В этой статье расскажем, как улучшить logs, полученные от Flowmon ADS, практически в любой SEM/SIEM. Нет сомнений в том, что Flowmon logs содержат полезную информацию для сотрудников ИТ-департамента и службы безопасности компании. Информация, предоставляемая Flowmon, доступна вместе с другими системами безопасности на одной панели, что позволяет вам видеть, что происходит в сети, а также помогает быстро находить информацию, которая также может быть добавлена в архив. Единая панель доступа является одним из главных преимуществ, которые может принести централизованная SEM. Для глубокого понимания и дальнейшего исследования одного события иногда стоит обратиться к пользовательскому интерфейсу исходного устройства.
Flowmon ADS - прекрасный пример того, как должна работать интеграция с SEM/SIEM. Созданные журналы заполняются всеми необходимыми полями в структурированной форме, что упрощает процесс анализа. Веб-интерфейс Flowmon позволяет создать прямую ссылку на событие.
Как совершенствовать logs в SEM/SIEM для Flowmon ADS с каждым журналом, напрямую связанным с Flowmon UI
Каждый log от Flowmon ADS содержит уникальный EventID. Это напрямую относится к пользовательскому интерфейсу Flowmon ADS. (EventID выделен)
Пример необработанного журнала, полученный SEM / SIEM:
<182>Jul 11 12:05:28 flowmon ADS: CEF:0|Flowmon Networks|Flowmon ADS Business|9.05.06|L3ANOMALY|L3 network anomaly|4|c6a1=2001:1aea:110:110::2ad1:15a6 c6a1Label=sourceAddress smac=b4:b6:86:8e:38:cc start=Jul 11 2019 12:01:03 deviceCustomString1=flowmon.domain.org deviceCustomString1Label=ADSHostName cn1=5675862 cn1Label=EventID msg={Type:'SPOOF',TransferredData:'6.9 KiB',PacketCount:'58'} targetList: 2a00:1450:401b:805::2001, 2a00:1450:401b:806::2004
Прямой URL в пользовательском интерфейсе Flowmon ADS для данного события:
https://flowmon.domain.org/adsplug/events/?_adsLink=tab*Tab.Events.SimpleList|eventDetail[0]*5675862
Хороший SEM/SIEM должен иметь инструменты для улучшения журналов/событий дополнительными метаданными, которые журналы по умолчанию не содержат. Пример таких метаданных и преобразований может выглядеть так:
• Geolocation - для конкретизации каждого IP-адреса указывается информация о стране/городе/whois/AS #
• Reputation Database - чтобы пометить IP-адрес/DNS с плохой репутацией
• Username lookup - для добавления в журнал достоверного имени пользователя, скрытого за данным IP, когда произошло событие
• Transformation/normalisation – объединение всех форматов MAC-адреса в один нормализованный
• MAC vendor lookup – информация о том, кто является поставщиком данного MAC-адреса
• Unification of timestamp formats - унификация разных временных меток с разных устройств-источников.
В LOGmanager есть инструмент визуального программирования, где с помощью журналов мы можем выполнять практически все возможные преобразования. Задача состоит в том, чтобы в каждом журнале было новое поле, содержащее прямой URL-адрес, указывающий на пользовательский интерфейс Flowmon ADS. В LOGmanager есть унифицированное поле msg.eventid, содержащее уникальный EventID # из каждого журнала. И мы знаем матрицу URL. Итак, давайте проведем интеграцию и потратим на это всего 5 минут.
Для начала перейдите в раздел Alert и создайте новое оповещение, которое обновляет метаданные данного события.
Следуйте инструкции:
1. проверьте, действительно ли исходный журнал поступает из Flowmon ADS
2. создайте новую переменную, в которую вы поместите DNS-имя или IP-адрес устройства Flowmon.
3. создайте новое поле msg.event_url, где вы объедините текст, переменную, текст и msg.eventid
4. повторно введите поле msg.event_url в тип данных URL, чтобы LOGmanager распознал содержимое этого поля как URL
В LOGmanager под каждым оповещением также есть тестовое окно, чтобы вы могли видеть прогресс при создании оповещения. Просто поместите образец журнала из Flowmon ADS в тестовое окно, и вы сможете увидеть преобразование и то, как создается новое поле msg.event_url.
Как только вы закончите и данные тестового окна покажут, что оповещение с преобразованием работает нормально, проверьте наличие вновь поступивших журналов на панели инструментов, содержат ли они поле msg.event_url, как на скриншоте ниже.
Это был пример использования LOGmanager. Другие SEM/SIEM могут иметь немного другой подход, но результат может быть таким же. Надеемся, это было полезно.
Автор:
Мирослав Кнаповский; CISSP,CEH, CEO и архитектор решений по безопасности в LOGmanager