GitHub: plantilla de Zabbix para monitorear tareas de recopilación de datos en MaxPatrol SIEM

Hoy, SIEM es el asistente principal en el análisis de eventos de seguridad de la información: es difícil imaginar cuánto tiempo tomaría ver manualmente los registros de muchas fuentes. Al mismo tiempo, detener la recopilación de datos de la fuente es un problema SIEM bastante común. Y está lejos de ser siempre posible resolverlo por medios incorporados, pero después de todo, la pérdida de eventos en el momento equivocado puede ser equivalente a un desastre. Para que la información valiosa no desaparezca, implementamos una solución externa para monitorear el funcionamiento de MaxPatrol SIEM: desarrollamos una plantilla para el sistema de monitoreo Zabbix y un script de Python que estamos listos para compartir con usted. Detalles y enlace a github debajo del gato.

Teóricamente, este problema se puede resolver sin complementos adicionales. Por ejemplo, al crear reglas de correlación de herramientas SIEM que rastrean problemas con la recopilación de datos o con la llegada de eventos. En el primer caso, será necesario recopilar los registros de cada recopilador, aumentando el flujo de eventos, lo que no siempre es aceptable por razones de licencia y requiere normalización para cada tipo de recopilador.

En el segundo, se propone desarrollar reglas de correlación que respondan a la ausencia de eventos de una fuente específica. Pero incluso si omitimos los problemas de formar la lógica de separar eventos por fuentes (dependiendo de su tipo y tipo de recopilación de datos), sigue siendo necesario ejecutar a través de reglas no tan livianas todo el flujo de eventos, lo que a veces aumenta los requisitos de hardware. Lo principal: ambas opciones solo indicarán un problema, pero aún debe restaurar manualmente el flujo de datos.

MaxPatrol SIEM proporciona mecanismos para monitorear tanto el estado de las tareas como el flujo de las fuentes de datos. Pero, si la fuente "se cayó" y el número de intentos de reconectar o detener automáticamente el flujo de eventos de la fuente expiró, entonces el reinicio automático de la tarea de recopilación de datos es imposible.

El script que propusimos funciona como un elemento de verificación externa y se ejecuta en el servidor Zabbix. Resuelve el problema de supervisar el estado de una tarea de recopilación de datos y reiniciarla automáticamente (como si lo estuviera haciendo manualmente a través de la interfaz).

Prestamos especial atención al tema de la seguridad, porque el acceso a SIEM requiere credenciales. El script almacena información confidencial en el archivo de configuración en el servidor Zabbix, y la clave se cose en el script en sí, pero se compila en un binario. Esto debería dificultarles la vida a quienes desean obtener ilegalmente estas credenciales. Y el punto aquí no es tanto sobre el "pirata informático malvado" que puede descompilar el binario, sino sobre los empleados que apoyan o acompañan al servidor Zabbix (si el servidor y SIEM son atendidos por diferentes departamentos).

En una palabra, tal elemento de una verificación SIEM externa ayudará no solo a solucionar el problema, sino que también lo resolverá automáticamente.

Enlace GitHub