DeepSecurity support

[EijiSugiura]

Issue #, if available:

Description of changes:

Supports DeepSecurity CEF format logs.

CEF logs in JSON samples,

{
    "message":"Oct 28 14:46:28 ip-10-0-XX-XX CEF: 0|Trend Micro|Deep Security Agent|20.0.0.1194|1000552|Generic Cross Site Scripting(XSS) Prevention|10|cn1=2312751 cn1Label=Host ID dvc=10.0.XX.XX TrendMicroDsTenant=tenant name TrendMicroDsTenantId=XXXXXX dmac=0E:37:8C:B4:47:10 smac=0E:28:7B:CF:58:50 TrendMicroDsFrameType=IP src=10.0.XX.XX dst=10.0.YY.YY in=5770 cs3=DF 0 cs3Label=Fragmentation Bits proto=TCP spt=54056 dpt=8080 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 act=IDS:Log cn3=1472 cn3Label=DPI Packet Position cs5=60218 cs5Label=DPI Stream Position cs1=XSS Attack cs1Label=DPI Note cs6=8 cs6Label=DPI Flags TrendMicroDsPacketData=IDwh...YXku\\=\\=",
    "hostname":"ip-10-0-XX-XX",
    "timestamp":"2020-10-28T14:46:28+09:00"
}

{
    "message":"Nov 28 10:33:58 ip-10-0-XX-XX CEF: 0|Trend Micro|Deep Security Agent|20.0.0.1194|3002831|Unix - Syslog|6|cn1=2313513 cn1Label=Host ID dvc=10.0.XX.XX TrendMicroDsTenant=tenant name TrendMicroDsTenantId=XXXXXX cs1=Non standard syslog message (size too large) cs1Label=LI Description fname=/var/log/messages shost=ip-10-0-XX-XX msg=Nov 28 10:33:57 ip-10-0-XX-XX error: message:Could not push log to Elasticsearch: {\"took\"\\=>329, \"errors\"\\=>true, ...",
    "hostname":"ip-10-0-XX-XX",
    "timestamp":"2020-11-28T10:33:58+09:00"
}

By submitting this pull request, I confirm that you can use, modify, copy, and redistribute this contribution, under the terms of your choice.

[EijiSugiura]

These should be done with ecs settings.

[EijiSugiura]

Belows are copied from __init__.py.

[nakajiak]

プルリクありがとうございます！いくつか修正して欲しいので対応をお願いします。

[nakajiak]

プルリクありがとうございます。
このファイルはこちらに保存をお願いします。
/docs/contributed/deepsecurity_ja.md
es-loaderの下に置くと、lambdaのパッケージサイズが増えるのと管理が煩雑になるので、docsは一カ所にまとめようと思います。

[EijiSugiura]

了解です。移動します！

[nakajiak]

log-* ですでに定義済みのフィールドは、再度の定義は不要なので削除をお願いします。
destination,ip, destination.port, source.ip, souce.port, timestamp 等
文字列のtypeはデフォルトでkeywordとしてるので、数字になる可能性等がなければこちらも設定不要です。
https://github.com/aws-samples/siem-on-amazon-elasticsearch/blob/dc942d03c64c1130b9add025f32de0595fad0abc/source/lambda/deploy_es/data.ini#L42-L46

[EijiSugiura]

重複していたものと、keywordを指定したものを削除しました。

[nakajiak]

scrpted_fieldsはobsoletedする予定なので、こちらのフィールドに置き換えをお願いします。
https://github.com/aws-samples/siem-on-amazon-elasticsearch/blob/dc942d03c64c1130b9add025f32de0595fad0abc/source/lambda/es_loader/aws.ini#L184-L191

[EijiSugiura]

更新しておきました。

[nakajiak]

source/lambda/es_loader/user.ini.sample への追加でお願いします。

[EijiSugiura]

移動しました！

[nakajiak]

こちらのコメントの追加をお願いします

# See README for more details
# https://github.com/aws-samples/siem-on-amazon-elasticsearch/blob/main/docs/contributed/deepsecurity_ja.md

[EijiSugiura]

追加しておきました！

[nakajiak]

この方法で関数のimport をして、106行以降の削除お願いします

from siem import merge, put_value_into_dict, get_value_from_dict

[EijiSugiura]

importして、削除しておきました！

[nakajiak]

CEFフォーマットのサポートのissueを作りました。+1をお願いします
#28

[nakajiak]

マージしました。ありがとうございます！