Bu
makalede, Logsign SIEM sistemini kullanılarak, yapımızda bulunan Fortigate Firewall konfigürasyon değişikliği (Rule ekleme, kullanıcı ekleme vs. tüm konfügrasyon değişiklikleri) işlemleriyle ilgili
alert üretilmesini, bu alertlerin mail ile gönderilmesini nasıl
gerçekleştirebileceğimize bakacağız.
Eğer
belirli sayıda kullanıcılar ile
gerçekleştirilen konfigürasyon değişiklikleri ile ilgili alert üretecek isek "Liste"
oluşturmamız gerekir. Bu örneğimizde herhangi bir konfigürasyon değişikliği loguna ait kayıtları alert olarak almak istediğimiz için
liste oluşturmayacağız.
Yapımızdaki Fortigate loglarını incelediğimizde, konfigürasyon değişiklikleri loglarının aşağıdaki özelliklere sahip olduğunu görüyoruz:
EventSource.IP is x.x.x.x (fortigate firewall ip adresi)
Event.Info is Configuration is changed in the admin session
"Alerts" altındaki "Alert Rules" bölümüne girelim ve "New Alert Rule" tıklayarak alert oluşturmaya başlayalım:
Alanları aşağıdaki şekilde dolduruyoruz:
Alert Rules:
EventSource.IP is x.x.x.x (fortigate firewall ip adresini giriyoruz)
Event.Info is Configuration is changed in the admin session
Murat TAŞ
Yapımızdaki Fortigate loglarını incelediğimizde, konfigürasyon değişiklikleri loglarının aşağıdaki özelliklere sahip olduğunu görüyoruz:
EventSource.IP is x.x.x.x (fortigate firewall ip adresi)
Event.Info is Configuration is changed in the admin session
"Alerts" altındaki "Alert Rules" bölümüne girelim ve "New Alert Rule" tıklayarak alert oluşturmaya başlayalım:
Alanları aşağıdaki şekilde dolduruyoruz:
Description: 02_ALERT_Fortigate_firewall_configuration_changed (Alert ismi belirliyoruz)
Alert Rules:
EventSource.IP is x.x.x.x (fortigate firewall ip adresini giriyoruz)
Event.Info is Configuration is changed in the admin session
Category: TAPDK (Herhangi bir kategori adı veriyoruz. Oluşturduğumuz alertler "TAPDK" grubu altında görüntülenecek)
Severity: Alert (Bu alert, "Alert" kategorisinde indekslenecek.)
Action Column: Source.Username
Share: Security Admin ( "security admin" grubuna üye olan kullanıcılar bu alerti logsign üzerinde görebilecekler)
Silence Time:
0 saniye ( Logsign tüm alertleri durmaksızın gönderecek)
Silence Columns: Source.Username
Mute: 0 hours ( Alert kuralı sessize alınmamış yani normal şekilde çalışacak.)
When to Perform: Always (Bu alert her zaman çalışacak.)
Index events : Kutu işaretlenmeli (sadece mail atılsın, sistemde tutulmasın istiyorsak işaretlemiyoruz)
Email : Kutu işaretlenmeli
Email users: murat (Logsign, burada listelenen kullanıcıya mail gönderecek )
(Bu kullanıcılar; Settings-->
Delegation --> User Management altında tanımlanmış olmalı.)
Umarım faydalı olmuştur.
Hiç yorum yok:
Yorum Gönder