NAWHACK

Blog d'informatique sécurité et réseaux.

Illustration de l'article

Analyse des logs BlueCoat CAS

Une fois de plus, je vais vous parler des logs BlueCoat. Dans cet article, je fais un focus sur deux petites astuces concernant les CAS (Content Analysis). Cela concerne plus particulièrement la journalisation du condensat des fichiers observés.

BlueCoat CAS 1.3

Sachez que dans la version du CAS 1.3 et plus, il est possible de journaliser le condensat SHA1 de tous les fichiers analysés par le moteur ICAP du CAS. 

Pour cela, il faut modifier la verbosité du log ICAP_CONNECTION du CAS.

(config)# logging syslog ICAP_CONNECTION level INFO

Bien que cette solution à le mérite d'exister, il faut savoir qu'elle est assez onéreuse en volume puisqu'elle surcharge énormément les journaux du CAS. En effet, tous les objets des pages webs qui sont analysés seront journalisés (html, css, js, fonts, pdf, exe, doc etc.) On peut donc se retrouver avec plusieurs milliers d'EPS. Cette solution peut avoir un interrêt dans un environnement nécessitant un haut niveau de sécurité.

Un log par fichier analysé de type :

<174>2019-03-12T22:29:39.707Z 172.16.1.2 avservice - INFO     : https://lolcat.fr/image.jpg verdict not malicious. Hash: 5ae4dc1b537c6708bd2bd2d6a273c9c5f47bb707

BlueCoat CAS 2.3

Depuis la version 2.3, il est possible de journaliser le condensat SHA1 des fichiers détectés par les moteurs d'analyse du CAS (antivirus, static analysis, blacklist, sandbox etc).

La variable %SHA1_HASH (The SHA1 hash of the file that was scanned) a été ajoutée par l'équipe produit du CAS et peut être utilisée pour customiser tous les messages d'alertes.

BlueCoat CAS Alert Messages

Le hash est journalisable dans l'entête X-Virus-Details de la réponse ICAP.

Exemple de réponse ICAP :

ICAP/1.0 200 OK
X-Virus-ID: Blacklisted file
X-Virus-Details: File reputation score: 10; Sha: 3395856ce81f2b7382dee72602f798b642f14140; File: eicar.txt;
X-File-Reputation-Score: 10
X-Apparent-Data-Types: ASCII
X-ICAP-Metadata: { "file_reputation": 0, "expect_sandbox": false }
Service: CAS 2.3.1.1(213733)
Service-ID: avscanner
ISTag: "57E91A8D"
Date: Mon, 29 Jan 2019 11:15:04 GMT

Cet entête peut être journalisé par le ProxySG BlueCoat dans le champ x-virus-details. Je recommande donc d'ajouter le champ ELFF "x-virus-details" dans le format de log de votre log ProxySG BlueCoat.

ELFF : x-virus-details
CPL : icap_virus_details 
Description : Details of a virus if one was detected

Par exemple, dans le format standard bcreportermain_v3, ce champ n'est pas inclus.

#show access-log format bcreportermain_v3
Settings:
Format name: bcreportermain_v3
  Type elff "date time time-taken c-ip cs-username cs-auth-group x-exception-id sc-filter-result cs-categories cs(Referer) 
sc-status s-action cs-method rs(Content-Type) cs-uri-scheme cs-host cs-uri-port cs-uri-path cs-uri-extension s-ip sc-bytes 
cs-bytes x-virus-id x-bluecoatapplication-name x-bluecoat-application-operation cs-threat-risk x-bluecoat-transaction-uuid 
x-icap-reqmod-header(X-ICAP-Metadata) x-icap-respmod-header(X-ICAP-Metadata) rs-icap-status"

Pour finir, le parsing du champ SHA1 dans les logs du CAS et du ProxySG pourraît permettre de construire une base locale de fichier détecté par le CAS. Cette base peut ensuite être confondue avec des indicateurs reçus par des services de veille, de threat intelligence et de réputation. (Virus Total, Alien Vault, MISP etc.)


  • le 13/03/2019
  • par Nawhack