Get best of the week

GitHub: قالب Zabbix لمراقبة مهام جمع البيانات في MaxPatrol SIEM



اليوم ، SIEM هو المساعد الرئيسي في تحليل أحداث أمن المعلومات: من الصعب تخيل الوقت الذي سيستغرقه عرض السجلات يدويًا من مصادر عديدة. في الوقت نفسه ، يعد إيقاف جمع البيانات من المصدر مشكلة شائعة إلى حد ما في SIEM. وليس من الممكن دائمًا حلها بالوسائل المضمنة - ولكن بعد كل شيء ، يمكن أن يكون فقدان الأحداث في الوقت الخاطئ بمثابة كارثة. حتى لا تختفي المعلومات القيمة ، قمنا بتنفيذ حل خارجي لرصد تشغيل MaxPatrol SIEM: قمنا بتطوير قالب لنظام مراقبة Zabbix ونص ثعباني نحن على استعداد لمشاركته معك. تفاصيل وربط جيثب تحت القط.

من الناحية النظرية ، يمكن حل هذه المشكلة بدون إضافات إضافية. على سبيل المثال ، من خلال إنشاء قواعد ارتباط أدوات SIEM التي تتبع المشاكل في جمع البيانات أو مع وصول الأحداث. في الحالة الأولى ، سيكون من الضروري جمع سجلات كل جامع ، وزيادة تدفق الأحداث ، وهو أمر غير مقبول دائمًا لأسباب الترخيص ويتطلب التطبيع لكل نوع من المجمعات.

في الثانية ، يقترح تطوير قواعد الارتباط التي تستجيب لغياب الأحداث من مصدر معين. ولكن حتى إذا أغفلنا مشاكل تشكيل منطق فصل الأحداث حسب المصادر (اعتمادًا على نوعها ونوع جمع البيانات) ، فلا تزال هناك حاجة للتشغيل من خلال القواعد غير خفيفة الوزن لتدفق الأحداث بالكامل ، مما يزيد أحيانًا من متطلبات الأجهزة. الشيء الرئيسي - سيشير كلا الخيارين فقط إلى وجود مشكلة ، ولكن لا يزال عليك استعادة تدفق البيانات يدويًا.

يوفر MaxPatrol SIEM آليات لرصد كل من حالة المهام والتدفق من مصادر البيانات. ولكن ، إذا "توقف" المصدر وانتهت عدد محاولات إعادة الاتصال تلقائيًا أو إيقاف تدفق الأحداث من المصدر ، فإن إعادة التشغيل التلقائي لمهمة جمع البيانات أمر مستحيل.

يعمل النص البرمجي الذي اقترحناه كعنصر للتحقق الخارجي ويعمل على خادم Zabbix. فهو يحل مشكلة مراقبة حالة مهمة جمع البيانات وإعادة تشغيلها تلقائيًا (كما لو كنت تقوم بذلك يدويًا من خلال الواجهة).

لقد أولينا اهتمامًا خاصًا لمسألة الأمان - لأن الوصول إلى SIEM يتطلب بيانات اعتماد. يقوم البرنامج النصي بتخزين معلومات حساسة في ملف التكوين على خادم Zabbix ، ويتم خياطة المفتاح في البرنامج النصي نفسه ، ولكن يتم تجميعه في ملف ثنائي. وهذا من شأنه أن يجعل الحياة صعبة بالنسبة لأولئك الذين يريدون الحصول على أوراق الاعتماد هذه بشكل غير قانوني. والنقطة هنا ليست حول "المخترق الشرير" الذي يمكنه فك الملف الثنائي ، ولكن حول الموظفين الذين يدعمون أو يرافقون خادم Zabbix (إذا كان الخادم و SIEM يخدمهما أقسام مختلفة).

في كلمة واحدة ، فإن مثل هذا العنصر من فحص SIEM الخارجي لن يساعد فقط في حل المشكلة ، ولكن أيضًا حلها تلقائيًا.

رابط جيثب

More articles:


All Articles