Сегодня SIEM – это главный помощник при анализе событий ИБ: трудно представить, сколько бы потребовалось времени, чтобы вручную просматривать логи с множества источников. При этом прекращение сбора данных с источника – достаточно распространенная проблема SIEM. И далеко не всегда можно решить ее встроенными средствами – а ведь потеря событий в неподходящий момент может быть равнозначна катастрофе. Чтобы ценная информация не пропадала, мы реализовали внешнее решение для контроля работы MaxPatrol SIEM: разработали шаблон для системы мониторинга Zabbix и скрипт на питоне, которым готовы с вами поделиться. Подробности и ссылка на GitHub под катом.
Теоретически решить эту проблему можно без дополнительных надстроек. Например, создав средствами SIEM правила корреляции, отслеживающие проблемы со сбором данных или с поступлением событий. В первом случае потребуется собрать логи каждого коллектора, увеличив поток событий, что не всегда приемлемо по лицензионным соображениям и требует проведения нормализации для каждого вида коллектора.
Во втором – предполагается разработка корреляционных правил, реагирующих на отсутствие событий от конкретного источника. Но даже если опустить проблемы формирования логики разделения событий по источникам (в зависимости от их вида и типа сбора данных) остается необходимость прогонять через не самые легковесные правила весь поток событий, что в разы повышает требования к железу. Главное – оба варианта только укажут на проблему, а восстанавливать поток данных все равно придется вручную.
В MaxPatrol SIEM предусмотрены механизмы мониторинга как состояния задач, так и потока от источников данных. Но, если источник «отвалился» и при этом истекло число попыток автоматического переподключения или прекращения потока событий от источника, то автоматический перезапуск задачи сбора данных невозможен.
Предложенный нами скрипт работает как элемент внешней проверки и выполняется на сервере Zabbix. Он решает задачу мониторинга статуса задачи по сбору данных и её автоматического перезапуска (как если бы вы делали это вручную через интерфейс).
Особое внимание мы уделили вопросу безопасности – ведь для доступа в SIEM требуются учетные данные. Скрипт хранит чувствительную информацию в файле конфигурации на сервере Zabbix, а ключ при этом зашит в самом скрипте, но компилируется в бинарь. Это должно осложнить жизнь тем, кто захочет незаконно получить эти учетные данные. И речь здесь идет не столько про «злобного хацкера», способного декомпилировать бинарник, сколько про сотрудников, поддерживающих или сопровождающих Zabbix-сервер (если сервер и SIEM обслуживаются разными подразделениями).
Словом, такой элемент внешней проверки SIEM поможет не только зафиксировать проблему, но и решить ее в автоматическом режиме.
Ссылка на GitHub