Get best of the week

GitHub: modelo Zabbix para monitorar tarefas de coleta de dados no MaxPatrol SIEM



Hoje, o SIEM é o principal assistente na análise de eventos de segurança da informação: é difícil imaginar quanto tempo levaria para exibir manualmente os logs de várias fontes. Ao mesmo tempo, interromper a coleta de dados da fonte é um problema bastante comum do SIEM. E está longe de ser sempre possível resolvê-lo por meios embutidos - mas, afinal, a perda de eventos no momento errado pode ser equivalente a um desastre. Para que informações valiosas não desapareçam, implementamos uma solução externa para monitorar a operação do MaxPatrol SIEM: desenvolvemos um modelo para o sistema de monitoramento Zabbix e um script python que estamos prontos para compartilhar com você. Detalhes e link para o github sob o gato.

Teoricamente, esse problema pode ser resolvido sem complementos adicionais. Por exemplo, criando regras de correlação de ferramentas SIEM que rastreiam problemas com a coleta de dados ou com a chegada de eventos. No primeiro caso, será necessário coletar os logs de cada coletor, aumentando o fluxo de eventos, o que nem sempre é aceitável por motivos de licenciamento e requer normalização para cada tipo de coletor.

No segundo, propõe-se desenvolver regras de correlação que respondam à ausência de eventos de uma fonte específica. Mas, mesmo se omitirmos os problemas de formar a lógica de separar eventos por fontes (dependendo do tipo e tipo de coleta de dados), permanece a necessidade de executar pelas regras não tão leves todo o fluxo de eventos, que às vezes aumenta os requisitos de hardware. O principal - as duas opções indicarão apenas um problema, mas você ainda precisará restaurar manualmente o fluxo de dados.

O MaxPatrol SIEM fornece mecanismos para monitorar o status das tarefas e o fluxo das fontes de dados. Porém, se a fonte "cair" e o número de tentativas de reconectar ou interromper automaticamente o fluxo de eventos da fonte expirar, será impossível reiniciar automaticamente a tarefa de coleta de dados.

O script que propusemos funciona como um elemento de verificação externa e é executado no servidor Zabbix. Ele resolve o problema de monitorar o status de uma tarefa de coleta de dados e de reiniciá-la automaticamente (como se você estivesse fazendo isso manualmente através da interface).

Demos especial atenção à questão da segurança - porque o acesso ao SIEM requer credenciais. O script armazena informações confidenciais no arquivo de configuração no servidor Zabbix, e a chave é costurada no próprio script, mas é compilada em um binário. Isso deve dificultar a vida de quem deseja obter ilegalmente essas credenciais. E o ponto aqui não é tanto o “hacker maligno” que pode descompilar o binário, mas os funcionários que dão suporte ou acompanham o servidor Zabbix (se o servidor e o SIEM forem atendidos por departamentos diferentes).

Em uma palavra, esse elemento de uma verificação externa do SIEM ajudará não apenas a corrigir o problema, mas também a resolvê-lo automaticamente.

Link do GitHub

More articles:


All Articles