Flowmon - pokročilá integrace
Níže jsou v bodech stávající možnosti integrace:
-
Sběr, dlouhodobé uchování a viditelnost do logů Flowmon v Logmanager - Defaultní integrace, kde dle návodu v dokumentaci Logmanager lze snadno nastavit odesílání logů z Flowmon do Logmanager. Díky vestavěné klasifikaci není třeba žádných konfiguračních změn na straně Logmanager k důkladnému zpracování a detailní vizualizaci Flowmon dat v perspektivě ostatních síťových a bezpečnostních řešení organizace.
-
Obohacení logů Flowmon zpracovaných na straně Logmanager o dodatečná metadata - součástí Logmanager vestavěných upozornění je i vzorové upozornění nazvané “Flowmon_log_enhancement”. Tento „alert“ po aktivaci provádí doplnění metadat v Logmanager o URL link směřující na detail události do Flowmon GUI. Proklikem v rozhraní Logmanager je tak uživatel přímo přesměrován do konzole Flowmon s popisem daného incidentu.
-
Doplnění uživatelské identity z Microsoft AD do prostředí Flowmon - Flowmon umožňuje prostřednictvím vlastního syslog kolektoru přijímat data pro obohacení událostí o identitu uživatelů. Přesněji řečeno - kým byla ve chvíli vzniku události dle MS AD používána daná IP adresa. Logmanager tyto informace již získává v rámci sběru všech auditní politikou AD definovaných logů vlastním Agentem (Logmanager Beats). Tyto logy zpracovává a na základě jednoduchého alertu umožní logy ve strukturovaném formátu předat do Flowmon, který je použije pro další obohacení vlastních dat.
Zde je integrace velmi snadná, pro dosažení základní integrace postupujte dle online dokumentace - Flowmon. Celý postup sestává jen z šesti snadných kroků.
Postup pro obohacení logů Flowmon ADS v Logmanager o URL linky jednotlivých událostí:
- Vytvoření nové akce z připraveného vzoru – v menu Logy / Upozornění, na seznamu upozornění klikněte na pravou ikonu - Vytvořit nové z template.
- Vyberte ze seznamu Modelových příkladů ten s názvem: “Flowmon_log_enhancement” a klikněte na tlačítko použít.
- V bloku modelového příkladu editujte pole označené šipkou na obrázku níže. Do pole napište místo „flowmon.local.domain“ doménové jméno nebo IP adresu vašeho Flowmon systému.type the domain name or IP address of your Flowmon system instead of “flowmon.local.domain”.
- Dle potřeby upravte název, popis a upozornění, doplňte emailovou adresu tvůrce upozornění, povolte alert a v posledním kroku klikněte na tlačítko „Vytvořit“. Tím je upozornění, které neupozorňuje, ale doplňuje ke každému Flowmon ADS logu URL, hotovo. Do jedné minuty u nově příchozích logů naleznete nové pole msg.event_url.
- Kontrola výsledku. Otevřete příslušnou událost Flowmon ve vestavěném Dashboardu Flowmon, nalezněte pole msg.event_url a otestujte, zda vás správně přesměruje na danou událost ve Flowmon, tak jako na obrázku níže.
Základní logika této integrace: Logmanager může přeposílat události spojené s úspěšným přihlášením uživatele do systému Flowmon. V systému Flowmon je pak možné propojit např. toky dat s identitou konkrétního uživatele. Pro úspěšné propojení identity uživatele s tokem dat je třeba na doménových serverech nastavit logování událostí spojených s ověřením identity (např. přes GPO), tyto události z Logmanager přeposílat na Flowmon. Flowmon musí informace o identitě uživatelů přijaté z Logmanager zpracovat parserem, který jsme pro vás taktéž připravili a naleznete jej v návodu níže.
-
Konfigurace GPO: První je nutné vytvořit skupinovou politiku pojmenovanou např. LM – Logon Audit a spojit ji s kontejnerem řadičů domény a ideálně i s kontejnerem členských serverů domény.
Editovat nově vytvořenou skupinovou politiku a v cestě Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options změnit politiku Audit: Force audit policy subcategory settings to override audit policy category settings, zaškrtnout volbu Define this policy settings, volbu Enabled a potvrdit tlačítkem OK.
Dále v cestě Computer Configuration / Policies / Windows Settings / Security Settings / Advanced Audit Policy Configuration / Audit Policies / Account Logon změnit politiku Audit Kerberos Authentication Service, zaškrtnout volbu Configure the following audit events, volbu Success a potvrdit tlačítkem OK. Nakonec v cestě Computer Configuration / Policies / Windows Settings / Security Settings / Advanced Audit Policy Configuration / Audit Policies / Logon/Logoff změnit politiku Audit Logon, zaškrtnout volbu Configure the following audit events, volbu Success a potvrdit tlačítkem OK.
-
Konfigurace Logmanager: Nejprve je třeba nadefinovat nový cíl vybraných logů na Flowmon syslog kolektor. V Logmanager menu Logy / Přesměrování syslogu je třeba přidat nové přesměrování. Do formuláře vyplňte IP adresu a port (výchozí port pro syslog je 514), kde naslouchá Flowmon, do pole Syslog output message format version nastavte hodnotu 3 a zaškrtnout volbu Enabled. Uložit konfiguraci tlačítkem Save.
-
Dále je třeba vytvořit upozornění podle příkladu níže, které bude vybrané auditní události přeposílat na Flowmon. V menu Logy / Upozornění přidejte nové upozornění. Do formuláře pro nové upozornění je třeba vyplnit název, případně i popis, do pole cíl vyplňte e-mailovou adresu a zaškrtněte volbu Enabled. V poli Blocks vytvořte alert podle následujícího obrázku. V bloku “send to remote syslog” je třeba vybrat přesměrování vytvořené v předchozím kroku. Nakonec konfiguraci uložte tlačítkem Save.
Pro jednodušší použití v Logmanager jsme pro vás připravili i jednoduše použitelný vzor. Kód stačí stáhnout/zkopírovat a vložit do záložky XML při vytváření nového upozornění.
flowmon-integration_alert.xmlNezapomeňte změnit značku “add tag” a správný “remote syslog”. Při kopírování upozornění v rámci XML nedochází ke zkopírování těchto atributů. -
Konfigurace Flowmon: Ve Flowmon Configuration center / Systém na záložce Nastavení systému je třeba přidat nový Syslog server. Musí být zaškrtnuta volba Povolit externí protokoly syslog a pomocí tlačítka Nový Syslog Client nastavte informaci, odkud budou přicházet události. V tomto případě zde bude IP adresa systému Logmanager, port 514 (jde o stejný port, který je nastavený v konfiguraci přesměrování v Logmanager) a protokol TCP. Dále je třeba zapnout volbu Povolit parsování informací o identitě uživatelů a vytvořit nové parsovací pravidlo pomocí tlačítka Nové pravidlo pro získaní informací z událostí 4624 a 4768. V novém pravidle pro události z Logmanager do pole Název vyplnit vhodný název (např. LM-beats ) a do pole Pravidlo pro zprávy o přihlášení zapsat následující pravidlo:
@ESTRING::"for_flowmon":@@ESTRING::"@@IPvANY:ASSIGNED_IP:@@ESTRING::,@@ESTRING:USERNAME:"@
Nakonec je třeba stisknout tlačítko Uložit pro uložení konfigurace.
-
Ověření funkčnosti: Správnost integrace zpracování identit uživatelů je možné ověřit např. v Monitoring Center. V nabídce vybrat možnost Analýza a ve spodní části stránky Pokročilá analýza vybrat v poli Založit statistiku na parametru hodnotu Identita uživatele. Poté kliknout na tlačítko Zpracovat. Pokud je vše správně, zobrazí se statistika toků dat podle identity uživatelů jako na screenshotu níže.