GitHub：用于监控MaxPatrol SIEM中数据收集任务的Zabbix模板

如今，SIEM已成为分析信息安全事件的主要助手：很难想象手动查看来自许多来源的日志需要花费多长时间。同时，停止从源头收集数据是一个相当常见的SIEM问题。而且，始终不可能通过内置的方法来解决它-但是，毕竟，在错误的时间丢失事件可能意味着灾难。为了确保有价值的信息不会消失，我们实施了一个外部解决方案来监视MaxPatrol SIEM的运行：我们为Zabbix监视系统开发了一个模板，并准备了与您共享的python脚本。详细信息并链接到猫下的github。

从理论上讲，无需附加组件即可解决此问题。例如，通过创建SIEM工具，关联规则可跟踪数据收集或事件的到来问题。在第一种情况下，有必要收集每个收集器的日志，从而增加事件流，由于许可原因，这并不总是可以接受的，并且需要对每种类型的收集器进行规范化。

在第二部分中，建议开发相关规则以响应来自特定来源的事件的缺失。但是，即使我们忽略了形成按事件将事件分开的逻辑的问题（取决于事件的类型和数据收集的类型），仍然需要通过不太轻巧的规则来处理事件的整个流程，这有时会增加对硬件的要求。最主要的是-这两个选项都只会指示问题，但是您仍然必须手动还原数据流。

MaxPatrol SIEM提供了用于监视任务状态和数据源流的机制。但是，如果源“下降”并且自动重新连接或停止来自源的事件流的尝试次数已过期，则无法自动重新启动数据收集任务。

我们建议的脚本可作为外部验证的元素，并在Zabbix服务器上运行。它解决了监视数据收集任务的状态并自动重新启动它的问题（就像您通过界面手动完成一样）。

我们特别关注安全性问题-因为访问SIEM需要凭据。该脚本将敏感信息存储在Zabbix服务器上的配置文件中，密钥被缝在脚本本身中，但是被编译为二进制文件。对于那些想要非法获得这些凭证的人来说，这将使他们的生活变得困难。这里的重点不在于可以反编译二进制文件的“邪恶的黑客”，而是与支持或陪伴Zabbix服务器的员工（如果服务器和SIEM由不同的部门提供服务）有关。

简而言之，外部SIEM检查的这种元素不仅有助于解决问题，而且可以自动解决问题。

GitHub链接