用此漏洞。 该备份选项通过使用使用工
2023-03-11 13:30:35 4KB
1
目 录 2 第一章 关于ARCSIGHT ESM 8 ARCSIGHT 发送日志实用程序 8 用户角色 8 通过ESM的用户路径 11 第二章 ARCSIGHT 企业安全管理 13 ESM启用态势感知 13 ESM 解析 14 SMARTCONNECTORS 15 ArcSight管理中心 16 支持的数据源 16 FlexConnector 18 Forwarding Connector 18 ARCSIGHT MANAGER 18 CORR-ENGINESTORAGE 18 用户接口 18 ArcSight 命令中心 19 ArcSight 控制台 19 用例 19 ArcSight风险洞察 19 交互式发现 20 模式发现 21 设备上的ESM 21 Logger 21 ArcSight解决方案 22 关于资源 22 第三章 ESM事件的生命周期 25 第四章 数据收集和事件处理 27 收集事件数据 27 规范化事件数据 28 事件严重性 29 应用事件类别 29 有关ESM事件类别的所有默认值的详细信息,请参阅ArcSight控制台帮助主题类别。事件分类实用程序 31 在网络模型中查找客户和区域 32 筛选和聚合事件 33 配置 SmartConnectors 以筛选出事件 33 将 SmartConnector 配置为聚合事件 33 配置 SmartConnector 以执行命令 34 管理SMARTCONNECTOR配置 34 第五章 优先级评估和网络模型查找 35 查找网络模型 35 查找ACTOR模型 35 优先评级 36 评估优先级公式 37 将事件写入CORR引擎存储 39 第六章 工作流 40 注释 41 案例 42 阶段 42 用户和用户组 44 通知 45 通知如何工作 45 通知组 46 升级级别 46 通知目标 46 通知确认 46 知识库 46 参考页面 47 资源组的引用页 47 事件的参考页 47 漏洞的参考页 47 第七章 相关性评估 48 相关性概述 48 过滤器-FILTERS 49 命名条件 (过滤器资源) 50 未命名的条件 50 活动通道中的过滤器 50 过滤器调试 51 规则-RULES 51 规则如何工作 51 标准规则 52 联接-join 52 轻量级和预持久性规则 52 规则聚合 53 如何评估规则 53 规则操作和阈值 54 规则触发的相关事件 54 规则如何使用活动列表 55 活动列表的工作方式 56 规则如何使用会话列表 58 在规则通道中测试标准规则 58 在实时规则中部署标准规则 58 数据监视器 60 基于事件的数据监视器 60 相关数据监视器 61 基于非事件的数据监视器 62 关联如何使用本地和全局变量 63 VELOCITY模板 64 Velocity 应用点 64 用于检索值的Velocity表达式示例 65 事件类型 66 原始事件 66 事件类型数据字段中的事件类型 67 其他类型的规范化事件 67 过滤事件 68 监测ESM的审计事件 68 第八章 监控和调查 70 活动频道 70 实时频道 72 规则频道 73 资源频道 73 字段设置 74 可排序的字段集 74 字段和全局变量 74 仪表板 74 事件图数据监视器 75 事件图作为监视工具 76 事件图作为调查分析工具 77 自定义视图仪表板 78 查询查看器 78 查询查看器作为调查和分析工具 79 保存的搜索和搜索筛选器 81 对等方之间的分布式搜索 81 集成命令 82 第三方集成方案 82 集成命令的工作方式 82 支持的命令类型 84 如何使用可用命令 84 在监视和调查过程中使用集成命令 85 使用利用网络模型的集成命令 85 第九章 报告和事件分析 86 报告 86 查询 87 趋势 88 快照趋势 88 间隔趋势 89 趋势怎样工作 89 模板 90 报告 91 存档报告 92 增量报告 92 重点报告 92 作业计划程序 92 计划作业管理器 93 ARCSIGHT模式发现 94 模式发现输出: 快照和模式 94 ARCSIGHT交互式发现 95 第十章 CORR引擎 97 CORR-引擎事件存储 97 有效保留期限 98 档案 99 基于时间和空间的存储保留 99 系统存储 99 CORR引擎存储管理 99 第十一章 事件模式 101 事件数据字段 101 事件字段组 101 事件模式中的设备和资产 104 事件模式中的设备 105 事件模式中的资产 106 事件模式中的备用接口 106 网络中的设备和连接器 107 源/目标、攻击者/目标: 外部攻击 108 源/目标、攻击者/目标: 特洛伊木马攻击 108 目的地/目标 仅:SysLog重新启动报告 109 设
2021-10-20 16:51:01 5.96MB Arcsight ESM ESM 101
1
ArcMCOverview and Troubleshooting
2021-08-20 01:02:34 518KB esm arcsight
Micro Focus Security ArcSight ESM
2021-08-18 19:00:11 57KB ArcsightEsm esm security
1
什么是map文件 如何查看map文件
2021-08-10 22:00:29 598KB map arcsight ArcSightLogger
1
第一章 入门 1 启动 ARCSIGHT 控制台 1 快速启动工具和标准内容 1 用例 2 第二章 在控制台中工作 3 导航 3 "导航器" 面板资源树 4 批量编辑 6 批量编辑案例或连接器 6 锁定案例组 7 SmartConnector提醒 7 重新连接到管理器 7 更改控制台显示 7 更改用户首选项 9 更改你的密码 9 更改其它用户的密码 9 设置默认编辑器和查看器 9 更改全局选项 10 设置对话框选项 12 为查看器面板设置网格选项 13 自定义活动列表的默认选择 15 设置日期和时间格式 16 设置纬度和经度选项 16 配置事件图 17 设置通知弹出窗口 19 管理热键 19 为常用资源添加快捷方式 20 修改自定义快捷方式 22 删除自定义快捷方式 24 激活新的快捷方式架构 25 共享自定义快捷方式架构 26 查看 26 查看面板 26 控制台外观 28 检查和编辑 28 检查/编辑功能和实用程序概述 28 在事件检查器、资源编辑器或 CCE 中搜索字段 30 获得更多帮助 31 控制控制台 31 使用网络工具 33 运行一个工具命令 34 添加或编辑工具 35 保持知情 37 确认通知 37 使用笔记 38 许可证追踪 39 许可证跟踪通知 39 许可证状态跟踪的标准报表 39 使用文件菜单 40 使用编辑菜单 40 使用 "视图" 菜单 41 使用窗口菜单 42 使用 "工具" 菜单 43 使用 "系统" 菜单 44 使用 "帮助" 菜单 44 使用右键单击上下文菜单 45 编辑资源时使用高级选择器 48 键盘快捷键 (热键) 48 为资源创建快捷方式 50 显示最近查看的资源 50 向收藏夹列表中添加资源 51 从控制台打印 51 打印资源的导航树视图 52 打印资源定义 52 打印网格视图 53 打印条件树摘要 53 使用列翻转限制格式化网格视图打印输出 54 保存和发送设置 55 错误和警告消息 56 第三章 管理用户和组 57 管理用户组 57 用户 59 创建或编辑用户 60 重置用户密码 62 移动或链接用户 62 停用和重新激活用户 63 删除用户 64 第四章 管理权限 64 编辑访问控制列表 (ACL) 64 授予或删除资源权限 65 授予或删除操作权限 66 授予或删除用户组权限 67 添加或删除强制筛选 69 对排序字段集的权限 72 共享资源 72 控制具有部署数据监视器权限的人员 73 升级如何影响数据监视器部署权限 74 导入的数据监视器的部署权限 75 第五章 建模网络 75 网络模型 76 资产 76 自动创建资产 77 资产老化与模型信心 79 资产范围 80 区域 80 动态和静态区域 81 网络 81 资产模型 82 位置 82 漏洞 82 资产类别 82 分配给资产、资产范围和资产组的资产类别 83 指定给区域的资产类别 83 使用资产填充网络模型 83 基于 ArcSight 控制台的方法 84 手动使用网络建模资源 84 在使用网络建模向导的批处理中 85 基于SmartConnector的方法 85 使用资产模型导入 FlexConnector 85 自动从漏洞扫描器报表 86 ArcSight辅助方法 86 作为来自现有配置数据库的存档文件 87 使用向导填充网络模型 87 指定 CSV 列类型 88 使用页眉指定列类型 88 在一个类别列中指定多个类别 89 在向导中分配列类型 89 区域 CSV 文件格式 90 区域 CSV 文件的示例 92 资产 CSV 文件格式 92 资产 CSV 文件的一个示例 94 动态区域中的静态寻址 94 资产范围 CSV 文件格式 94 资产范围 CSV 文件的示例 96 增加显示的行数 96 要导入的数据摘要 96 导入到 ArcSight 管理器中的网络数据 96 使用资产、位置、区域、网络、漏洞和类别 97 管理资产 98 资产自动创建 100 使用 IP 地址或主机名创建资产 108 保留先前的资产 110 在通用条件编辑器中选择资产 112 自动分区资产 113 自动分区导入资产 114 管理资产组 114 管理漏洞 116 在公共条件编辑器中选择漏洞 117 处理易受攻击的资产 118 管理漏洞组 119 显示受影响的资产 120 报表漏洞扫描程序的输出 120 报表资产漏洞 121 管理区域 121 管理网络 122 管理资产类别 123 管理位置 124 管理客户 125 第六章 管理 SMARTCONNECTORS 126 选择和设置 SMARTCONNECTOR 参数 126 配置SmartConnector 126 连接器编辑器选项卡 127 连接器选项卡配置字段 128 默认内容选项卡配置字段
2021-06-30 17:18:13 22.27MB Arcsight ESM Arcsight控制台
1