Skip to content

Latest commit

 

History

History

ViennaNET.ArcSight

Folders and files

NameName
Last commit message
Last commit date

parent directory

..
Configuration
Configuration
 
 
Exceptions
Exceptions
 
 
Validation
Validation
 
 
ArcSightClient.cs
ArcSightClient.cs
 
 
AssemblyInfo.cs
AssemblyInfo.cs
 
 
CefEncoder.cs
CefEncoder.cs
 
 
CefMessage.cs
CefMessage.cs
 
 
CefMessageSerializer.cs
CefMessageSerializer.cs
 
 
CefSender.cs
CefSender.cs
 
 
CefSenderFactory.cs
CefSenderFactory.cs
 
 
CefSeverity.cs
CefSeverity.cs
 
 
CefSeverityExtensions.cs
CefSeverityExtensions.cs
 
 
CefType.cs
CefType.cs
 
 
DeviceDirection.cs
DeviceDirection.cs
 
 
ErrorHandlingPolicyFactory.cs
ErrorHandlingPolicyFactory.cs
 
 
Extensions.cs
Extensions.cs
 
 
IArcSightClient.cs
IArcSightClient.cs
 
 
ICefSender.cs
ICefSender.cs
 
 
ICefSenderFactory.cs
ICefSenderFactory.cs
 
 
IErrorHandlingPoliciesFactory.cs
IErrorHandlingPoliciesFactory.cs
 
 
README.md
README.md
 
 
Readme.md
Readme.md
 
 
StringExtensions.cs
StringExtensions.cs
 
 
SyslogRfc3164MessageSerializer.cs
SyslogRfc3164MessageSerializer.cs
 
 
ViennaNET.ArcSight.csproj
ViennaNET.ArcSight.csproj
 
 

README.md

Сборка для подключения сервиса к ArcSight. Содержит классы, позволяющие отправить стандартное сообщение в формате CEF в канал передачи данных.

Основные сущности

Основной класс - ArcSightClient. Он позволяет сериализовать входящее сообщение в формат, заданный настройками.

Настройки, задаваемые в конфигурации:

  • Доменное имя сервера, на который передаются данные
  • Порт сервера
  • Версия протокола сериализации данных
  • Тип транспортного протокола

Для отправки используется класс CefMessage. Класс содержит всю информацию, необходимую для идентификации инцидента системой ArcSight. В случае ошибки валидации сущности возникает исключение CefMessageValidationException

Инструкция по применению:

  1. Добавляем в класс зависимость от IArcSightClient.

  2. Добавляем файл конфигурации appsettings.json,

    {
 "arcSight": {
   "serverHost": "localhost",
   "serverPort": "60",
   "syslogVersion": "rfc3164",
   "protocol": "tcp"
}

  3. Создаем экземпляр класса CefMessage. Сообщение автоматически валидируется при создании.

  4. Вызывает метод Send интерфейса IArcSightClient, передав туда созданное на шаге 3 сообщение.

Пример использования

public class ArcSightSendingService : IArcSightSendingService { private readonly IArcSightClient _arcSightClient; private readonly IMapperFactory _mapperFactory;

public ArcSightSendingService(IArcSightClient arcSightClient, IMapperFactory mapperFactory)
{
  _arcSightClient = arcSightClient.ThrowIfNull("arcSightClient");
  _mapperFactory = mapperFactory.ThrowIfNull("mapperFactory");
}

public void SendViewingEvent(LoggingMessage message)
{
  var mapper = _mapperFactory.Create<LoggingMessage, ICollection<CEFMessage>>();

  var cefMessages = mapper.Map(message);

  foreach (var cefMessage in cefMessages)
  {
    _arcSightClient.Send(cefMessage);
  }
}

}

Форматы сериализации Syslog

  • RFC 3164
  • RFC 5424