Logmanager dokumentace
Přepnout tmavý/světlý/automatický režim Přepnout tmavý/světlý/automatický režim Přepnout tmavý/světlý/automatický režim Zpět na domovskou stránku
  1. Logmanager dokumentace
  2. /
  3. Konfigurace zdrojových zařízení a aplikací
  4. /
  5. Flowmon - pokročilá integrace

Flowmon - pokročilá integrace

Možnosti integrace

Níže jsou v bodech stávající možnosti integrace:

  1. Sběr, dlouhodobé uchování a viditelnost do logů Flowmon v Logmanager - Defaultní integrace, kde dle návodu v dokumentaci Logmanager lze snadno nastavit odesílání logů z Flowmon do Logmanager. Díky vestavěné klasifikaci není třeba žádných konfiguračních změn na straně Logmanager k důkladnému zpracování a detailní vizualizaci Flowmon dat v perspektivě ostatních síťových a bezpečnostních řešení organizace.

  2. Obohacení logů Flowmon zpracovaných na straně Logmanager o dodatečná metadata - součástí Logmanager vestavěných upozornění je i vzorové upozornění nazvané “Flowmon_log_enhancement”. Tento „alert“ po aktivaci provádí doplnění metadat v Logmanageru o URL link směřující na detail události do Flowmon GUI. Proklikem v rozhraní Logmanager je tak uživatel přímo přesměrován do konzole Flowmon s popisem daného incidentu.

  3. Doplnění uživatelské identity z Microsoft AD do prostředí Flowmon - Flowmon umožňuje prostřednictvím vlastního syslog kolektoru přijímat data pro obohacení událostí o identitu uživatelů. Přesněji řečeno - kým byla ve chvíli vzniku události dle MS AD používána daná IP adresa. Logmanager tyto informace již získává v rámci sběru všech auditní politikou AD definovaných logů vlastním Agentem (Logmanager Beats). Tyto logy zpracovává a na základě jednoduchého alertu umožní logy ve strukturovaném formátu předat do Flowmon, který je použije pro další obohacení vlastních dat.

    Náhled vizualizace Flowmon dat v Logmanager

    Náhled vizualizace Flowmon dat v Logmanager

1. Sběr, dlouhodobé uchování a viditelnost do logů Flowmon

Zde je integrace velmi snadná, pro dosažení základní integrace postupujte dle online dokumentace - Flowmon. Celý postup sestává jen z šesti snadných kroků.

2. Obohacení logů Flowmon o dodatečná metadata

Postup pro obohacení logů Flowmon ADS v Logmanager o URL linky jednotlivých událostí:

  1. Vytvoření nové akce z připraveného vzoru – v menu Logy / Upozornění, v seznamu upozornění klikněte na pravou ikonu Vytvořit nové z template.
  2. Vyberte ze seznamu Modelových příkladů ten s názvem: “Flowmon_log_enhancement” a klikněte na tlačítko použít.
  3. V bloku modelového příkladu editujte pole označené šipkou na obrázku níže. Do pole napište místo „flowmon.local.domain“ doménové jméno nebo IP adresu vašeho Flowmon systému.
    Obohacení logů Flowmon o dodatečná metadata

    Obohacení logů Flowmon o dodatečná metadata

  4. Dle potřeby upravte název, popis a upozornění, doplňte emailovou adresu tvůrce upozornění, povolte alert a v posledním kroku klikněte na tlačítko „Vytvořit“. Tím je upozornění, které neupozorňuje, ale doplňuje ke každému Flowmon ADS logu URL, hotovo. Do jedné minuty u nově příchozích logů naleznete nové pole msg.event_url.
  5. Kontrola výsledku - Otevřete příslušnou událost Flowmon ve vestavěném Dashboardu Flowmon, nalezněte pole msg.event_url a otestujte, zda vás správně přesměruje na danou událost ve Flowmon, tak jako na obrázku níže.
    Náhled výsledku vytvoření nového pole a provázání

    Náhled výsledku vytvoření nového pole a provázání

3. Doplnění uživatelské identity z Logmanager Beats do Flowmon

Základní logika této integrace: Logmanager může přeposílat události spojené s úspěšným přihlášením uživatele do systému Flowmon. V systému Flowmon je pak možné propojit např. toky dat s identitou konkrétního uživatele. Pro úspěšné propojení identity uživatele s tokem dat je třeba na doménových serverech nastavit logování událostí spojených s ověřením identity (např. přes GPO), tyto události z Logmanager přeposílat na Flowmon. Flowmon musí informace o identitě uživatelů přijaté z Logmanageru zpracovat parserem, který jsme pro vás taktéž připravili a naleznete jej v návodu níže.

  1. Konfigurace GPO: První je nutné vytvořit skupinovou politiku pojmenovanou např. “LM – Logon Audit” a spojit ji s kontejnerem řadičů domény a ideálně i s kontejnerem členských serverů domény.

    Dále je třeba:

    • editovat nově vytvořenou skupinovou politiku a v cestě Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options změnit politiku Audit Force audit policy subcategory settings to override audit policy category settings, zaškrtnout volbu Define this policy settings, volbu Enabled a potvrdit tlačítkem OK.

    • v cestě Computer Configuration / Policies / Windows Settings / Security Settings / Advanced Audit Policy Configuration / Audit Policies / Account Logon změnit politiku Audit Kerberos Authentication Service, zaškrtnout volbu Configure the following audit events, volbu Success a potvrdit tlačítkem OK. Nakonec v cestě Computer Configuration / Policies / Windows Settings / Security Settings / Advanced Audit Policy Configuration / Audit Policies / Logon/Logoff změnit politiku Audit Logon, zaškrtnout volbu Configure the following audit events, volbu Success a potvrdit tlačítkem OK.

    Náhled výsledku vytvoření nové auditní politiky v AD

    Náhled výsledku vytvoření nové auditní politiky v AD

  2. Konfigurace Logmanager: Nejprve je třeba nadefinovat nový cíl vybraných logů na Flowmon syslog kolektor. V Logmanager menu Logy / Přesměrování syslogu je třeba přidat nové přesměrování. Do formuláře vyplňte IP adresu a port (výchozí port pro syslog je 514), kde naslouchá Flowmon, do pole Syslog output message format version nastavte hodnotu 3 a zaškrtnout volbu Enabled. Uložit konfiguraci tlačítkem Save.

    Náhled vytvoření nového cíle pro odesílání logů

    Náhled vytvoření nového cíle pro odesílání logů

  3. Dále je třeba vytvořit upozornění podle příkladu níže, které bude vybrané auditní události přeposílat na Flowmon. V menu Logy / Upozornění přidejte nové upozornění. Do formuláře pro nové upozornění je třeba vyplnit název, případně i popis, do pole cíl vyplňte e-mailovou adresu a zaškrtněte volbu Enabled. V poli Blocks vytvořte alert podle následujícího obrázku. V bloku send to remote syslog je třeba vybrat přesměrování vytvořené v předchozím kroku. Nakonec konfiguraci uložte tlačítkem Save.

    Náhled vytvoření bloku upozornění pro odesílání logů

    Náhled vytvoření bloku upozornění pro odesílání logů

    Pro jednodušší použití v Logmanager jsme pro vás připravili i jednoduše použitelný vzor. Kód stačí stáhnout/zkopírovat a vložit do záložky XML při vytváření nového upozornění.

    flowmon-integration_alert.xml
    Nezapomeňte změnit značku “add tag” a správný “remote syslog”. Při kopírování upozornění v rámci XML nedochází ke zkopírování těchto atributů.

  4. Konfigurace Flowmon: Ve Flowmon Configuration center / Systém v záložce Nastavení systému je třeba přidat nový Syslog server. Musí být zaškrtnuta volba Povolit externí protokoly syslog a pomocí tlačítka Nový Syslog Client nastavte informaci, odkud budou přicházet události. V tomto případě zde bude IP adresa systému Logmanager, port 514 (jde o stejný port, který je nastavený v konfiguraci přesměrování v Logmanager) a protokol TCP. Dále je třeba zapnout volbu Povolit parsování informací o identitě uživatelů a vytvořit nové parsovací pravidlo pomocí tlačítka Nové pravidlo pro získaní informací z událostí 4624 a 4768. V novém pravidle pro události z Logmanager do pole Název vyplnit vhodný název (např. LM-beats ) a do pole Pravidlo pro zprávy o přihlášení zapsat následující pravidlo: @ESTRING::"for_flowmon":@@ESTRING::"@@IPvANY:ASSIGNED_IP:@@ESTRING::,@@ESTRING:USERNAME:"@

    Nakonec je třeba stisknout tlačítko Uložit pro uložení konfigurace.

    Náhled vytvoření nového syslog pravidla ve Flowmon

    Náhled vytvoření nového syslog pravidla ve Flowmon

  5. Ověření funkčnosti - Správnost integrace zpracování identit uživatelů je možné ověřit např. v Monitoring Center. V nabídce vybrat možnost Analýza a ve spodní části stránky Pokročilá analýza vybrat v poli Založit statistiku na parametru hodnotu Identita uživatele. Poté kliknout na tlačítko Zpracovat. Pokud je vše správně, zobrazí se statistika toků dat podle identity uživatelů jako na screenshotu níže.

    Flowmon - pokročilá integrace

    Flowmon - pokročilá integrace

gdoc_arrow_left_alt Flowmon FortiADC gdoc_arrow_right_alt