GitHub: modèle Zabbix pour surveiller les tâches de collecte de données dans MaxPatrol SIEM

Aujourd'hui, SIEM est le principal assistant dans l'analyse des événements de sécurité de l'information: il est difficile d'imaginer combien de temps il faudrait pour visualiser manuellement les journaux de nombreuses sources. Dans le même temps, l'arrêt de la collecte de données à partir de la source est un problème SIEM assez courant. Et il est loin d'être toujours possible de le résoudre par des moyens intégrés - mais après tout, la perte d'événements au mauvais moment peut être synonyme de catastrophe. Afin que des informations précieuses ne disparaissent pas, nous avons mis en place une solution externe pour surveiller le fonctionnement de MaxPatrol SIEM: nous avons développé un modèle pour le système de surveillance Zabbix et un script python que nous sommes prêts à partager avec vous. Détails et lien vers github sous le chat.

Théoriquement, ce problème peut être résolu sans modules complémentaires supplémentaires. Par exemple, en créant des règles de corrélation des outils SIEM qui suivent les problèmes de collecte de données ou l'arrivée d'événements. Dans le premier cas, il sera nécessaire de collecter les journaux de chaque collecteur, augmentant le flux d'événements, ce qui n'est pas toujours acceptable pour des raisons de licence et nécessite une normalisation pour chaque type de collecteur.

Dans le second, il est proposé de développer des règles de corrélation qui répondent à l'absence d'événements d'une source spécifique. Mais même si nous omettons les problèmes de formation de la logique de séparation des événements par les sources (selon leur type et le type de collecte de données), il reste la nécessité de parcourir les règles pas si légères tout le flux d'événements, ce qui augmente parfois les besoins en matériel. L'essentiel - les deux options n'indiqueront qu'un problème, mais vous devez toujours restaurer manuellement le flux de données.

MaxPatrol SIEM fournit des mécanismes pour surveiller à la fois l'état des tâches et le flux des sources de données. Mais, si la source «est tombée» et que le nombre de tentatives de reconnexion ou d'arrêt automatique du flux d'événements de la source a expiré, le redémarrage automatique de la tâche de collecte de données est impossible.

Le script que nous avons proposé fonctionne comme un élément de vérification externe et s'exécute sur le serveur Zabbix. Il résout le problème de la surveillance de l'état d'une tâche de collecte de données et de son redémarrage automatique (comme si vous le faisiez manuellement via l'interface).

Nous avons accordé une attention particulière à la question de la sécurité, car l'accès à SIEM nécessite des informations d'identification. Le script stocke des informations sensibles dans le fichier de configuration sur le serveur Zabbix, et la clé est cousue dans le script lui-même, mais elle est compilée en un binaire. Cela devrait rendre la vie difficile à ceux qui souhaitent obtenir illégalement ces informations d'identification. Et le point ici n'est pas tant sur le «hacker maléfique» qui peut décompiler le binaire, mais sur les employés qui supportent ou accompagnent le serveur Zabbix (si le serveur et SIEM sont desservis par des départements différents).

En un mot, un tel élément d'une vérification SIEM externe aidera non seulement à résoudre le problème, mais aussi à le résoudre automatiquement.

Lien GitHub