Versionen im Vergleich

Alte Version 13

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Seiteneigenschaften


Beschreibung:

Ein SIEM-System (Security Information and Event Management) vereint SIM (Security Information Management) und SEM (Security Event Management) . Ein SIEM-System dient dazu, Bedrohungen im Netzwerk in Echtzeit zu erkennen und geeignete Gegenmaßnahmen zu ergreifen. Dazu sammelt das SIEM-System Logs von Netzwerk-Komponenten und wertet diese aus.

In diesem Artikel wird beschrieben, wie ein SIEM-System mit LANCOM R&S®Unified Firewalls in der LMC verwendet werden kann.

...

  • Ihre LANCOM Unified Firewall muss durch die LMC verwaltet werden
    • Die Unified Firewall muss einem Standort zugewiesen sein
    • Die Unified Firewall muss im Modus Gateway sein die Rolle Gateway haben
  • Zugang zur LMC zur Aktualisierung der Unified Firewall und Rollout der Konfiguration
  • LCOS FX ab Version 10.13 Rel (download aktuelle Version)
  • Bereits konfiguriertes und funktionsfähiges SIEM-System
Info

Die SIEM-Implementierung in der LMC wurde mit den folgenden SIEM-Systemen erfolgreich getestet:

  • Microsoft Sentinel
  • Splunk
  • Enginsight
  • Wazuh
  • Logpoint

Vorgehensweise:

1. SIEM-API Unterstützung in der LMC aktivieren:

Info

Die SIEM-API Unterstützung wird auf Ihre Anfrage durch LANCOM Systems in Ihrem LMC-Projekt aktiviert. 

 Stellen Sie eine Anfrage zur Aktivierung der SIEM-API Unterstützung an den LANCOM Support und senden in dieser Ihre Projekt-ID mit.

Info

Die Projekt-ID finden Sie in der LMC in dem Menü Verwaltung → Eigenschaften.

Projekt-ID in der LMC-Verwaltung auslesenImage Modified



2. Senden der IDPS-Meldungen von der Unified Firewall an für das SIEM-System aktivierenbereitstellen:

2.1 Nach der Aktivierung der SIEM-API Unterstützung wechselt die Unified Firewall in den Status Nicht aktuell.  Rollen Rollen Sie die Konfiguration auf die Unified Firewall aus, um das Senden von IDPS-Meldungen an für das SIEM-System zu aktivierenbereitzustellen.

Info

Mit Stand Dezember 2024 werden nur IDPS-Meldungen versendetbereitgestellt. In zukünftigen LMC- und LCOS FX-Versionen wird die Unterstützung für weitere Logs implementiert.

Unified Firewall im Status Nicht aktuell in der LMCImage Modified

Konfiguration über die LMC auf die Unified Firewall ausrollenImage Modified

2.2 Verbinden Sie sich per WEBconfig-Tunnel in der LMC mit der Unified Firewall und prüfen in dem Menü Monitoring & Statistiken → Einstellungen, ob die zusätzliche Spalte LMC ausgerollt wurde und die Option für die IDPS-Treffer aktiv ist.

Image Added



3. SIEM-API-Secret in der LMC generieren:

3.1 Wechseln Sie in der LMC in das Menü Projektvorgaben → Externe Dienste → SIEM und klicken auf API Secret Key erstellen.

SIEM API Secret in der LMC erstellenImage Modified

3.2 Kopieren Sie den Secret Key und speichern diesen gesichert ab. Tragen Sie den Secret Key anschließend in Ihrem SIEM-System ein.

SIEM API Secret Key kopierenImage Modified



4. Beispiel-Befehle in der SIEM-API:

Info

Die SIEM-API-Dokumentation (swagger) finden Sie unter dem folgenden Link:

https://cloud.lancom.de/cloud-service-siem/api-docs/

...

Codeblock
titleDer Befehl muss im folgenden Format angegeben werden:
curl --request GET \
  --url https://cloud.lancom.de/cloud-service-siem/accounts/<UUID desIhres LMC-Projektes>Projekts>/logs \
  --header 'HTTP/1.1
Host: cloud.lancom.de
Authorization: LMC-API-KEY <API Secret Key aus(siehe Schritt 3>' \3)>


Codeblock
title Beispiel Beispielanfrage zum Testen (ohne gültige Account-Daten oder Secret Key):
curl --request GET \
  --url https://cloud.lancom.de/cloud-service-siem/accounts/ea96d5d0-01f6-498a-b9ec-629be24eae9e/logs \
  --header 'Authorization: LMC-API-KEY eyJraWQiOiIxIiwidHlwIjoiTE1DLUFQSS1LRVkiLCJhbGciOiJIUzI1NiJ9.3zezFHKzCYJlCgh-3V1KN0yEe8lTUQEE75DXc-Vv2Dc._93wf35NVk8Q6yt7omWzyohTgW58424tQzRFIPgr111' \

...

Offsets:

Mit dem Endpunkt Offsets wird für den angegebenen Account die Nummer der ersten Log-Datei und der nächsten ungelesenen Log-Datei sowie das Offset-Limit ausgegeben.

Codeblock
titleDer Befehl muss im folgenden Format angegeben werden:
curl --request GET \
--url https://cloud.lancom.de/cloud-service-siem/accounts/<UUID desIhres LMC-Projektes>Projekts>/offsets \
--header 'HTTP/1.1
Host: cloud.lancom.de
Authorization: LMC-API-KEY <API Secret Key aus(siehe Schritt 3>' \3)>


Codeblock
titleBeispiel Beispielanfrage zum Testen (ohne gültige Account-Daten oder Secret Key):
curl --request GET \
--url https://cloud.lancom.de/cloud-service-siem/accounts/30995a43-3705-439a-9c2c-da1331bb5106/offsets \
--header 'Authorization: LMC-API-KEY eyJraWQiOiIxIiwidHlwIjoiTE1DLUFQSS1LRVkiLCJhbGciOiJIUzI1NiJ9.3zezFHKzCYJlCgh-3V1KN0yEe8lTUQEE75DXc-Vv2Dc._93wf35NVk8Q6yt7omWzyohTgW58424tQzRFIP11111' \

...

Inhalt nach Stichwort
showLabelsfalse
max5
showSpacefalse
sortcreation
titleWeitere Artikel zu diesem Thema:
excludeCurrenttrue
cqllabel = "lancomlmc" and space = "KB"