Microsoft Log Analytics – IT security auditing senza pensieri #MSOMS

Daniele GrandiniMicrosoft Azure, Operations Management Suite

Il tema dell’auditing applicato ai servizi ICT non è cosa nuova, la lettura è sempre contrastante, chi lo interpreta come una importante misura di tracciabilità, chi come un male necessario. Chi cerca di implementarlo coprendo tutti gli ambiti amministrativi di un moderno sistema ICT, chi prova a limitarlo alle misure minime di sicurezza imposte dalla legge.

Quale che sia l’approccio scelto, e per inciso ritengo che sia quanto mai necessario oggi avere una strategia di sicurezza del dato che comprenda un auditing completo, tutte le soluzioni implementate on-premises (presso i datacenter di proprietà) soffrono di limiti tecnologici che è difficile gestire:

  • Il volume dei dati raccolti è importante, in molti casi diventa la base dati più voluminosa in azienda. La dimensione è direttamente proporzionale ai costi di gestione e dei servizi accessori, in primis le politiche di protezione in termini di Recovery Point Objective e Recovery Time Objective. Anche se esistono soluzioni che tentano di ridurre le dimensioni del dato raccolto queste vanno o a discapito delle performance, oppure causano un data loss mantenendo solo alcune proprietà dell’evento originale.
  • La dimensione della base dati implica che è molto costoso ottenere performance accettabili in fase di ricerca del dato
  • È possibile garantire la non modificabilità del dato una volta raccolto solo tramite un processo organizzativo, ovvero tramite nomina di un auditor o Data Protection Officer che abbia esclusivo accesso al vault dei dati e che non detenga alcun diritto amministrativo sui servizi soggetti ad audit. Nelle piccole e medie aziende questo processo organizzativo ha sfide quasi insormontabili. L’unico modo tecnico per garantire la non modificabilità del dato sarebbe un meccanismo di signature con time stamping pubblico sia a livello di riga sia a livello di intero stream in modo progressivo. In passato ho valutato una soluzione con queste caratteristiche, ma non era in grado di garantire scalabilità quando gli eventi iniziavano ad essere nelle migliaia per secondo, non conosco una soluzione sul mercato che faccia questo.

La risposta a questi vincoli è una soluzione che:

  • Catturi il dato in real time (o near real time)
  • tramite un protocollo mutuamente autenticato e crittografato lo trasferisca in un vault esterno al perimetro dell’auditing, dove il dato diventa non più modificabile sia per caratteristica tecnologica sia per impossibilità di accesso in scrittura (write once, read many)
  • Garantisca un processo di ingestion senza perdita di informazioni, anche inc aso di trasformazione è fondamentale che nessuna delle proprietà native venga perduta (l’indicizzazione è ovviamente necessaria per garantire tempi di risposta idonei)
  • Garantisca tempi di estrazione nell’ordine dei secondi o delle decine di secondi
  • Permetta di esportare le interrogazioni verso sistemi di analisi on-premises (esempio in Excel)
  • Permetta di creare dashboard di controllo nativamente o tramite feeding di sistemi di business intelligence (esempio PowerBI)
  • Sia facilmente estensibile e permetta di raccogliere dati da qualsiasi piattaforma

Microsoft Operations Management Suite – Log Analytics (LA) è una soluzione completamente cloud based che promette di rispondere a tutte le caratteristiche necessarie ad implementare un moderno sistema di auditing e molto più. LA infatti è un sistema di data ingestion e analysis general purpose che permette di applicare sui dati raccolti interrogazioni su cui basare alerting, reporting, dashboard, export in locale o verso account PowerBI.

LA è componibile tramite solution che definiscono sorgenti dati e “intelligenza” nell’interpretazione dei dati raccolti, in questo articolo affronterò unicamente la solution di Security. La solution di Security permette infatti di fare molto più che mero auditing:

  • Aggrega diverse fonti dati in “Security Domains”, non solo eventi di security, ma anche informazioni su antimalware, patching, traffico di rete e molto altro
  • Estrae situazioni di attenzione in “Notable Issues” e permette di integrarle con propri allarmi
  • Incrocia i dati raccolti dalle varie fonti con l’engine di intelligenza artificiale alimentato dal security team di Microsoft “Threat Intelligence”

OMSLAAuditing-1

Figure 1- La dashboard per la soluzione di security

Legislazione italiana e richieste del “Garante” privacy

Se pensiamo alla situazione italiana, la legge 196/03 e più specificatamente l’allegato B con tutte le sue integrazioni, richiede l’auditing dell’accesso amministrativo ai dati “protetti”. I dati protetti sono tutti quelli definiti “sensibili”, ma comprendono anche quelli definiti “personali” in base alle indicazioni dell’ufficio legale dell’azienda. Occorre aggiungere che la definizione di “amministratore di sistema” ha una connotazione molto ampia e non deve essere limitata a “root” ai “sudoable” o ad “administrator” o ai “domain admins”: chiunque acceda ai sistemi con qualsiasi tipo di delega è nei fatti un “amministratore di sistema” per la legge. Quindi il caldo consiglio è di collezionare l’accesso e le operazioni di tutti gli utenti.

Esistono altre normative a livello europeo ed italiano che richiedono un sistema di tracciabilità. Non sono un legale e quindi non mi addentro oltre, ma conto presto di integrare questo intervento con un’interpretazione legale qualificata. Tornando alla 196/03 che ho avuto modo di affrontare in maggiore dettaglio e che sicuramente interessa in modo orizzontale chiunque abbia dati protetti, la normativa richiede alcune caratteristiche tecniche, che vengono indirizzate da Log Analytics come segue:

  • Completezza: garantita dal fatto che la soluzione colleziona i dati direttamente dalla sorgente (Security log windows, audit trail linux, log di Office 365 e così via) e dal fatto che i log vengono immediatamente collezionati dall’agente. Se l’amministratore decidesse di cancellare il security log, questo evento sarebbe comunque collezionato evidenziando l’operazione.
  • Inalterabilità: dal punto di vista della proposta per inalterabilità del dato si intende l’impossibilità per gli amministratori oggetto di auditing di modificare il dato raccolto. L’inalterabilità si ottiene prima di tutto grazie alla raccolta “near real time” delle informazioni dai security log e dalla loro trasmissione in modo cifrato sulla rete fino a raggiungere il workspace sulla cloud. Una volta sulla cloud il dato non sarà più modificabile.
  • Integrità: l’integrità del dato è garantita dal cloud provider e dalla implementazione tecnologica della soluzione
  • Mantenimento per almeno 6 mesi, la soluzione permette di mantenere il dato per 12 mesi.

Come funziona

LA, come detto, è un sistema completamente operato da Microsoft dalla cloud, mette a disposizione ad oggi due livelli di mantenimento del dato: 1 mese ed 1 anno (390 giorni in realtà). Come tutte le indicazioni di capacity che darò nell’articolo queste sono soggette a modifiche migliorative, tipiche dei sistemi operati dalla cloud. Può raccogliere i propri dati in diversi modi:

  • Tramite agenti per i sistemi operativi (Windows o Linux che siano)
  • Tramite interfaccia con le diagnostiche memorizzate negli storage account di Azure, questo permette in taluni casi di evitare l’installazione dell’agente all’interno del sistema operativo
  • Tramite interfaccia diretta ad altri sistemi (ad esempio Office 365 o Application Insights)

Una volta che le varie sorgenti dati sono state connesse al workspace LA, gli eventi e in generale le informazioni raccolte iniziano ad alimentare il vault in modo sicuro (TSL) e mutuamente autenticato. Appena indicizzate le informazioni vengono messe a disposizione del linguaggio di ricerca della soluzione e possono essere consultate tramite interfaccia web o tramite web service REST.

Microsoft garantisce la durability del dato e la sua congruenza, questo ci permette di delegare completamente tutti i temi che riguardano la protezione del dato raccolto.

In caso di assenza di connettività l’agente sui sistemi è autonomo per 2 ore, accodando il dato ed effettuando tentativi di trasmissione ogni 8 minuti.

OMSLAAuditing-2

Figure 2 – schema di funzionamento di Log Analytics (sorgente Technet)

Dove sono i miei dati e garanzie

Alcune aziende classificano anche i dati di auditing come dati protetti, ma in generale tutte considerano questi dati come un patrimonio importante su cui esercitare le opportune misure di controllo. Come per tutti i servizi implementati su Microsoft Azure è possibile scegliere la region dove memorizzare i dati, il numero di datacenter dove è implementato LA è in costante aumento. Al momento della redazione di questo articolo è possibile memorizzare i propri dati presso il data center “West Europe” e avere quindi garanzia che i dati rimangano sul territorio della comunità europea.

Essendo un servizio basato sui datacenter Azure eredita da questi tutte le caratteristiche di sicurezza fisica e logica, in particolare Log Analytics è al momento è certificato:

OMSLAAuditing-3

Figure 3- privacy in LA (sorgente Technet)

Quali dati posso collezionare

LA è una soluzione che permette di collezionare qualsiasi tipo di log, in base al tipo e alla sorgente possono cambiare tempi e modalità di inclusione, di seguito una sintesi delle tipologie e delle sorgenti più comuni.

data type platf Direct Agent SCOM agent Azure Storage SCOM required? SCOM agent data sent via mgmt group collection frequency
Windows security event logs Win  OMSLAAuditing-OK  OMSLAAuditing-OK  OMSLAAuditing-OK  OMSLAAuditing-NA  OMSLAAuditing-NA For Azure storage: 10 min; for the agent: on arrival
Windows firewall logs Win  OMSLAAuditing-OK  OMSLAAuditing-OK  OMSLAAuditing-NA  OMSLAAuditing-NA  OMSLAAuditing-NA on arrival
Windows event logs Win  OMSLAAuditing-OK  OMSLAAuditing-OK  OMSLAAuditing-OK  OMSLAAuditing-NA  OMSLAAuditing-OK for Azure storage: 1 min; for the agent: on arrival
Linux audit trail Linux  OMSLAAuditing-OK  OMSLAAuditing-NA  OMSLAAuditing-OK  OMSLAAuditing-NA  OMSLAAuditing-NA Via SysLog
Network / syslog various  OMSLAAuditing-OK  OMSLAAuditing-NA  OMSLAAuditing-NA  OMSLAAuditing-NA  OMSLAAuditing-NA from Azure storage: 10 minutes; from agent: on arrival
Other via custom logs various  OMSLAAuditing-OK  OMSLAAuditing-OK  OMSLAAuditing-NA  OMSLAAuditing-NA  OMSLAAuditing-NA 15 min
O365 SaaS n.a. n.a. n.a. n.a. n.a. On arrival, available to be queried < 5’
Other via Progel Security Log Gateway various  OMSLAAuditing-OK  OMSLAAuditing-OK  OMSLAAuditing-OK  OMSLAAuditing-NA  OMSLAAuditing-NA For Azure storage: 10 min; for the agent: on arrival

Il Progel Security Log Gateway è una soluzione che può essere utilizzata per complementare LA, sebbene molte delle fonti dati gestite possano essere incluse tramite meccanismi diversi in LA, il Progel Security Log Gateway trasforma queste sorgenti in eventi di security in modo che possano essere processati con le stesse modalità di near real time e di sicurezza.

Al momento il Progel Security Log Gateway permette di processare eventi per i seguenti sistemi:

  • Oracle 10i+
  • Exchange 2007+ on premises
  • SQL Server 2005+
  • Custom eventlog transformation

Conclusioni

Microsoft Operations Management Suite Log Analytics è una soluzione cloud based che permette di implementare un moderno sistema di audit e monitor della sicurezza senza l’onere di un’infrastruttura on-premises, con il valore aggiunto di garantire il mantenimento e l’inalterabilità del dato per un anno.

Altre informazioni

Questo è il primo articolo di una serie che coprirà le principali funzionalità di OMS ritagliandole sulle specificità del mercato italiano. I prossimi articoli vi guideranno nell’attivazione di un workspace Log Analytics e nella connessione delle stesso alle varie sorgenti dati.