Flowmon

Integrace Flowmon ADS se SEM/SIEM

13.08.19

V tomto článku si ukážeme, jak lze elegantně obohatit jakýkoliv systém SEM/SIEM o logy z Flowmon ADS.

Jak nasměrovat SEM/SIEM pomocí URL zpět k Flowmon ADS

Logy z Flowmonu obsahují užitečné informace, které ve firmě ocení zejména provozní a bezpečnostní oddělení. Informace jsou zde pro další bezpečnostní systémy připraveny přehledně na jednom místě, což umožňuje sledovat, co se v síti děje a rychle procházet všemi informacemi, které lze také archivovat.
 
Stručně řečeno, centrální pohled je jednou z hlavní výhod, kterou centralizovaný systém SEM může přinést. Někdy je však nutné s každou jednotlivou událostí, pokud nám jde o hlubší porozumění a následnou analýzu, přejít zpět do uživatelského rozhraní zdrojového zařízení.
 
Flowmon ADS je proto perfektním příkladem toho, jak by měla fungovat integrace se systémem SEM/SIEM. Logy mají všechna data v strukturované podobě, která jsou vhodná pro následnou analýzu. Webové rozhraní Flowmon navíc umožňuje použít přímý odkaz na událost.

Jak obohatit logy pro Flowmon ADS v systému SEM/SIEM, aby mohl být zalogovaný záznam propojený na Flowmon UI.

Každý logovaný záznam z Flowmon ADS obsahuje jedinečný identifikátor EventID. To přímo odkazuje na Flowmon ADS UI. (EventID je zvýrazněn žlutě)

Nezpracovaný vzorek logu doručený systému SEM/SIEM:

<182>Jul 11 12:05:28 flowmon ADS: CEF:0|Flowmon Networks|Flowmon ADS Business|9.05.06|L3ANOMALY|L3 network anomaly|4|c6a1=2001:1aea:110:110::2ad1:15a6 c6a1Label=sourceAddress smac=b4:b6:86:8e:38:cc start=Jul 11 2019 12:01:03 deviceCustomString1=flowmon.domain.org deviceCustomString1Label=ADSHostName cn1=5675862 cn1Label=EventID msg={Type:'SPOOF',TransferredData:'6.9 KiB',PacketCount:'58'} targetList: 2a00:1450:401b:805::2001, 2a00:1450:401b:806::2004

Přímé URL v uživatelském rozhraní Flowmon ADS pro danou událost:

https://flowmon.domain.org/adsplug/events/?_adsLink=tab*Tab.Events.SimpleList|eventDetail[0]*5675862

Správný systém SEM/SIEM by měl umět obohatit logy a události o dodatečné informace, které se přímo v logu nenacházejí. Může se jednat například o následující:

  • Geolocation – obohacení každé IP o detaily typu country/city/whois/AS#
  • Reputation Database – označení IP adresy nebo DNS se špatnou pověstí
  • Username lookup – obohacení logu o skutečné uživatelské jméno, které se skrývá za IP adresou v rámci vzniklé události
  • Transformation/normalisation – sjednocení všech různých formátů MAC adres do jednoho formátu
  • MAC vendor lookup – informace o tom, kdo je výrobcem zařízení, které je reprezentováno danou MAC adresou
  • Unification of timestamp formats – zpracování různých časových razítek z různých zdrojových zařízení
​Řešení LOGmanager nabízí nástroj pro vizuální programování, ve kterém můžeme s logy provádět téměř jakoukoliv transformaci. Naším úkolem teď bude získat v každém logu nové pole, nesoucí přímou URL adresu směřující zpět do uživatelského rozhraní Flowmon ADS.
 
V LOGmanageru existuje sjednocené pole msg.eventid, které obsahuje jedinečný identifikátor EventID # z každého logu. Přičemž známe matici URL. Pojďme si ukázat, jak provést tuto integraci během 5 minut.
 
Přejděte na Výstrahy (Alert) a vytvořte novou výstrahu, která nemá vytvářet notifikaci (alert), ale aktualizovat metadata dané události.
Capture1.JPG

Vytvoření výstrahy

  1. Zkontrolujte, zda zdrojový log skutečně přichází z Flowmon ADS
  2. Vytvořte novou proměnnou, kam vložíte DNS nebo IP adresu vašeho Flowmon zařízení
  3. Vytvořte nové pole msg.event_url kam vložíte společně text, proměnnou, text a msg.eventid.
  4. Přepište pole msg.event_url do datového formátu URL, tak aby mohl LOGmanager rozpoznat obsah tohoto pole jako adresu URL směřující ven.

V LOGmanageru se také nachází pod každým oknem s výstrahou testovací okno, zobrazující postup při vytváření výstrahy. Pokud vložíte ukázkový log z Flowmon ADS do testovacího okna, měli byste vidět transformaci a způsob vytvoření nového pole msg.event_url.
Capture2.JPGJakmile budete hotovi a testovací okno potvrdí, že výstraha s transformací funguje dobře, zkontrolujte nově příchozí logy v dashboardu, zda obsahují pole msg.event_url - stejně jako na screenshotu níže.

Capture3.JPGTak to byl ukázkový příklad použití s LOGmanagerem. Jiné systémy SEM/SIEM mohou mít odlišný postup, ale výsledek by měl být podobný.
 
Author: Miroslav Knapovsky; CISSP,CEH, CEO & Security Solution Architect at LOGmanager.