Главная / О компании / Новости / Flowmon ADS и интеграция с SIEM

Flowmon ADS и интеграция с SIEM

« Назад

Flowmon ADS и интеграция с SIEM  10.09.2019 11:31

В этой статье расскажем, как улучшить logs, полученные от Flowmon ADS, практически в любой SEM/SIEM. Нет сомнений в том, что Flowmon logs содержат полезную информацию для сотрудников ИТ-департамента и службы безопасности компании. Информация, предоставляемая Flowmon, доступна вместе с другими системами безопасности на одной панели, что позволяет вам видеть, что происходит в сети, а также помогает быстро находить информацию, которая также может быть добавлена в архив. Единая панель доступа является одним из главных преимуществ, которые может принести централизованная SEM. Для глубокого понимания и дальнейшего исследования одного события иногда стоит обратиться к пользовательскому интерфейсу исходного устройства.

Flowmon ADS - прекрасный пример того, как должна работать интеграция с SEM/SIEM. Созданные журналы заполняются всеми необходимыми полями в структурированной форме, что упрощает процесс анализа. Веб-интерфейс Flowmon позволяет создать прямую ссылку на событие.

Как совершенствовать logs в SEM/SIEM для Flowmon ADS с каждым журналом, напрямую связанным с Flowmon UI

Каждый log от Flowmon ADS содержит уникальный EventID. Это напрямую относится к пользовательскому интерфейсу Flowmon ADS. (EventID выделен)

Пример необработанного журнала, полученный SEM / SIEM:

<182>Jul 11 12:05:28 flowmon ADS: CEF:0|Flowmon Networks|Flowmon ADS Business|9.05.06|L3ANOMALY|L3 network anomaly|4|c6a1=2001:1aea:110:110::2ad1:15a6 c6a1Label=sourceAddress smac=b4:b6:86:8e:38:cc start=Jul 11 2019 12:01:03 deviceCustomString1=flowmon.domain.org deviceCustomString1Label=ADSHostName cn1=5675862 cn1Label=EventID msg={Type:'SPOOF',TransferredData:'6.9 KiB',PacketCount:'58'} targetList: 2a00:1450:401b:805::2001, 2a00:1450:401b:806::2004

Прямой URL в пользовательском интерфейсе Flowmon ADS для данного события:

https://flowmon.domain.org/adsplug/events/?_adsLink=tab*Tab.Events.SimpleList|eventDetail[0]*5675862

 

Хороший SEM/SIEM должен иметь инструменты для улучшения журналов/событий дополнительными метаданными, которые журналы по умолчанию не содержат. Пример таких метаданных и преобразований может выглядеть так:

Geolocation - для конкретизации каждого IP-адреса указывается информация о стране/городе/whois/AS #

Reputation Database - чтобы пометить IP-адрес/DNS с плохой репутацией

Username lookup - для добавления в журнал достоверного имени пользователя, скрытого за данным IP, когда произошло событие

Transformation/normalisation – объединение всех форматов MAC-адреса в один нормализованный

MAC vendor lookup – информация о том, кто является поставщиком данного MAC-адреса

Unification of timestamp formats  - унификация разных временных меток с разных устройств-источников.

В LOGmanager есть инструмент визуального программирования, где с помощью журналов мы можем выполнять практически все возможные преобразования. Задача состоит в том, чтобы в каждом журнале было новое поле, содержащее прямой URL-адрес, указывающий на пользовательский интерфейс Flowmon ADS. В LOGmanager есть унифицированное поле msg.eventid, содержащее уникальный EventID # из каждого журнала. И мы знаем матрицу URL. Итак, давайте проведем интеграцию и потратим на это всего 5 минут.

Для начала перейдите в раздел Alert и создайте новое оповещение, которое обновляет метаданные данного события.

Capture1

Следуйте инструкции:

1. проверьте, действительно ли исходный журнал поступает из Flowmon ADS

2. создайте новую переменную, в которую вы поместите DNS-имя или IP-адрес устройства Flowmon.

3. создайте новое поле msg.event_url, где вы объедините текст, переменную, текст и msg.eventid

4. повторно введите поле msg.event_url в тип данных URL, чтобы LOGmanager распознал содержимое этого поля как URL

В LOGmanager под каждым оповещением также есть тестовое окно, чтобы вы могли видеть прогресс при создании оповещения. Просто поместите образец журнала из Flowmon ADS в тестовое окно, и вы сможете увидеть преобразование и то, как создается новое поле msg.event_url.

Capture2

Как только вы закончите и данные тестового окна покажут, что оповещение с преобразованием работает нормально, проверьте наличие вновь поступивших журналов на панели инструментов, содержат ли они поле msg.event_url, как на скриншоте ниже.

Capture3

Это был пример использования LOGmanager. Другие SEM/SIEM могут иметь немного другой подход, но результат может быть таким же. Надеемся, это было полезно.

Автор:

Мирослав Кнаповский; CISSP,CEH, CEO и архитектор решений по безопасности в LOGmanager

Источник ►