Merhaba
SIEM yazılımları içerisinde Türk yazılımı olması ve standartları karşılaması nedeniyle piyasa bilinirliği iyice artan Logsign yazılımının Sophos firması tarafından satın alınan Cyberoam cihazlarıyla entegre edilerek loğların Logsign’a aktarılmasını göstermeye çalışacağım.
Öncelikle Logsign ile ilgili olarak yapılan bir ankete dayanarak Log yönetimi yapanların %16 sının Logsign yazılımını kullandıklarını belirtmekte fayda var ( İlgili anket linki https://www.bgasecurity.com/2017/02/siem-urunleri-arastirma-anketi-sonuclari/ ) . Bunun bir nedeni de sanırım 3 kaynağa kadar ücretsiz kullanım izni verdikleri Logsign Focus diye düşünüyorum.
Yapılacak olan işlem kısaca firewall tarafında syslog sunucunun yani LogSign’ın ip adresinin girilmesi ve gönderilecek loğların belirlenmesi, LogSign sunucuda da hangi ipden hangi türde log geleceğinin belirlenmesi şeklinde olacaktır.
Entegrasyon işleminde öncelikle firewall arayüzüne girilip soldaki menüde en alt kısımda bulunan Logs&Reports altındaki Configuration seçilir.
Syslog Servers kısmında gerekli alanlar doldurularak OK ile firewall ın loğları göndereceği LogSign sunucumuz belirlenir.
Log Settings tabında gönderilecek olan loğlar belirlenir ve en alttaki Apply ile ekleme işlemi tamamlanır.
Logsign’a login oluyor ve menüden en alltaki Settigns’ e tıklayıp gelen ekranda Add New Source’a basıyoruz.
LogSign her bir log kaynağı için ayrı birer ayrıştırıcı-parser hazırladığı için buradan cihaz/yazılımı seçmek daha kolay oluyor.
Öncelikle biz loğları syslog olarak yolladığımız için syslog u seçiyoruz.
Ardından Vendor olarak Cyberoam’ ı seçiyoruz.
Yeni gelecek ekrandaki kısmı aşağıdaki gibi dolduruyoruz. Burada Ip kısmına firewallın ip adresini, Offset kısmına firewalldan gelen log saati ile log yazılımının arasında saat farkı varsa kapatmak için + veya – zaman dilimi yazılarak gelen log ile cihazın logu okuduğu zaman dilimi eşitlenerek yorumlayacak kişinin de doğru aralığa bakması sağlanır. Örneğin arada 1 saat zaman farkı varsa gece 00:15 logunu aradığınızda burada gerekli düzenleme yoksa acemi biri ya da dikkatsiz bir kullanıcı yanlış zaman diliminde log aramak zorunda kalır. Syslog facility kısmına dikkat ederseniz firewallda tanımlama yaparken Facility kısmında Daemon yazdığını hatırlayacaksınızdır. Şayet bu ikisi yanlışsa loğlar sağlıklı olarak ekrana gelmeyebilir. Check health kısmının işaretli olması ve bize belirtilen süre sonunda sistemin log alıp almadığını gösterir. Bu özelliği kullanmak istiyorsanız Setting altında Genetal Settings kısmında Health Check Notifications altında Log Source Status kısmında mail ve sms kısımların dolu olması gerekir. Bu aşamada gelen log kaynağı ekleme işlemi anlatılmaya çalışıldığından bu ayarlara girilmeyecektir. Description ve Tag kısmında bu kaynağa ilişkin herhangi bir şey yazabilirsiniz. Örneğin bizim 10 tane firewall kaynağımız olsaydı Description kısmına Firewall1 Tag kısmına da Firewall yazsaydık ilgili kaynağın Firewall grubundaki 1. Firewall olduğunu anlayabilirdik. Save ile log kaynağını kaydetme işlemini tamamlıyoruz.
Ayarlarımız doğruysa yaklaşık bir dakika içinde kaynağımızdan veri gelmeye başlayacaktır. Bunu Search kısmında rahatlıkla görebiliriz. Şayet herhangi bir log gelmediyse öncelikli olarak Settings kısmında log kaynağımızı editliyoruz.
Ardından Parser Fallback kısmında Cyberoam’ı altta açılan sekmede de Firewall’ı seçerek Save e basıyoruz. Loglarımız gelmeye başlayacaktır.
Güncel konu için teşekkürler Yavuz Hocam, ellerine sağlık.
Elinize sağlık 🙂
ellerine sağlık.
Güzel konu. Elinize Sağlık.