2020-09-14 08:47 AM
I’m having trouble with a few fields while using the native parser of Arbor Peakflow SP. I have created a few Log Parser Rules but as noted, they do not override any meta that has already been parsed in the original parser. Any idea on how to get NetWitness to correct these metakeys without having to write a create a custom parser with Log Parser Tool?
See attachement.
One example I found, while trying to parse the alert #, I found that in some events, the information come along with the metakey “node” (image 1). Even after creating the log parser rule to look for alert #, the information gets parsed as it was configured in the original parser (image 2).
See attachement.
I have an active subscription and deployed that latest parser, but it was last updated in 2017. Any thoughts on how to either get RSA to update this parser or how I can correct these metakeys without having to create a custom parser?
Thanks!
2020-09-14 09:03 AM
If you wish to have an existing RSA Log Parser updated, you can open a case with support with the following items as long as you are opening against a supported version of your device as dictated by the guide. If you provide these items, we should be able to assist you.
If you request seems valid, we would provide it to our content team and they would look at updating it. If you request actually seems like something that would do better with just a simple customization, we can help guide you in the way of this.
2020-09-14 09:10 AM
Jefferson
Can you reach out to me directly with some log samples and what you are seeing? I can get you squared away.
Dave
dave.glover at rsa dot com
2020-09-16 01:36 PM
Hello Dave,
Thanks for replying to us and I would like to inform that we are collecting all the logs and evidences about this parsers to send.
Atenciosamente, Regards,
Jefferson Oliveira
Gerência de Segurança de Redes
Diretoria | Telefônica Brasil
Av. Dr. Chucri Zaidan, 860, 1º Subsolo
CEP 04583-110 | São Paulo – SP
Tel +55 11 99711-9039
jefferson.roliveira@telefonica.com<mailto:jefferson.roliveira@telefonica.com>
www.telefonica.com.br<http://www.telefonica.com.br/> | www.vivo.com.br<http://www.vivo.com.br/>
Esta mensagem e seus anexos se dirigem unicamente ao seu destinatário e são para seu uso exclusivo, pois podem conter informação privilegiada ou confidencial. Se você não é o destinatário indicado, notificamos que a leitura, utilização, divulgação e/ou cópia sem autorização do conteúdo deste email pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por engano, pedimos que comunique imediatamente ao remetente e exclua essa mensagem.
De: Dave Glover <no-reply@rsa.com>
Enviada em: segunda-feira, 14 de setembro de 2020 10:12
Para: Jefferson Rodrigues De Oliveira <jefferson.roliveira@telefonica.com>
Assunto: Re: - Re: Parser for Arbor Networks Default Not Updated since 2017
<https://community.rsa.com/?et=watches.email.thread>
Re: Parser for Arbor Networks Default Not Updated since 2017
reply from Dave Glover<https://community.rsa.com/people/wRAlmdLu8uOnkbiouAPmB5mqnlFr6baANOTo7eT0Oa4=?et=watches.email.thread> in RSA NetWitness Platform - View the full discussion<https://community.rsa.com/message/959674?commentID=959674&et=watches.email.thread#comment-959674>
2020-09-16 01:37 PM
Hi Aaron,
We are collecting all the logs to send. As soon as we get everything we’ll let you know;.
Atenciosamente, Regards,
Jefferson Oliveira
Gerência de Segurança de Redes
Diretoria | Telefônica Brasil
Av. Dr. Chucri Zaidan, 860, 1º Subsolo
CEP 04583-110 | São Paulo – SP
Tel +55 11 99711-9039
jefferson.roliveira@telefonica.com<mailto:jefferson.roliveira@telefonica.com>
www.telefonica.com.br<http://www.telefonica.com.br/> | www.vivo.com.br<http://www.vivo.com.br/>
Esta mensagem e seus anexos se dirigem unicamente ao seu destinatário e são para seu uso exclusivo, pois podem conter informação privilegiada ou confidencial. Se você não é o destinatário indicado, notificamos que a leitura, utilização, divulgação e/ou cópia sem autorização do conteúdo deste email pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por engano, pedimos que comunique imediatamente ao remetente e exclua essa mensagem.
De: Aaron Martin <no-reply@rsa.com>
Enviada em: segunda-feira, 14 de setembro de 2020 10:05
Para: Jefferson Rodrigues De Oliveira <jefferson.roliveira@telefonica.com>
Assunto: Re: - Re: Parser for Arbor Networks Default Not Updated since 2017
<https://community.rsa.com/?et=watches.email.thread>
Re: Parser for Arbor Networks Default Not Updated since 2017
reply from Aaron Martin<https://community.rsa.com/people/BCliDTxnIB1Vwm9ysLacrDHyAQqTaQf3AAsmx6BuL3I=?et=watches.email.thread> in RSA NetWitness Platform - View the full discussion<https://community.rsa.com/message/959668?commentID=959668&et=watches.email.thread#comment-959668>
2020-09-21 01:00 PM
Hello Dave,
Have you seen the email from my colleague?
Does that information help or do we need to send more something else?
Atenciosamente, Regards,
Jefferson Oliveira
Gerência de Segurança de Redes
Diretoria | Telefônica Brasil
Av. Dr. Chucri Zaidan, 860, 1º Subsolo
CEP 04583-110 | São Paulo – SP
Tel +55 11 99711-9039
jefferson.roliveira@telefonica.com<mailto:jefferson.roliveira@telefonica.com>
www.telefonica.com.br<http://www.telefonica.com.br/> | www.vivo.com.br<http://www.vivo.com.br/>
Esta mensagem e seus anexos se dirigem unicamente ao seu destinatário e são para seu uso exclusivo, pois podem conter informação privilegiada ou confidencial. Se você não é o destinatário indicado, notificamos que a leitura, utilização, divulgação e/ou cópia sem autorização do conteúdo deste email pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por engano, pedimos que comunique imediatamente ao remetente e exclua essa mensagem.
De: Sarah Racco Manzini <sarah.manzini@telefonica.com>
Enviada em: quinta-feira, 17 de setembro de 2020 16:56
Para: Jefferson Rodrigues De Oliveira <jefferson.roliveira@telefonica.com>; jive-1914554085-1zxs-2-kkhm@mail.rsa.jiveon.com; dave.glover@rsa.com
Assunto: RES: - Re: Parser for Arbor Networks Default Not Updated since 2017
Hello Dave,
I’ve collected some info of the events that we haven’t been able to parse correctly and compiled everything in the attached doc.
Any help will do since we do not want to have to create a new parser using log parser tool and in theory, the Log Parser Rules should work.
Thanks in advance,
Sarah Racco Manzini
Cyber Security Consultant
SOC – Security Operation Center | P#B#GD
Diretoria Redes | Telefônica Brasil
Avenida Dr. Chucri Zaidan, 860, 1º SS
CEP 04583-110 São Paulo - SP
Cel + 55 11 9 8935 3246
sarah.manzini@telefonica.com<mailto:sarah.manzini@telefonica.com>
www.telefonica.com.br<http://www.telefonica.com.br/> | www.vivo.com.br<http://www.vivo.com.br/>
Esta mensagem e seus anexos se dirigem unicamente ao seu destinatário e são para seu uso exclusivo, pois podem conter informação privilegiada ou confidencial. Se você não é o destinatário indicado, notificamos que a leitura, utilização, divulgação e/ou cópia sem autorização do conteúdo deste email pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por engano, pedimos que comunique imediatamente ao remetente e exclua essa mensagem.
De: Jefferson Rodrigues De Oliveira <jefferson.roliveira@telefonica.com<mailto:jefferson.roliveira@telefonica.com>>
Enviada em: quarta-feira, 16 de setembro de 2020 14:36
Para: jive-1914554085-1zxs-2-kkhm@mail.rsa.jiveon.com<mailto:jive-1914554085-1zxs-2-kkhm@mail.rsa.jiveon.com>
Cc: Sarah Racco Manzini <sarah.manzini@telefonica.com<mailto:sarah.manzini@telefonica.com>>
Assunto: RES: - Re: Parser for Arbor Networks Default Not Updated since 2017
Hello Dave,
Thanks for replying to us and I would like to inform that we are collecting all the logs and evidences about this parsers to send.
Atenciosamente, Regards,
Jefferson Oliveira
Gerência de Segurança de Redes
Diretoria | Telefônica Brasil
Av. Dr. Chucri Zaidan, 860, 1º Subsolo
CEP 04583-110 | São Paulo – SP
Tel +55 11 99711-9039
jefferson.roliveira@telefonica.com<mailto:jefferson.roliveira@telefonica.com>
www.telefonica.com.br<http://www.telefonica.com.br/> | www.vivo.com.br<http://www.vivo.com.br/>
Esta mensagem e seus anexos se dirigem unicamente ao seu destinatário e são para seu uso exclusivo, pois podem conter informação privilegiada ou confidencial. Se você não é o destinatário indicado, notificamos que a leitura, utilização, divulgação e/ou cópia sem autorização do conteúdo deste email pode estar proibida em virtude da legislação vigente. Se recebeu esta mensagem por engano, pedimos que comunique imediatamente ao remetente e exclua essa mensagem.
De: Dave Glover <no-reply@rsa.com<mailto:no-reply@rsa.com>>
Enviada em: segunda-feira, 14 de setembro de 2020 10:12
Para: Jefferson Rodrigues De Oliveira <jefferson.roliveira@telefonica.com<mailto:jefferson.roliveira@telefonica.com>>
Assunto: Re: - Re: Parser for Arbor Networks Default Not Updated since 2017
<https://community.rsa.com/?et=watches.email.thread>
Re: Parser for Arbor Networks Default Not Updated since 2017
reply from Dave Glover<https://community.rsa.com/people/wRAlmdLu8uOnkbiouAPmB5mqnlFr6baANOTo7eT0Oa4=?et=watches.email.thread> in RSA NetWitness Platform - View the full discussion<https://community.rsa.com/message/959674?commentID=959674&et=watches.email.thread#comment-959674>