Come connettere soluzioni di security di terze parti a OMS

Tra le varie funzionalità di Operations Management Suite (OMS) c’è la possibilità di collezionare eventi generati nel formato standard Common Event Format (CEF) ed eventi generati da device Cisco ASA. Molti vendor di soluzioni di security generano eventi e file di log rispettando la sintassi definita nello standard CEF per garantire l’interoperabilità con altre soluzioni. Configurando l’invio di dati in questo formato verso OMS e adottando la soluzione OMS Security and Audit è possibile mettere in correlazione le diverse informazioni raccolte, sfruttare il potente motore di ricerca di OMS per monitorare la propria infrastruttura, recuperare informazioni di audit, rilevare eventuali problemi e utilizzare la funzionalità di Threat Intelligence.

In questo articolo verranno approfonditi gli step necessari per integrare i log generati da Cisco Adaptive Security Appliance (ASA) all’interno di OMS. Per poter configurare questa integrazione è necessario disporre di una macchina Linux con installato l’agente di OMS (versione 1.2.0-25 o successiva) e configurarla per inoltrare i log ricevuti dagli apparati verso il workspace OMS. Per l’installazione e l’onboard dell’agente Linux vi rimando alla documentazione ufficiale Microsoft: Steps to install the OMS Agent for Linux.

Figura 1 – Architettura per la raccolta dei log da Cisco ASA in OMS

L’apparato Cisco ASA deve essere configurato per inoltrare gli eventi generati verso la macchina Linux definita come collector. Per farlo è possibile utilizzare gli strumenti di gestione del device Cisco ASA come ad esempio Cisco Adaptive Security Device Manager:

Figura 2 – Esempio di configurazione Syslog Server di Cisco ASA

Sulla macchina Linux deve essere in esecuzione il daemon syslog che si occuperà di inviare gli eventi verso la porta UDP 25226 locale. L’agente OMS è infatti in ascolto su questa porta per tutti gli eventi in ingresso.

Per fare questa configurazione è necessario creare il file security-config-omsagent.conf rispettando le specifiche seguenti a seconda della tipologia di Syslog in esecuzione sulla macchina Linux. Un possibile esempio di configurazione per inviare tutti gli eventi con facility local4 all’agente OMS è la seguente:

  • In caso di daemon rsyslog il file dovrà essere presente nella directory /etc/rsyslog.d/ con il seguente contenuto:
#OMS_facility = local4

local4.* @127.0.0.1:25226
  • In caso di daemon syslog-ng il file dovrà essere presente nella directory /etc/syslog-ng/ con il seguente contenuto:
#OMS_facility = local4  

filter f_local4_oms { facility(local4); };  

destination security_oms { tcp("127.0.0.1" port(25226)); };  

log { source(src); filter(f_local4_oms); destination(security_oms); };  

Lo step successivo è la creazione del file di configurazione Fluentd denominato security_events.conf che consente di collezionare e di fare il parsing degli eventi ricevuti dall’agente OMS. Il file è possibile scaricarlo dal repository GitHub e dovrà essere copiato nella directory /etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/.

Figura 3 – File di configurazione Fluentd dell’agent OMS

Giunti a questo punto, per rendere effettive le modifiche apportate, è necessario riavviare il daemon syslog e l’agente OMS tramite i seguenti comandi:

  • Riavvio daemon Syslog:
sudo service rsyslog restart oppure sudo /etc/init.d/syslog-ng restart
  • Riavvio agente OMS:
sudo /opt/microsoft/omsagent/bin/service_control restart

Completate queste operazioni è opportuno visualizzare il log dell’agente OMS per verificare la presenza di eventuali errori utilizzando il comando:

tail /var/opt/microsoft/omsagent/<workspace id>/log/omsagent.log

Dopo aver concluso la configurazione dal portale OMS sarà possibile digitare in Log Search la query Type=CommonSecurityLog per analizzare i dati collezionati dall’apparato Cisco ASA:

Figura 4 – Query per visualizzare eventi del Cisco ASA raccolti in OMS

La raccolta di log di questo tipo è arricchita dalla funzionalità di Threat Intelligence presente nella solution Security & Compliance che grazie a una correlazione pressoché in tempo reale dei dati raccolti nel repository OMS con le informazioni provenienti dai principali vendor di soluzioni di Threat Intelligence e con i dati forniti dai centri di sicurezza Microsoft consente di individuare la natura e l’esito di eventuali attacchi che coinvolgono i nostri sistemi, compresi gli apparati di rete.

Accedendo alla solution Security And Audit dal portale OMS viene visualizzata la sezione Threat Intelligence:

Figura 5 – Informazioni di Threat Intelligence

Selezionando il tile Detected threat types è possibile consultare i dettagli relativi ai tentativi di intrusione che nel caso seguente coinvolgono l’apparato Cisco ASA:

Figura 5 – Detected threat su Cisco ASA

In questo articolo si è entrati nel dettagli della configurazione di Cisco ASA, ma configurazioni analoghe è possibile farle per tutte le soluzioni che supportano la generazione di eventi nel formato standard Common Event Format (CEF). Per configurare l’integrazione di Check Point Securtiy Gateway con OMS vi rimando al documento Configuring your Check Point Security Gateways to send logs to Microsoft OMS.

Conclusioni

Utilizzando Operations Management Suite c’è la possibilità di consolidare e di mettere in correlazione eventi provenienti da diversi prodotti che forniscono soluzioni di security consentendo di avere una panoramica completa della propria infrastruttura e di rispondere in modo rapido e preciso ad eventuali incident di security.