GitHub: Zabbix-Vorlage zur Überwachung von Datenerfassungsaufgaben in MaxPatrol SIEM

Heute ist SIEM der Hauptassistent bei der Analyse von Informationssicherheitsereignissen: Es ist schwer vorstellbar, wie lange es dauern würde, die Protokolle aus vielen Quellen manuell anzuzeigen. Gleichzeitig ist das Stoppen der Datenerfassung aus der Quelle ein recht häufiges SIEM-Problem. Und es ist bei weitem nicht immer möglich, es mit eingebauten Mitteln zu lösen - aber schließlich kann der Verlust von Ereignissen zur falschen Zeit einer Katastrophe gleichkommen. Damit wertvolle Informationen nicht verschwinden, haben wir eine externe Lösung zur Überwachung des Betriebs von MaxPatrol SIEM implementiert: Wir haben eine Vorlage für das Zabbix-Überwachungssystem und ein Python-Skript entwickelt, das wir mit Ihnen teilen können. Details und Link zu Github unter der Katze.

Theoretisch kann dieses Problem ohne zusätzliche Add-Ons gelöst werden. Zum Beispiel durch Erstellen von Korrelationsregeln für SIEM-Tools, die Probleme bei der Datenerfassung oder beim Eintreffen von Ereignissen verfolgen. Im ersten Fall müssen die Protokolle jedes Kollektors gesammelt werden, wodurch der Ereignisfluss erhöht wird. Dies ist aus Lizenzgründen nicht immer akzeptabel und erfordert eine Normalisierung für jeden Kollektortyp.

Im zweiten Schritt wird vorgeschlagen, Korrelationsregeln zu entwickeln, die auf das Fehlen von Ereignissen aus einer bestimmten Quelle reagieren. Aber selbst wenn wir die Probleme der Bildung der Logik der Trennung von Ereignissen nach Quellen (abhängig von ihrer Art und Art der Datenerfassung) weglassen, bleibt es notwendig, die nicht so einfachen Regeln für den gesamten Ereignisfluss durchzugehen, was zuweilen die Anforderungen an die Hardware erhöht. Hauptsache - beide Optionen weisen nur auf ein Problem hin, aber Sie müssen den Datenstrom immer noch manuell wiederherstellen.

MaxPatrol SIEM bietet Mechanismen zur Überwachung des Status von Aufgaben und des Datenflusses. Wenn die Quelle jedoch "abgefallen" ist und die Anzahl der Versuche, die Verbindung automatisch wiederherzustellen oder den Ereignisfluss von der Quelle zu stoppen, abgelaufen ist, ist ein automatischer Neustart der Datenerfassungsaufgabe nicht möglich.

Das von uns vorgeschlagene Skript fungiert als Element der externen Überprüfung und wird auf dem Zabbix-Server ausgeführt. Es löst das Problem, den Status einer Datenerfassungsaufgabe zu überwachen und automatisch neu zu starten (als ob Sie dies manuell über die Schnittstelle tun würden).

Besonderes Augenmerk haben wir auf das Thema Sicherheit gelegt, da für den Zugriff auf SIEM Anmeldeinformationen erforderlich sind. Das Skript speichert vertrauliche Informationen in der Konfigurationsdatei auf dem Zabbix-Server, und der Schlüssel wird im Skript selbst eingenäht, aber in eine Binärdatei kompiliert. Dies sollte denjenigen das Leben schwer machen, die diese Zeugnisse illegal erhalten möchten. Dabei geht es nicht so sehr um den „bösen Hacker“, der die Binärdatei dekompilieren kann, sondern um die Mitarbeiter, die den Zabbix-Server unterstützen oder begleiten (wenn der Server und SIEM von verschiedenen Abteilungen bedient werden).

Mit einem Wort, ein solches Element einer externen SIEM-Prüfung hilft, das Problem nicht nur zu beheben, sondern es auch automatisch zu lösen.

GitHub Link