Od centralizacji Logów do SIEM – Integracja Energy Logserver z systemami Wazuh i Zeek

Energy Logserver jest systemem z obszaru Log Management. W skrócie oznacza to, że jest centralnym repozytorium logów z danego środowiska. Dzięki niemu można przeszukiwać i korelować zdarzenia systemowe, a następnie tworzyć powiadomienia lub zautomatyzowane działania w przypadku niebezpiecznych sytuacji.

System log management jest źródłem informacji o naszych systemach. Jakie informacje będą tam zawarte zależy od samych użytkowników. Z tego obszaru zrodził się m.in. SIEM (Security Information and Event Management).

Posiadając dane z systemów takich jak antywirus, DLP, IDS, AC, i innych, dzięki systemowi SIEM możliwe jest stworzenie mapy zagrożeń lub dostępności środowisk. Korelując z wielu systemów  jesteśmy w stanie stworzyć podgląd na stan systemów w każdej perspektywy.

Budowanie od zera korelacji zdarzeń w systemach SIEM jest często bardzo czasochłonne, żmudne i wymaga wiedzy o systemach. Są jednak dostępne systemy, które posiadają predefiniowane korelacje zdarzeń z systemów. Przykładem takiego jest Wazuh.

 

Wazuh jest darmowym rozwiązaniem open source z dziedziny monitoringu pod kątem detekcji zagrożeń, integralności plików oraz zgodności z politykami bezpieczeństwa. Instalacja Wazuha rozdziela się na instalację serwera oraz instalację agenta na hostach, które chcemy monitorować. Predefiniowane reguły korelacyjne pozwalają tuż po uruchomieniu dostrzec wyniki skanów bezpieczeństwa. Wazuh jest w stanie monitorować wiele platform, jak: Windows, Linux, Mac OS X, Solaris czy HP-UX. Zarządzanie agentami odbywa się z poziomu Wazuh serwera.

Integracja systemu Wazuh z Energy Logserverem odbywa się na poziomie serwerów, gdzie dane wpływają do dedykowanych indexów. Natychmiast po otrzymaniu danych, predefiniowane dashboardy SIEM  są uzupełniane i dostępne do wglądu w systemie Energy Logserver.

 

Ruch sieciowy jest komunikacją między systemami i maszynami, tak w Internecie jak i w sieciach zamkniętych. Świadomość jak wyglądają i co zawierają pakiety w ruchu sieciowym jest jak słuchanie rozmowy między dwiema osobami. Nie jest normalną sytuacją, gdy jedna osoba prosi drugą o wszystkie swoje dane osobowe i hasła i tak samo wygląda to w ruchu sieciowym, co nazywamy anomaliami i wyciekami.

Człowiek niestety nie jest w stanie nadążyć za tym jak maszyny się komunikują, odbywa się ona zbyt szybko i jest zbyt skomplikowana. Dlatego potrzebny jest analizator ruchu sieciowego, a takim jest Zeek zwany też Bro.

Zeek jest darmowym analizatorem sieciowym, rozwijanym na GitHub w konwencji Open Source. Stosowany globalnie, Bro posiada wiele predefiniowanych reguł, dzięki którym kategoryzuje monitorowany ruch natychmiast po odczytaniu danych.

Analizator ruchu sieciowego Zeek instaluje się na wirtualnej maszynie, a następnie po krótkiej konfiguracji wysyła się do niego kopię ruchu sieciowego, który ma zostać poddany analizie. Reguły, które można samemu rozwijać, natychmiast działają na dostarczonych danych.

Dzięki integracji Zeek z Energy Logserver można wizualizować przeanalizowane dane, skorelować je ze zdarzeniami z innych systemów, tworzyć alerty, itp. Posiadanie w systemie SIEM danych systemowych oraz z ruchu sieciowego jest niezbędne. Bez tych danych nie można mówić o implementacji systemu SIEM w organizacji.