Integrace Flowmon ADS se SEM/SIEM
Jak nasměrovat SEM/SIEM pomocí URL zpět k Flowmon ADS
Logy z Flowmonu obsahují užitečné informace, které ve firmě ocení zejména provozní a bezpečnostní oddělení. Informace jsou zde pro další bezpečnostní systémy připraveny přehledně na jednom místě, což umožňuje sledovat, co se v síti děje a rychle procházet všemi informacemi, které lze také archivovat.
Stručně řečeno, centrální pohled je jednou z hlavní výhod, kterou centralizovaný systém SEM může přinést. Někdy je však nutné s každou jednotlivou událostí, pokud nám jde o hlubší porozumění a následnou analýzu, přejít zpět do uživatelského rozhraní zdrojového zařízení.
Flowmon ADS je proto perfektním příkladem toho, jak by měla fungovat integrace se systémem SEM/SIEM. Logy mají všechna data v strukturované podobě, která jsou vhodná pro následnou analýzu. Webové rozhraní Flowmon navíc umožňuje použít přímý odkaz na událost.
Jak obohatit logy pro Flowmon ADS v systému SEM/SIEM, aby mohl být zalogovaný záznam propojený na Flowmon UI.
Každý logovaný záznam z Flowmon ADS obsahuje jedinečný identifikátor EventID. To přímo odkazuje na Flowmon ADS UI. (EventID je zvýrazněn žlutě)
Nezpracovaný vzorek logu doručený systému SEM/SIEM:
<182>Jul 11 12:05:28 flowmon ADS: CEF:0|Flowmon Networks|Flowmon ADS Business|9.05.06|L3ANOMALY|L3 network anomaly|4|c6a1=2001:1aea:110:110::2ad1:15a6 c6a1Label=sourceAddress smac=b4:b6:86:8e:38:cc start=Jul 11 2019 12:01:03 deviceCustomString1=flowmon.domain.org deviceCustomString1Label=ADSHostName cn1=5675862 cn1Label=EventID msg={Type:'SPOOF',TransferredData:'6.9 KiB',PacketCount:'58'} targetList: 2a00:1450:401b:805::2001, 2a00:1450:401b:806::2004
Přímé URL v uživatelském rozhraní Flowmon ADS pro danou událost:
https://flowmon.domain.org/adsplug/events/?_adsLink=tab*Tab.Events.SimpleList|eventDetail[0]*5675862
Správný systém SEM/SIEM by měl umět obohatit logy a události o dodatečné informace, které se přímo v logu nenacházejí. Může se jednat například o následující:
Geolocation – obohacení každé IP o detaily typu country/city/whois/AS#
Reputation Database – označení IP adresy nebo DNS se špatnou pověstí
Username lookup – obohacení logu o skutečné uživatelské jméno, které se skrývá za IP adresou v rámci vzniklé události
Transformation/normalisation – sjednocení všech různých formátů MAC adres do jednoho formátu
MAC vendor lookup – informace o tom, kdo je výrobcem zařízení, které je reprezentováno danou MAC adresou
Unification of timestamp formats – zpracování různých časových razítek z různých zdrojových zařízení
Řešení LOGmanager nabízí nástroj pro vizuální programování, ve kterém můžeme s logy provádět téměř jakoukoliv transformaci. Naším úkolem teď bude získat v každém logu nové pole, nesoucí přímou URL adresu směřující zpět do uživatelského rozhraní Flowmon ADS.
V LOGmanageru existuje sjednocené pole msg.eventid, které obsahuje jedinečný identifikátor EventID # z každého logu. Přičemž známe matici URL. Pojďme si ukázat, jak provést tuto integraci během 5 minut.
Přejděte na Výstrahy (Alert) a vytvořte novou výstrahu, která nemá vytvářet notifikaci (alert), ale aktualizovat metadata dané události.
Vytvoření výstrahy
Zkontrolujte, zda zdrojový log skutečně přichází z Flowmon ADS
Vytvořte novou proměnnou, kam vložíte DNS nebo IP adresu vašeho Flowmon zařízení
Vytvořte nové pole msg.event_url kam vložíte společně text, proměnnou, text a msg.eventid.
Přepište pole msg.event_url do datového formátu URL, tak aby mohl LOGmanager rozpoznat obsah tohoto pole jako adresu URL směřující ven.
V LOGmanageru se také nachází pod každým oknem s výstrahou testovací okno, zobrazující postup při vytváření výstrahy. Pokud vložíte ukázkový log z Flowmon ADS do testovacího okna, měli byste vidět transformaci a způsob vytvoření nového pole msg.event_url.
Jakmile budete hotovi a testovací okno potvrdí, že výstraha s transformací funguje dobře, zkontrolujte nově příchozí logy v dashboardu, zda obsahují pole msg.event_url - stejně jako na screenshotu níže.
Tak to byl ukázkový příklad použití s LOGmanagerem. Jiné systémy SEM/SIEM mohou mít odlišný postup, ale výsledek by měl být podobný.
Author: Miroslav Knapovsky; CISSP,CEH, CEO & Security Solution Architect at LOGmanager.