Get best of the week

GitHub: Templat Zabbix untuk memantau tugas pengumpulan data di MaxPatrol SIEM



Saat ini, SIEM adalah asisten utama dalam analisis peristiwa keamanan informasi: sulit untuk membayangkan berapa lama waktu yang dibutuhkan untuk secara manual melihat log dari banyak sumber. Pada saat yang sama, menghentikan pengumpulan data dari sumber adalah masalah SIEM yang cukup umum. Dan itu jauh dari selalu mungkin untuk menyelesaikannya dengan cara bawaan - tetapi bagaimanapun juga, kehilangan kejadian pada waktu yang salah bisa sama saja dengan bencana. Agar informasi yang berharga tidak hilang, kami menerapkan solusi eksternal untuk memantau operasi MaxPatrol SIEM: kami mengembangkan templat untuk sistem pemantauan Zabbix dan skrip python yang siap kami bagikan dengan Anda. Detail dan tautan ke github di bawah kucing.

Secara teoritis, masalah ini dapat diselesaikan tanpa add-on tambahan. Misalnya, dengan membuat aturan korelasi alat SIEM yang melacak masalah dengan pengumpulan data atau dengan kedatangan acara. Dalam kasus pertama, akan perlu untuk mengumpulkan log dari setiap kolektor, meningkatkan aliran acara, yang tidak selalu dapat diterima karena alasan perizinan dan membutuhkan normalisasi untuk setiap jenis kolektor.

Dalam yang kedua, diusulkan untuk mengembangkan aturan korelasi yang menanggapi tidak adanya peristiwa dari sumber tertentu. Tetapi bahkan jika kita menghilangkan masalah membentuk logika memisahkan peristiwa dengan sumber (tergantung pada jenis dan jenis pengumpulan data), masih ada kebutuhan untuk menjalankan melalui aturan yang tidak terlalu ringan seluruh aliran peristiwa, yang kadang-kadang meningkatkan persyaratan untuk perangkat keras. Hal utama - kedua opsi hanya akan menunjukkan masalah, tetapi Anda masih harus mengembalikan aliran data secara manual.

MaxPatrol SIEM menyediakan mekanisme untuk memantau status tugas dan aliran dari sumber data. Tetapi, jika sumber "jatuh" dan jumlah upaya untuk secara otomatis menyambung kembali atau menghentikan aliran peristiwa dari sumber berakhir, maka memulai kembali tugas pengumpulan data secara otomatis adalah mustahil.

Skrip yang kami usulkan berfungsi sebagai elemen verifikasi eksternal dan berjalan di server Zabbix. Ini memecahkan masalah pemantauan status tugas pengumpulan data dan secara otomatis memulai kembali (seolah-olah Anda melakukannya secara manual melalui antarmuka).

Kami memberikan perhatian khusus pada masalah keamanan - karena akses ke SIEM memerlukan kredensial. Skrip menyimpan informasi sensitif dalam file konfigurasi pada server Zabbix, dan kuncinya dijahit dalam skrip itu sendiri, tetapi dikompilasi menjadi binar. Ini harus membuat hidup sulit bagi mereka yang ingin memperoleh kredensial ini secara ilegal. Dan intinya di sini bukan tentang "peretas jahat" yang dapat mendekompilasi biner, tetapi tentang karyawan yang mendukung atau menemani server Zabbix (jika server dan SIEM dilayani oleh departemen yang berbeda).

Singkatnya, elemen pemeriksaan SIEM eksternal tersebut akan membantu tidak hanya memperbaiki masalah, tetapi juga menyelesaikannya secara otomatis.

Tautan GitHub

More articles:


All Articles