Solarwind LEM là phần mềm quản lý log tập trung rất hiểu quả của Solarwind. LEM cung cấp nhiều tính năng giúp dễ dàng tạo filter, rule. Có nhiều Agent giúp dễ dàng lấy log từ các client có thể lấy log dc hầu hết các thiết bị
Mục Lục: Tìm Hiểu Solarwinds Log & Event Manager (LEM) Giới thiệu LEM SolarWinds Log & Event Manager (LEM) giải pháp SIEM hiệu cạnh tranh chi phí phục vụ cho việc tuân thủ bảo mật quản lý nhật ký Giải pháp LEM SolarWinds triển khai dạng VM để giúp bảo vệ sở hạ tầng tổ chức cách phát mối đe dọa tuân thủ nghiêm ngặt mục tiêu bảo mật SolarWinds LEM đưa giải pháp đáng tin cậy để: - Đảm bảo hoạt động trơn tru mạng - Duy trì bảo mật máy tính tối đa - Tuân thủ nghiêm ngặt tiêu chuẩn an ninh cơng nghiệp Các tính LEM 2.1 Dễ dàng mở rộng thu tập nhật ký từ thiết bị mạng, máy chủ Log & Event Manager thu thập lập danh mục liệu nhật ký kiện theo thời gian thực từ nơi liệu tạo sở hạ tầng CNTT bạn 2.2 Thu tập nhật ký kiện thời gian thực Bằng cách xử lý liệu nhật ký trước ghi vào sở liệu (database) LEM thu tập nhật ký kiện thời gian thực, giúp khắc phục vấn đề hệ thống, phát hành vi bảo mật vấn đề quan trọng khác 2.3 Ghi nhật ký tập trung Nó cung cấp ghi nhật ký tập trung kiện, truy cập lúc tương lai 2.4 Chuyển tiếp Log LEM chuyển tiếp liệu sang kiểu liệu khác để phân tích sâu LEM chuyển tiếp tồn Node cụ thể 2.5 Cung cấp thông tin để xác định mối đe dọa Tận dụng nguồn cấp liệu IP xấu biết để xác định hoạt động độc hại Các nguồn cấp liệu thường xuyên cập nhật từ sưu tập nguồn nghiên cứu tự động gắn thẻ vào sự kiện chúng vào thiết bị Từ giúp nhanh chóng thực thi tìm kiếm báo cáo để xem hoạt động nghi ngờ tạo quy tắc để thực hành động tự động 2.6 Nén lưu giữ liệu nhật ký LEM lưu trữ hàng Terabyte liệu nhật ký với tốc độ nén cao để báo cáo tuân thủ, biên dịch, giảm tải giảm yêu cầu lưu trữ bên 2.7 Theo dõi toàn vẹn tập tin thời gian thực (FIM) Giám sát tính toàn vẹn tập tin theo thời gian thực thiết kế để cung cấp hỗ trợ bảo mật thông minh sâu cho mối đe dọa nội bộ, phần mềm độc hại công nâng cao khác 2.8 Xây dựng sẳn phản hồi tích cực LEM giúp phản hồi với kiện bảo mật, vận hành điều kiển sách cách sử dụng phản hồi tích cự có sẳn để thực thi hành động, cách ly máy bị nhiểm, chặn địa IP, hủy tiến trình điều chỉnh cài đặt AD 2.9 Phát ngăn chặn USB LEM giúp ngăn ngừa mát liệu điểm cuối bảo vệ liệu nhảy cảm thông báo theo thời gian thực thiết bị USB kết nối, LEM có khả tự động chặn việc sử dụng chúng báo cáo tích hợp để kiểm tran việc sử dụng USB 2.10 Giám sát hoạt động người dùng Cải thiện tình xảy cách hiểu rõ hoạt động người dùng, tìm hiểu tài khoản đặc quyền sử dụng cách chúng sử dụng từ đâu 2.11 Tìm kiến nâng cao kiện LEM có khả quản lý tìm kiếm nhật ký, kiện nâng cao tiên tiến giúp dễ dàng tìm kiếm cố giao diện kéo thả để theo dõi kiện lưu tìm kiếm phổ biến để dễ dàng sử dụng cho sau 2.12 Mẫu báo cáo tuân thủ bảo mật vượt trội LEM giúp dễ dàng tạo lên lịch trình báo cáo tn thủ cách nhanh chóng cách sử dụng 300 mẫu báo cáo bảng điều kiển cho phép bạn tùy chỉnh báo cáo 2.13 Dễ dàng sử dụng triển khai LEM xây dựng để nhanh chóng đơn giản triển khai Có thể dễ dàng bật đăng nhập qua giao diện web giao diện CML LEM sử dụng nào? Được thiết kế cho ưu điểm bảo mật bị hạn chế tài nguyên bị thách thức với: - Thiếu thông tin công, thời gian hạn chế cho nhân viên giám sát phát công - Yêu cầu tuân thủ u cầu tự động hóa giám sát tồn vẹn tệp - Khơng có khả ưu tiên, quản lý ứng phó với cố an ninh - Thời gian phản hồi chậm - Sự cần thiết để giám sát người dùng nội mối đe dọa nội - Sự cần thiết phải chia liệu nhật ký hoạt động toàn mạng, ứng dụng hệ thống - Việc triển khai SIEM không hiệu quả, hỏa động tốn Ưu điểm Nhược điểm LEM Ưu điểm LEM: - Tự động hóa nhúng thông minh cung cấp trung tâm hoạt động bảo mật giám sát 24/7 - Phát kiện nhanh cảnh báo cảnh báo mối đe dọa dựa IP - Phát thông minh đáng tin cậy hoạt động đáng ngờ độc hại bao gồm phần mềm độc hại, người mối đe dọa nâng cao - Giúp loại bỏ quy trình báo cáo thủ cơng tốn nhiều thời gian - Rút ngắn thời gian trả lời thông qua khả phản hồi mạnh mẽ - Tự động chặn lạm dụng thơng qua phản hồi tích cực vi phạm sách mạng, hệ thống truy cập - Tích hợp cơng cụ bảo mật mở rộng cách cung cấp khả chuyển tiếp nhật ký ghi liệu sang công cụ khác - Giám sát chặn sử dụng USB dựa quy tắc sách hành vi - Quá trình đăng nhập dễ dàng với người dùng với tích hợp đăng nhập lần - Cung cấp khả quản lý dễ dàng với nhiều tùy biến Nhược điểm LEM - Là sản phẩm có phí - Được đóng gói sẳn nên giảm khả tùy biến - Chỉ chạy môi trường Windown VMware Triển khai LEM thiết lập thông số ban đầu Vì LEM đóng gói thành máy ảo nên việc triển khai LEM đơn giản Vào VMware Workstation -> Open > chọn LEM VM -> import Sau bật LEM lên tiến hành thiết lập thông số Network, Timezone Giao diện console LEM 5.1 Thiết lập địa IP Tại giao diện cml gõ appliance > netconfig sau đặt địa IP cho LEM 5.2 Thiết lập timezone Tại giao diện cml gõ appliance > tzcongfig sau thiết lập timezone LEM Mặc định giao thức SNMP disable ta enable lên qua giao diện CML: Sau thiết lập xong ta trup cập vào LEM qua ssh qua giao diện WEB địa IP thiết lập Truy cập LEM qua giao diện web: https://10.16.19.201:8443/lem/ 5.3 Thiết lập mail server tích hợp AD Việc thiết lập địa mail giúp xác định dùng địa mail để gửi email cảnh báo cho cách thiết lập sau Tích hợp với AD giúp ta dùng tài khoản AD để đăng nhập dễ dàng quản lý AD Tại giao diện WEB chọn OPS CENTER sau chọn hình dưới: Chọn Configure Basic LEM Setting -> Next Thiết lập thông số mail Thiết lập thông số kết nối tới AD 5.4 Thêm Node giám sát vào LEM Thêm Node vào LEM có hai loại LEM agent Syslog LEM agent tải phiên LEM agent phù hợp tiến hành cài đặt máy trạm Syslog cần phải bật syslog thiết bị trỏ tới Syslog server (LEM) Thêm node loại LEM Agent: Tại giao diện web console chọn OPS Center sau chọn theo hình Sau ta tiến hành thêm Node window, linux,syslog… Tại chọn thêm loại node khác chọn Windown Tại Click vào đường link tải Agent tiến hành cài đặt máy windown cần lấy log Sau tải tiến hành cài đặt ta cần điền thông số hình trên: Chổ “Manager Name” ta cần điền IP Solarwind LEM, thơng số port ta để mặc định Đối với Linux tương tự Windown, nhiên ta cần cấp quyền execute cho file cài trước cài đặt chmod +x /setup.bin Sau chạy câu lệnh: /.setup.bin điền thông số windown Chọn thông số cho Linux agent 10 Thêm node loại Syslog: Đối với thiết bị có cách cấu hình syslog khác nhiên ta cần ý thông số IP Solarwind LEM, port cấu hình 514, giao thức UDP Để cấu hình Syslog thiết bị Sau cấu hình Syslog xong ta vào Solarwind LEM để Scan thiết bị Vào MANAGE -> node chọn hình Các thành phần LEM LEM cung cấp quản lý qua giao diện WEB trực quan dễ dàng sử dụng cho người dùng thành phần LEM gồm: Ops Center, Monitor, Explore, Bulid, Manager, Analyze Ops Center: Cung cấp đồ họa biểu diễn liệu nhật ký kiện Nó bao gồm số Widgets giúp dễ xác định khu vực có vấn đề hiển thị điểm nóng hệ thống mạng Có thể chọn widget từ thư viện tiện ích thêm tiện ích tùy chỉnh phản ánh kiện Monitor: Hiển thị kiện thời gian thực chúng xảy mạng Có thể xem chi tiết kiện cụ thể tập trung vào loại kiện cụ thể Chế độ xem bao gồm số tiện ích để giúp bạn xác định xu hướng bất thường xảy mạng bạn Explore: Cung cấp công cụ để điều tra kiện liệu chi tiết Chọn nDepth để tìm kiếm xem liệu kiện thông điệp tường trình Chọn Utilities để xem tiện ích bổ sung Build: Tạo thành phần người dùng xử lý liệu LEM Manager Chọn Group để xây dựng quản lý nhóm Chọn Rules để xây dựng quản lý quy tắc sách Chọn Users để thêm quản lý người dùng bảng điều khiển Manager: Quản lý thuộc tính cho thiết bị node Chọn Thiết bị để thêm quản lý thiết bị Chọn Nút để quản lý trạm (agent) để xem thiết bị syslog Analyze: Cung cấp tổng quan tính Báo cáo trích xuất trình bày liệu từ sở liệu Tính tính chưa sử dụng 11 6.1 Filters Lợi ích Filters: - Cho phép xem kiện quan trọng thời gian thực - Cho phép xem xu hướng chế độ OPS VIEW - Cho phép dễ dàng thực lại lịch sử tìm kiếm Filters Group nhóm logical đơn giản filters Một vài Filters Group mặc định như: Overview, Security,Compliance, Change Management, and Authentication Bố cục Monitor Có thể tạo Filter Group cách vào Monitor chọn hình dưới: 12 Đặt tên cho Group 6.2 Tạo filter Một filter gồm hai thành phần chính: - Conditions (bắt buộc) 13 - Notifications (tùy chọn) Có thể tạo filter cách: Chọn Group filter -> New Filter Bố cục Filters Dễ dàng tạo tạo Filter cách kéo thả Event List Event Fields vào Conditions Filter condition bao gồm thêm Defined Group, Connector Profiles, Directory Service Group, Time of Day Sets, Constants, Subscription Groups Notifications bao gồm Display Popup Message, Display New Events as Unread, Play Sound, Enable Blinking Filter Name 6.3 LEM Active Response Dùng để phản hồi lại kiện trực tiếp từ điều kiển LEM Có nhiều loại phản hồi hoạt động lựa chọn như: Shutdonw machine, stop/start Service, Block an IP, Disable a Domain User, Disable a Local User…Trước sử dụng tính 14 cần phải đảm bảo Active Response Connectors bật LEM Manager LEM Agent Tính thực máy Windown Active Response Connectors 6.4 Rules Các quy tắc cho phép phát vấn đề bảo mật, vận hành cố xảy hệ thống LEM kèm với 700 quy tắc thu tập tích hợp với kiện phân loại dễ hiểu Các danh mục bao gồm Authentication, Change Management, Devices (IDS, Firewall, Router, etc.), IT Operations LEM thực thu tập nhớ nên cho phép phản hồi thời gian thực Rules có hai loại Rules Rule Templates sử dụng để xác định cho Rules Việc kích hoạt Rules dễ dàng Các Rules Templates đọc, nên để muốn sử dụng cần phải Cloned để tạo Rule tùy chọn Bố cụ Rules Rules tương tự Filters Rules có thành phần: - Correlations : xác định kiện 15 - Correlations time : xác định thời gian xãy kiện - Actions : thực hành động Tạo Rules: Tạo rules cách vào Build -> Add Rules Sau lựa chọn Rule Categories -> next để tạo Rule File Integrity Monitoring FIM FIM giám sát tất tệp cho thay đổi trái phép Sử dụng FIM để phát thay đổi tệp quan trọng để đảm bảo hệ thống không bị xâm hại FIM phát sửa đổi trái phép tệp cấu hình, tệp thực thi, tệp nhật ký kiểm toán, tệp nội dung, tệp sở liệu, tệp web, v.v Khi FIM phát tệp theo dõi thay đổi, ghi lại kiện Sự kiện sau nhắc LEM thực thi hành động cấu hình Bạn xây dựng quy tắc tương quan để hoạt động lọc cấp hai để gửi cảnh báo xảy số mẫu hoạt động định (khơng trường hợp đơn lẻ) Tính FIM • Giám sát truy cập thời gian thực xác định người dùng thay đổi tệp tin registry keys • Cấu hình logic tệp thư mục khóa giá trị đăng ký để giám sát loại truy cập khác (tạo, viết, xóa, thay đổi quyền / siêu liệu) • Chuẩn hóa cấu hình nhiều hệ thống 16 • Cấu hình mẫu giám sát để theo dõi điều tạo tùy chỉnh hình • Cấu hình mẫu cho quy tắc, lọc báo cáo để hỗ trợ bao gồm kiện FIM LEM Reports LEM Report cung cấp báo cáo bảo mật, tuân thủ theo tiêu chuẩn hoạt động cách cung cấp bảng điều kiển trực quan với hàng trăm mẫu dựng sẳn với khả tùy chỉnh dễ dàng để dựa nhu cầu bạn Báo cáo tạo với cấp liệu đồ họa khác nhau, bao gồm báo cáo chính, báo cáo chi tiết báo cáo cao Bạn tạo lịch trình tạo gửi báo cáo theo yêu cầu Dễ dàng xuất báo cáo sang nhiều định dạng khác TXT, PDF, CSV, DOC, XLS, HTML Báo cáo chia thành danh mục Authentication, Change Management, File Audit,Machine Audit, Network Events and Network Traffic Audit Có cấp độ khác báo cáo Master, Detail Top Slect Expert: Khi báo cáo hồn tất, truy vấn liệu cụ thể khỏi báo cáo Click New chọn trường từ danh sách Field 17 Sau tiếp tục thực trường muốn truy vấn Chạy nhiều báo cáo sử dụng báo cáo mẫu 18 Chạy nhiều báo cáo Để lựa chọn mẫu báo cáo Manager -> Categories lựa chọn mẫu báo cáo 19 Lựa chọn mẫu báo cáo Và cần đảm bảo ‘Industry Reports” lựa chọn 20 ... dựa nhu cầu bạn Báo cáo tạo với cấp liệu đồ họa khác nhau, bao gồm báo cáo chính, báo cáo chi tiết báo cáo cao Bạn tạo lịch trình tạo gửi báo cáo theo yêu cầu Dễ dàng xuất báo cáo sang nhiều định... báo cáo hồn tất, truy vấn liệu cụ thể khỏi báo cáo Click New chọn trường từ danh sách Field 17 Sau tiếp tục thực trường muốn truy vấn Chạy nhiều báo cáo sử dụng báo cáo mẫu 18 Chạy nhiều báo cáo. .. vượt trội LEM giúp dễ dàng tạo lên lịch trình báo cáo tuân thủ cách nhanh chóng cách sử dụng 300 mẫu báo cáo bảng điều kiển cho phép bạn tùy chỉnh báo cáo 2.13 Dễ dàng sử dụng triển khai LEM xây