הזרמת Security Event לשירות Azure Sentinel

סדרת מאמרים בנושא Azure Sentinel ותחקור באמצעות KQL, המאמר הנוכחי מתמקד בהגדרת Security Event Log מתוך Windows Server מול Azure Sentinel

ישנם דרכים ותצורות שונות להעברת מידע מסוג Event Viewer אל מערכות SIEM, בין אם מדובר על Windows Event Forwarding או באמצעות קולקטור אשר נמצא בכל שרת.

העברת מידע מתוך מערכות שונות אל מערכת SIEM למעשה מרכזת את כלל הלוגים, התראות וכל מידע שנברר להעביר אל אותה מערכת SIEM על מנת שנוכל לעבוד עם ממשק אחד ומשם נוכל חיווי, נוכל לנתח את המידע, להפיק דוחות (Visualize Data) ולבצע תחקור של אירוע בזמן אמת.

יתרון נוסף של מערכת SIEM הוא האפשרות לבצע אוטומציות ע"י Playbook מגוונים, ליצור התראות על מופעים שונים ולאפשר מענה (Respond) אוטומטי או ידני המבוסס על גבי API, כאשר האחרון אינו קל לביצוע בכל מערכת SIEM אלא אם כן מדובר על מערכות שיש להם אינטגרציה מובנית.

אם נקח למשל את Azure Sentinel שיכול לבצע אינטגרציה מלאה מול מערכות צד שלישי רבות על גבי API, ישנה אפשרות לבנות Logic App המבוסס על תנאים שיאפשר מענה אוטומטי מלא או חלקי ברגע שהתרחש אירוע.

מידע נוסף לגבי Azure Sentinel בקישור הבא Azure Sentinel וניהול SIEM ארגוני

העברת לוגים המבוססים על Event Viewer אל מערכת SIEM מצריכה לא מעט הגדרות, ואם נקח את תהליך היישום של העברת לוגים באמצעות Windows Event Forwarding אל מערכת SIEM, לצורך הענין אנו נדרשים לבצע סט של הגדרות ברמת שרת או לחלופין הגדרות מרכזיות ברמת Group Policy, לאחר מכן להגדיר Windows Event Collector, בנוסף לכך לבצע הגדרת Subscription (המידע שאנו מעוניינים לשלוח), איך יועבר המידע ועוד.

יישום המבוסס על Windows Event Forwarding מצריך שרת נוסף שאליו נזרוק את הלוגים באמצע ומשם יועבר אל מערכת SIEM או לחלופין מצב שבו המידע נזרק ישירות אל מערכת SIEM.

העברת Security Events אל Azure Sentinel

הגדרת Windows Event Forwarding בפלטפורמה של Azure Sentinel עובדת בצורה שונה וטובה הרבה מעבר לנוכחי, מכיוון שאנו יכולים לקחת כל לוג וכל מידע באשר הוא ולהעביר אותו אל Azure Sentinel ובמינימום פעולות.

אחד התרחישים הוא העברת מידע מסוג Security Event אל Azure Sentinel ותהליך ביצוע העברת לוגים הינה פשוטה יחסית, וכל מה שנדרש הוא להפעיל את סוג הלוג בשרת המקומי או בענן (כל ענן).

איך מגדירים העברת לוגים

בכדי להעביר לוגים מסוג Security Event אל Azure Sentinel אנו צריכים לבצע את הפעולות הבאות:

דרישות

פלטפורמה של Azure Sentinel – לוודא שישנו Worksapce מוגדר באופן תקין עם אפשרויות לשמירת לוגים

גרסאות Windows Server או Widnows 10

מכונות בענן – נחלק לשני סוגים: מכונות באותו Subsciption או כל מכונה שנמצאת בכל וונדור ענן שהוא, כלומר לא משנה האם השרת נמצא בענן של AWS או גוגל

שלבי הגדרה

מתוך פורטל Azure Sentinel נבחר באפשרות Data Connectors ולאחר מכן Security Events

לאחר מכן נבחר באפשרות Open Connector page בכדי להגדיר את סוג הלוגים ובכדי לחבר מכונות.

סוגי מכונות – ישנה אפשרות לחבר שני סוגי מכונות:

מכונות מסוג Azure ZM – במכונות מסוג Azure Windows VM אנו יכולים לחבר בקליק כל מכונה הנמצא באותו Subscription של אותו Workspace

מכונות מסוג Non-Azure VM – במכונות מסוג Non-Azure Windows VM אנו יכולים לחבר כל מכונה מסוג Windows Server ומכל סביבה שהיא, ביi אם סביבה מקומית או סביבות ענן שונות, כגון AWS, Google וכל DataCenter שהוא

סוגי לוגים – גם כאן אנו יכולים לקחת סוגי לוגים שונים, בין אם כלל הלוגים או בודדים, ושחוב מאוד להדגיש כי הלוגים שאיתם אנו עובדים הם Event Log מסוג Security בלבד אשר נחלקים לסוגים הבאים:

All events – כל סוגי הלוגים של Security event באשר הם כולל לוגים של AppLocker

Common – סוגי לוגים הקשורים לפעולות משתמש ופעולות של Group כולל Kereberos, פעולות KDC ונוספים, מצורפים מטה מספרי הלוגים:

299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Minimal – סט לוגים מינימלי מאוד של פעולות משתמש בלבד שאינו כולל את כלל הפעולות של  המשתמש ומספרי הלוגים: (לא מומלץ בגלל שאינו מכיל audit trail מלא)

1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,

במידה ונבחר Azure VM נוכל לראות את כל המכונות הקיימות הנמצאות בענן כולל מכונות שאינן נמצאות באותו Subscription של Azure Sentinel, ומכאן נוכל לחבר בקליק אחד את המכונה הנדרשת

במידה וישנו מכונה שאינה נמצאת באותו Subscription אך עדיין נוכל לחבר בהתאם להרשאות ואינטגרציה שיש מול אותו Subscirption

במידה ומדובר על מכונה שאינה נמצאת בענן של Azure נצטרך להוריד Agent ולהתקין באותה מכונה על סמך המזהיים של Workspace ID and Keys

בסיום הגדרת Data Connectors וחיבור המכונות אל Azure Sentinel Workspace נוכל להתחיל בבדיקה של הלוגים הקיימים שהועלו, חשוב להדגיש כי בחיבור ראשוני של Data Connector ועד למצב של ניתוח לוג העדכון אורך עד 30 דקות.

בדיקת לוגים בממשק Azure Sentinel

ישנם מספר דרכים המאפשרות לבדוק איך Data Connector מחובר והאם עובד בצורה תקינה וכן איזה מכונות מחוברות ואיזה מידע הם מעבירים, והדרך המועדפת עליי היא באמצעות KQL – שפה ייעודית עם יכולות המאפשרות ניתוח לעומק.

הדרך המועדפת עליי היא באמצעות KQL – כי שם ניתן לעשות דברים פסיכיים לגמרי, ובין היתר כמה דוגמאות פשוטות של חיפוש אחר מכונות אשר התבחרו לאחרונה או סוגי מכונות והאחרון שבהם קוד יותר מורכב של אנומרציה על משתמש וקבוצה לפי לוגים מסוימים

לסיכום

העברת מידע וחיבור Security event אל Azure Sentinel הינה פעולה פשוטה ואינה מצריכה יישום מורכב, ולאחר חיבור והגדרה של Data Connectors ובחירת סוגי הלוגים כל שנדרש לבצע הוא לנתח את הפעולות מתוך ממשק Azure Sentinel באמצעות הממשק הרגיל או באמצעות KQL.

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.