Syslog-Anbindung SOC
Anbinden eines Knotens an das Logcenter
Die einfachste Möglichkeit einen Knoten wie die Securepoint UTM, UMA oder NAC in das Logcenter des SOC einzubinden ist, beim Erstellen der neuen Organisationseinheit (OU) das Kreuz bei „Nach dem Speichern, OU einem Dienst zuweisen“ zu belassen.
Dabei erscheint nach dem Anlegen des neuen Knotens ein weiteres Fenster, welches die eben neu angelegte Organisationseinheit dem Monitoring, Backup und eben auch dem LogCenter hinzufügt. Sollen zusätzlich Berichte über entdeckte Viren oder der aufgerufenen Webseiten erstellt werden, wird zusätzlich „Berichte aktivieren“ im Abschnitt LogCenter markiert.
Beim Anlegen einer OU ist darauf zu achten, dass die im Feld „IP“ oder „IP 2“ hinterlegten IP-Adressen identisch mit der Quell-IP-Adresse sind, von der die Log Daten gesendet werden. Ansonsten können die Log Daten nicht den entsprechenden Systemen im SOC zugeordnet werden.
Sollten also die Datenpakete auf dem Weg von der Quelle zum SOC-Server ein Network Address Translation (NAT) durchlaufen, so ist dieses mit zu berücksichtigen und es muss die IP-Adresse im SOC eingetragen werden, die der Quell-IP-Adresse der Log Datenpakete entspricht.
Wurde beim Anlegen einer OU diese noch nicht im LogCenter eingetragen, weil die Aktivierung nicht markiert war, oder die Organisationseinheiten importiert wurden, können diese natürlich auch nachträglich dem LogCenter hinzugefügt werden. Dazu wird im Gateway Center unter Dienste der Eintrag LogCenter mit der rechten Maustaste angeklickt. Es erscheint ein Menü über das der Menüpunkt „Einstellungen“ ausgewählt wird.
In der sich nun öffnenden Seite des SOC-Client, wird unter dem Reiter OUs eine Liste der schon im LogCenter eingetragenen Organisationseinheiten angezeigt.
Mit einem Klick auf die Schaltfläche öffnet sich ein neues Fenster, welches die weiteren OUs anzeigt, die zwar angelegt aber noch nicht dem LogCenter hinzugefügt wurden.
Ein Klick auf die Schaltfläche hinter der gewählten Einheit, fügt diese dem Logcenter hinzu.
Nach dem Schließen dieses Fensters, erscheint noch der Hinweis, dass auf dem Log Daten produzierenden System, welches gerade dem LogCenter hinzugefügt wurde, die IP-Adresse des SOC-Server mit Port 514 eingetragen werden muss.
Log Daten an Logcenter-Server senden
Damit die Log Daten im LogCenter gespeichert werden können, werden diese vom Log Daten produzierenden System an den SOC-Server gesendet. Dieses geschieht Standardmäßig über den Port 514 mit dem Protokoll UDP.
Nur der SOC-Server kann die Syslog Daten abspeichern. Daher bitte hier die IP-Adresse des SOC-Servers und nicht des Clients eintragen.
Die Einstellungen dazu befinden sich bei den Securepoint-Systemen unter den folgenden Menüpunkten:
- UTM - Netzwerk -> Servereinstellungen -> Syslog
- UMA - Administration -> Logs -> Externe Logs
- NAC - Konfiguration -> Schnittstellen -> Syslog
Unsere Empfehlung ist, den SOC-Server mit dem LogCenter im internen Netzwerk zu betreiben.
Dieses hat zum einen den Vorteil, dass auch Datenpakete das LogCenter erreichen, wenn die Internetverbindung ausfällt.
Zum anderen werden diese Log Daten über den Port 514 mit dem Protokoll UDP versendet, welche bei Datenkollisionen auf dem Weg durch das Internet nicht erneut versendet werden, sollten diese beim Ziel nicht ankommen.
Weiterhin ist diese Übertragung nicht verschlüsselt, sodass, wenn diese Daten abgefangen werden, Informationen über interne Netzwerke als auch der Internetanbindung offen liegen.
Sollte der SOC-Server mit dem LogCenter nicht im internen Netzwerk eingerichtet werden können, empfehlen wir diese Daten über eine VPN Verbindung an das LogCenter zu versenden.
LogCenter Einstellungen
Sind die Organisationseinheiten im LogCenter registriert, können diese zusätzlich angepasst werden. Weiterhin können hier Einstellungen zur Datenbank vorgenommen sowie E-Mail Einstellungen und Empfänger für die Reports angelegt werden.
OUs
An dieser Stelle werden die einzelnen Organisationseinheiten, die an das LogCenter angebunden sind, angezeigt und es können die folgenden Einstellungen zu jeder einzelnen Einheit eingerichtet werden.
Dienste OUs
In der Regel wird für die angelegten OUs eine entsprechende Dienst OU angelegt. Diese beinhaltet alle Dienste, die dazu im Log erfasst werden können. Eine Auflistung der Dienste befindet sich in den LogCenter Einstellungen unter dem Reiter Dienste.
Dienste
Ist schon unter Dienste OU eine Kategorie ausgewählt, beinhaltet diese schon alle Dienste der Kategorie. Es macht keinen Sinn, zum Beispiel zu einer UTM V11 weitere Dienste aus einer anderen Kategorie wie zum Beispiel der UTM V10 oder der UMA zuzuweisen. Dieses würde nur dazu führen, dass das LogCenter nicht mehr korrekt arbeiten kann. Daher sollte, wenn eine Dienst OU bei einer Organisationseinheit eingetragen ist, unter Dienste kein Eintrag enthalten sein.
Allgemein
Sollen für eine Einheit andere Datenbank-Einstellungen als die Global definierten zur Größe, der Menge an Einträgen oder der Zeit wie lange in diese Datenbank geschrieben wird gelten, können diese hier angepasst werden. Weiterhin kann hier die Berichtserstattung zu dieser Einheit aktiviert werden, so dass über Nacht ein Report erstellt und per Mail versendet wird.
Hier wird die E-Mailadresse eingetragen, an die der erstellte ESR (Extended Summary Report) oder eine Ereignis Mail versendet werden soll.
Ereignis
Hier kann für diese Einheit ein Ereignis ausgewählt werden, welches unter Log-Center Ereignisse definiert werden kann. Wenn dieses Ereignis eintritt, wird eine Mail an die unter E-Mail angegeben Mail-Adresse versendet.
Troubleshooting
Unter diesem Punkt wollen wir drei der häufigsten Probleme im Zusammenhang mit dem SOC besprechen.
Problem 1: Es werden keine aktuellen Log Daten mehr angezeigt.
Bisher hat das LogCenter alle Daten aufgenommen und auch im Historischen Log angezeigt. Seit kurzem fehlen aber die aktuellen Log Einträge.
Häufigste Ursache: Der Festplattenspeicher ist voll.
Wieviel Festplattenspeicher noch zur Verfügung steht ist ersichtlich in den SOC Appliance Einstellungen. Dazu wird auf der linken Seite des SOC-Client auf den Reiter „Operation Center“ gewechselt. Mit einem Doppelklick auf Appliance im Bereich Securepoint Operation Center, öffnen sich die Appliance Einstellungen. Nun noch den Reiter Backup anklicken und im Abschnitt „Benutzter Speicher“ befinden sich die Angaben HDD total, welches mir den gesamten Festplattenspeicher angibt und HDD frei bei dem ich sehen kann, wieviel Speicher noch genutzt werden kann.
Lösung:
Erstellen eines Backups, das SOC mit größerer Festplattenkapazität neu installieren und das Backup wieder einspielen.
Problem 2: Es werden überhaupt keine Logs oder von einer Appliance keine Logs angezeigt.
Die Appliance ist im SOC angelegt und auch mit dem LogCenter verknüpft. Trotzdem sind, wenn die OU geöffnet wird, keine Log-Daten im LiveLog oder in den Historischen Logs zu sehen.
Ursache: Die Logdaten kommen nicht am SOC an.
Eine einfache Möglichkeit zu sehen, ob Log-Datenpakete auf dem SOC ankommen ist, sich auf den SOC-Server per SSH-Konsole mit dem Benutzer „admin“ einzuloggen und das Tool tcpdump auf die Schnittstelle zu verwenden. Dazu werden die ankommenden Datenpakete mit dem Port 514 auf der Netzwerkschnittstelle eth0 mit dem folgenden Kommando überprüft:
tcpdump –i eth0 –nnp port 514
Sollten nur die Log-Daten von einer bestimmten Appliance fehlen, kann dieses Kommando mit der Angabe der IP-Adresse der Appliance mit dem Zusatz „host“ erweiterte werden:
tcpdump –i eth0 –nnp port 514 and host 192.168.175.1
Erscheinen nun nach dem Ausführen der Kommandos keine Datenpakete, erhält das SOC keine Logdaten welche archiviert werden können. Dieses kann verschiedene Ursachen haben:
Möglichkeit 1: Die Appliance ist für den Versand der Log-Daten nicht eingerichtet oder es ist nicht die IP-Adresse des SOC-Server eingetragen, an die die Logdaten weitergeleitet werden sollen.
Das SOC erhält die Log-Daten immer dadurch, dass das zu überwachende System diese zum LogCenter-Server versendet. Ist dieses auf der UTM oder UMA nicht oder mit einer falschen IP-Adresse eingerichtet, werden diese nicht versendet und können im LogCenter-Server nicht archiviert werden.
Lösung: In der UTM oder UMA ist zu überprüfen, ob die IP-Adresse des SOC dort eingetragen ist.
- UTM: Diese Einstellmöglichkeit befindet sich im Menü Netzwerk, Untermenü Servereinstellungen, unter dem Reiter Administration
- UMA: Diese Einstellmöglichkeit befindet sich unter Administration unter dem Reiter Logs im Abschnitt Externe Logs
Möglichkeit 2: Die Daten müssen durch eine Firewall.
Sollte eine Firewall oder Internetrouter zwischen der zu überwachenden Appliance und dem SOC-Server eingerichtet sein, ist es notwendig, eine Portweiterleitung auf der Seite des SOC-Server auf dieser einzurichten, damit die Log-Daten auch an das SOC weitergeleitet werden können.
Lösung: Einrichten einer Portweiterleitung auf der dem SOC vorgeschalteten Firewall.
Problem 3: Keine Einträge im LogCenter trotz Log-Daten
Ursache: Die Quell-IP der Log-Datenpakete sind nicht identisch mit den im SOC für die Appliance hinterlegte IP-Adresse. Ein Grund könnte in einer durch ein NAT veränderten IP-Adresse liegen.
Beispiel: Bei der Datenübertragung durch das Internet wird die private IP-Adresse mit der öffentlichen maskiert (NAT), so dass diese mit der Öffentlichen IP-Adresse beim SOC und damit beim LogCenter ankommen. Sollte nun im SOC die Private IP-Adresse der UTM eingetragen sein, können die ankommenden Daten dieser UTM im LogCenter nicht zugeordnet werden und es werden keine Logs angezeigt.
Lösung: Die IP-Adresse im SOC der IP-Adresse mit der die Datenpakete geliefert werden anpassen.