Logsign Alarm Oluşturma - Switch Konfigurasyon Değişikliği

Bu makalede, Logsign SIEM sistemini kullanılarak, yapımızda bulunan yetkili hesaplarla gerçekleşebilecek Huawei Switch konfigürasyon değişikliği işlemleriyle ilgili alert üretilmesini, bu alertlerin mail ile gönderilmesini nasıl gerçekleştirebileceğimize bakacağız.

Diğer tipteki switchler için, Logsign'da üretilen konfigürasyon değişikliği logları incelenerek ona uygun alert kuralı yazmak gerekecektir.

Eğer belirli sayıda kullanıcılar ile gerçekleştirilen Huawei Switch konfigürasyon değişiklikleri ile ilgili alert üretecek isek "Liste" oluşturmamız gerekir. Bu örneğimizde tüm Switch konfigürasyon değişikliği log kayıtlarını alert olarak almak istediğimizden liste oluşturmayacağız.

 "Alerts" altındaki "Alert Rules" bölümüne girelim ve "New Alert Rule" tıklayarak alert oluşturmaya başlayalım:

Alanları aşağıdaki şekilde dolduruyoruz:

Description: 03_ALERT_Switch_config_changed (Alert ismi belirliyoruz)

Alert Rules:
Event.Note is Configure changed    
EventSource.Category is Switch

Category: TAPDK (Herhangi bir kategori adı veriyoruz. Oluşturduğumuz alertler "TAPDK" grubu altında görüntülenecek)

Severity: Alert  (Bu alert, "Alert" kategorisinde indekslenecek.)

Action Column: Source.IP

Share: Security Admin ( "security admin" grubuna üye olan kullanıcılar bu alerti logsign üzerinde görebilecekler)

Silence Time: 0 saniye ( Logsign tüm alertleri durmaksızın gönderecek)

Silence Columns: Source.IP

Mute: 0 hours ( Alert kuralı sessize alınmamış yani normal şekilde çalışacak.)

When to Perform: Always (Bu alert her zaman çalışacak.)

Index events : Kutu işaretlenmeli (sadece mail atılsın, sistemde tutulmasın istiyorsak işaretlemiyoruz)

Email : Kutu işaretlenmeli

Email users: murat  (Logsign, burada listelenen kullanıcıya mail gönderecek )

(Bu kullanıcılar; Settings--> Delegation --> User Management altında tanımlanmış olmalı.)

Umarım faydalı olmuştur.

Murat TAŞ