В заключительном видеоуроке курса поговорим о Log Analyzer, который позволяет проводить мониторинг всех инцидентов информационной безопасности и сетевых событий.

В данной статье мы рассмотрим дополнительное решение Log Analyzer, с помощью которого администратор может решать следующие задачи:

• Уменьшить нагрузку на шлюз, переложив обработку журналов, создание отчетов и процессинг других статистических данных на внешний сервер LogAn, обеспечив таким образом больше ресурсов для выполнения шлюзом задач защиты и фильтрации.
• Объединить журналы с нескольких шлюзов UserGate для общего анализа.
• Увеличить глубину журналирования за счет большего размера хранилища на серверах LogAn.
• Собирать по SNMP и анализировать информацию со сторонних устройств.

Подробнее об устройстве было рассказано в первой статье цикла. Сейчас же мы с вами поработаем с функционалом LogAn.

Установка LogAn ничем не отличается от установки NGFW.

Минимальные требования к виртуальной машине:

• CPU: 2
• RAM: 8 Gb
• HDD: 100 Gb

Для доступа к консоли необходимо ввести логин Admin и пароль utm. После установки необходимо задать ip-адрес (если не используется dhcp) для подключения к веб-консоли. Команда выглядит следующим образом: iface config -name port0 -ipv4 <ip-адрес/маска> -enable true -mode static

Далее подключаемся к веб-интерфейсу, используя заданный ip-адрес с портом 8010 и завершаем установку.

Подключившись к LogAn необходимо установить лицензию. Для этого во вкладке «Дашборд» необходимо нажать на «Незарегистрированная версия» и ввести данные о лицензии.

Также нам потребуется настроить зоны сервера. По умолчанию в LogAn присутствует две зоны:

Management – для подключения доверенных сетей, с который разрешено подключение.

Trusted – для подключения доверенных сетей, например, LAN-сетей. Предполагается, что через зону Trusted LogAn будет подключен в сеть, через которую шлюзы Usergate будут отсылать на него журналы, а также через которую LogAn получит доступ в интернет.

Для зоны Management мы уже настроили интерфейс подключения. Теперь необходимо настроить внешний интерфейс: задать статический или динамический адрес.

Если ip-адрес задан статически, то потребуется добавить шлюз по умолчанию.

Для сбора информации с различных устройств и последующего ее анализа UserGate LogAn использует сенсоры.

Сенсор – это совместимое с LogAn устройство, которое может передавать определенные данные на сервер LogAn. Сенсорами могут выступать шлюзы UserGate, а также любые другие сетевые устройства, способные передавать данные по протоколу SNMP.

Подключим Usergate NGFW к Log Analyzer. Для этого:

1. На сервере UserGate, который вы хотите добавить в качестве сенсора, в разделе «Сеть — Зоны» выберите зону, через интерфейсы которой будет происходить сетевой обмен с сервером LogAn, и разрешите сервисы Log Analyzer и SNMP.

В нашем случае, для NGFW, расположенного в филиале, подключение будет через зону Untrusted. Второй NGFW, расположенный в центральном офисе, будет подключен через зону Management.

2. На сервере UserGate, который вы хотите добавить в качестве сенсора, в разделе «Настройки – Log Analyzer» скопируйте значение токена в буфер обмена.

3. На сервере LogAn в разделе «Сеть – Зоны» необходимо выбрать зону, через интерфейсы которой будет приходить сетевой обмен с сервером Usergate, и разрешить сервис «Log Analyzer».

В нашем случае, для шлюза в центральном офисе подключение будет через зону Management, а для шлюза в филиале через зону Trusted.

На сервере LogAn в разделе «Сенсоры – Сенсоры Usergate» необходимо нажать «Добавить».

В строке «Адрес сервера» указывается ip-адрес подключаемого шлюза.

В строке «Log Analyzer адрес» необходимо выбрать адрес, к которому будет подключаться шлюз. Для выбора будут отображаться только те адреса, на интерфейсах зон которых разрешен сервис Log Analyzer.

В строке «Токен» необходимо указать токен, полученный на шлюзе.

В результате шлюзы начнут отсылать данные на Log Analyzer.

На сервере Usergate будут приняты следующие изменения конфигурации:

В разделе «Настройки» – «Log Analyzer» изменился адрес сервера Log Analyzer на адрес, указанный при создании сенсора Usergate.

В разделе «Диагностика и мониторинг» – «SNMP» добавилось правило SNMP, разрешающее серверу Log Analyzer получать информацию по протоколу SNMP.

На сервере LogAn добавились следующие элементы:

В разделе «Журналы и отчеты» – «Журналы» появились записи с созданного Usergate сенсора.

В Дашборде появилась возможность добавить новый виджет – График сенсора Usergate, содержащий информацию, полученную с сенсора UserGate.

Данный раздел позволяет посмотреть текущее состояние сервера и серверов, которые подключены к нему для отправки логов, их загрузку, статус лицензии и так далее.

Отчеты предоставлены в виде виджетов, которые могут быть настроены администратором системы в соответствии с его требованиями. Виджеты можно добавлять, удалять, изменять расположение и размер на странице «Дашборд». По умолчанию созданы страницы с виджетами Log Analyzer, NOC (Network Operation Center) и SOC (Security Operation Center). Рассмотрим их более подробно.

1. Log Analyzer

На данном виджете отображается состояние сервера Log Analyzer: информация об активных портах, графики загруженности, информация о лицензии.

2. SOC

В данном дашборде собрана следующая информация со всех подключенных шлюзов:

3. NOC

В данном дашборде содержится информация о производительности подключенных шлюзов.

Некоторые виджеты позволяют настроить отображение, указать фильтрацию данных и настроить прочие параметры. Для настройки виджета необходимо кликнуть по символу шестеренки в правом верхнем углу. Не все параметры, перечисленные ниже, доступны для каждого типа виджетов.

Есть возможность создавать свои дашборды с необходимой информацией. Для этого в правом верхнем углу нажимаем на +. В созданный дашборд можно добавить следующие виджеты:

Для примера создадим дашборд, в котором будут отображаться данные с сенсора, к которому подключен шлюз, расположенный в филиале.

Добавим следующие виджеты:

График сенсора Usergate

Для того, чтобы данные отображались только с определенного шлюза необходимо нажать на шестеренку и выбрать сенсор.

Топ 10 правил фильтрации веб-запросов

Для того, чтобы данные отображались только с определенного шлюза необходимо нажать на шестеренку и сформировать запрос.

Запросы представляют собой SQL-подобную строку запроса, позволяющую ограничить объем информации, используемой при построении виджета. Для формирования запросов используются названия полей, значения полей, ключевые слова и операторы. Подробнее про данные запросы можно найти в админ гайде по LogAn.

Топ 10 приложений

Для того, чтобы данные отображались только с определенного шлюза, необходимо нажать на шестеренку и сформировать запрос.

В результате получается следующий дашборд:

Таким образом можно строить собственные дашборды.

UserGate LogAn журналирует все события, которые происходят во время его работы и работы подключенных к нему серверов, и записывает их в следующие журналы:

Журнал событий – события, связанные с изменением настроек сервера UserGate LogAn, авторизация пользователей, администраторов, обновлений различных списков и т.п.

Журнал веб-доступа – подробный журнал всех веб-запросов, обработанных UserGate LogAn.

Журнал трафика – подробный журнал срабатывания правил межсетевого экрана, NAT, DNAT, Port forwarding, Policy based routing. Для регистрации данных событий необходимо включить журналирование в необходимых правилах межсетевого экрана, NAT, DNAT, Port forwarding, Policy based routing.

Журнал СОВ – события, регистрируемые системой обнаружения и предотвращения событий.

История поиска – поисковые запросы пользователей в популярных поисковых системах.

Функция экспортирования журналов UserGate LogAn позволяет выгружать информацию на внешние серверы для последующего анализа или для обработки в системах SIEM.

Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP проводится по указанному в конфигурации расписанию. Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.

Для отправки журналов необходимо создать конфигурации экспорта журналов в разделе «Экспорт журналов».

Отчеты позволяют администратору предоставлять различные данные о событиях безопасности.

Раздел отчеты состоит из трех подразделов – шаблоны, правила и созданные отчеты.

1. Шаблоны

Шаблон определяет внешний вид и поля, которые будут использоваться в отчете. Шаблоны отчетов предоставляются компанией разработчиком UserGate.

Список возможных шаблонов отчетов, сгруппированных по категориям:

Captive-portal – группа шаблонов по событиям авторизации через Captive-portal.

События – группа шаблонов по событиям, регистрируемым в журнале событий.

СОВ – группа шаблонов по событиям, регистрируемым в журнале СОВ.

Сетевая активность – группа шаблонов по событиям, регистрируемым в журнале трафика.

Веб-портал – группа шаблонов по события, связанными с SSL VPN.

Трафик – группа шаблонов по событиям, регистрируемым в журнале трафика и относящимся к объему потребленного трафика пользователями, приложениями и т.п.

VPN – группа шаблонов по события, связанными с организацией Remote access VPN и Site-to-Site VPN.

Веб-активность – группа шаблонов по событиям, регистрируемым в журнале веб-доступа.

2. Пользовательские шаблоны

Пользователь может создавать собственные шаблоны отчетов. Для создания пользовательского шаблона необходимо в разделе «Отчеты» – «Пользовательские отчеты» нажать «Добавить» и сформировать шаблон.

3. Правила отчетов

Данные правила задают параметры для создаваемых отчетов, а также расписание формирования отчетов и способ доставки.

Рассмотрим пример создания правила:

Язык отчета – русский или английский.

Диапазон – диапазон времени, за который необходимо предоставить отчет.

Формат отчета – формат отчета, в котором будет создаваться файл.

В разделе «Пользователи» можно выбрать пользователей, по которым будет формироваться отчет.

Шаблоны – список шаблонов, которые будут использоваться для построения отчета.

Для того, чтобы запустить правило отчета, необязательно включать его и указывать время запуска правила. В ручном режиме можно запустить любой, в том числе отключенный отчет, для этого в списке правил необходимо выбрать требуемое правило и нажать на кнопку «Запустить сейчас». Готовый отчет после создания будет доступен в разделе «Созданные отчеты».

В разделе «Созданные отчеты» хранятся все полученные отчеты. Отчеты создаются в формате pdf или csv.

Для скачивания отчета необходимо использовать кнопку «Скачать», для удаления – «Удалить».

Usergate Log Analyzer хоть и является дополнительным продуктом, но при этом позволяет реализовывать детальный мониторинг всех инцидентов информационной безопасности и сетевых событий.

Как было рассказано в первой статье данного цикла, планируется дополнить функционал LogAn до полноценного SIEM-решения. На конференции Usergate 27 мая были показаны несколько новых функций. Среди них – реагирование на инциденты. Правила реагирования будут искать события для дальнейшего принятия решений.

Рассмотрев весь функционал Usergate Log Analyzer, можно сказать, что LogAn будет отличным компонентом для построения центра обеспечения безопасности.

Автор статьи: Дмитрий Лебедев, инженер TS Solution.