Using SIEM with LANCOM R&S®Unified Firewalls in the LMC (OneLog)

Description:

SIEM (Security Information and Event Management) dient dazu, Bedrohungen im Netzwerk in Echtzeit zu erkennen und geeignete Gegenmaßnahmen zu ergreifen. Dazu sammelt das SIEM-System Logs von Netzwerk-Komponenten und wertet diese aus.

In diesem Artikel wird beschrieben, wie SIEM mit LANCOM R&S®Unified Firewalls in der LMC verwendet werden kann.

Requirements:

Ihre LANCOM Unified Firewall muss durch die LMC verwaltet werden
- Die Unified Firewall muss einem Standort zugewiesen sein
- Die Unified Firewall muss im Modus Gateway sein
Zugang zur LMC zur Aktualisierung der Unified Firewall und Rollout der Konfiguration
LCOS FX ab Version 10.13 Rel (download aktuelle Version)
Bereits konfiguriertes und funktionsfähiges SIEM-System

Procedure:

1) Activate SIEM support in the LMC:

SIEM support is activated in your LMC project by LANCOM Systems at your request.

Send an activation request for SIEM support to LANCOM Support and enclose your Project ID.

You can find the Project ID in the LMC menu Management → Properties.

2) Provide IDPS messages of the Unified Firewall for the SIEM system:

2.1) After activating SIEM support the Unified Firewall changes to the state Nicht aktuell. Roll out the configuration to the Unified Firewall, so that the IDPS alerts are provided.

As of december 2024 only IDPS alerts are provided. Support for additional logs will be added in future LMC and LCOS FX versions.

2.2) Connect to the Unified Firewall via the WEBconfig tunnel in the LMC and check in the menu Monitoring & Statistics → Settings, if the additional column LMC was rolled out and if the option is activate for IDPS Alert.

3) Generate a SIEM API Secret in the LMC:

3.1 Wechseln Sie in der LMC in das Menü Projektvorgaben → Externe Dienste → SIEM und klicken auf API Secret Key erstellen.

3.2 Kopieren Sie den Secret Key und speichern diesen gesichert ab. Tragen Sie den Secret Key anschließend in Ihrem SIEM-System ein.

4. Beispiel-Befehle in der SIEM-API:

Die SIEM-API-Dokumentation finden Sie unter dem folgenden Link:

https://cloud.lancom.de/cloud-service-siem/api-docs/

Um die SIEM-API verwenden zu können, benötigen Sie die UUID Ihres LMC-Projektes sowie den API Secret Key (siehe Schritt 3).

Wenn Sie in dem LMC-Projekt eingebucht sind, finden Sie die UUID in der Adresszeile des Browsers hinter project/.

DeviceLogs:

Mit dem Endpunkt DeviceLogs können die Geräte-Logs für den angegebenen Account ausgelesen werden.

Der Befehl muss im folgenden Format angegeben werden:

curl --request GET \
  --url https://cloud.lancom.de/cloud-service-siem/accounts/<UUID des LMC-Projektes>/logs \
  --header 'Authorization: LMC-API-KEY <API Secret Key aus Schritt 3>' \

Beispielanfrage (ohne gültige Account-Daten oder Secret Key):

curl --request GET \
  --url https://cloud.lancom.de/cloud-service-siem/accounts/ea96d5d0-01f6-498a-b9ec-629be24eae9e/logs \
  --header 'Authorization: LMC-API-KEY eyJraWQiOiIxIiwidHlwIjoiTE1DLUFQSS1LRVkiLCJhbGciOiJIUzI1NiJ9.3zezFHKzCYJlCgh-3V1KN0yEe8lTUQEE75DXc-Vv2Dc._93wf35NVk8Q6yt7omWzyohTgW58424tQzRFIPgr111' \

Erfolgreiche Ausgabe:

{
  "startOffset": 10,
  "endOffset": 109,
  "nextOffset": 110,
  "count": 100,
  "deviceLogs": [
    {
      "deviceId": "ea96d5d0-01f6-498a-b9ec-629be24eae9e",
      "accountId": "ea96d5d0-01f6-498a-b9ec-629be24eae9e",
      "siteId": "ea96d5d0-01f6-498a-b9ec-629be24eae9e",
      "messageId": "8bb136e3-0c4e-459e-8cd7-85b8209e2e3b",
      "createdAt": "2022-12-21T13:17:40.78731Z",
      "receivedAt": "2022-12-21T13:17:40.78731Z",
      "rawMessage": "IDPS: Malicious message detected [Classification: ] [Severity: 3] [Signature Id: 5000000] [Action: allowed] [Source: 10.10.10.20:0] [Destination: 8.8.76.5:0]",
      "severity": "3",
      "additionalProperties": {
        "category": "IDPS",
        "idps_event_type": "alert",
        "signature": "5000000",
        "idps_category": "",
        "source_ip": "10.10.10.20",
        "source_port": "0",
        "destination_ip": "8.8.76.5",
        "destination_port": "0",
        "action": "allowed"
      }
    }
  ],
  "_links": {
    "self": "https://cloud.lancom.de/cloud-service-siem/accounts/ea96d5d0-01f6-498a-b9ec-629be24eae9e/logs?offset=1&limit=100",
    "next": "https://cloud.lancom.de/cloud-service-siem/accounts/ea96d5d0-01f6-498a-b9ec-629be24eae9e/logs?offset=101&limit=100"
  }
}

Offsets:

Mit dem Endpunkt Offsets wird für den angegebenen Account die Nummer der ersten und der nächsten ungelesenen Log-Datei sowie die Grenze an Log-Dateien ausgegeben.

Der Befehl muss im folgenden Format angegeben werden:

curl --request GET \
--url https://cloud.lancom.de/cloud-service-siem/accounts/<UUID des LMC-Projektes>/offsets \
--header 'Authorization: LMC-API-KEY <API Secret Key aus Schritt 3>' \

Beispielanfrage (ohne gültige Account-Daten oder Secret Key):

curl --request GET \
--url https://cloud.lancom.de/cloud-service-siem/accounts/30995a43-3705-439a-9c2c-da1331bb5106/offsets \
--header 'Authorization: LMC-API-KEY eyJraWQiOiIxIiwidHlwIjoiTE1DLUFQSS1LRVkiLCJhbGciOiJIUzI1NiJ9.3zezFHKzCYJlCgh-3V1KN0yEe8lTUQEE75DXc-Vv2Dc._93wf35NVk8Q6yt7omWzyohTgW58424tQzRFIP11111' \

Erfolgreiche Ausgabe:

{
  "startMinOffset": 0,
  "nextUnreadOffset": 99,
  "endMaxOffset": 100
}

Seitenhierarchie

Description:

Requirements:

Procedure:

Weitere Artikel zu diesem Thema:

Service & Support

Links