Beschreibung:
Ein SIEM-System (Security Information and Event Management) dient dazu, Bedrohungen im Netzwerk in Echtzeit zu erkennen und geeignete Gegenmaßnahmen zu ergreifen. Dazu sammelt das SIEM-System Logs von Netzwerk-Komponenten und wertet diese aus.
In diesem Artikel wird beschrieben, wie ein SIEM-System mit LANCOM R&S®Unified Firewalls in der LMC verwendet werden kann.
Voraussetzungen:
- Ihre LANCOM Unified Firewall muss durch die LMC verwaltet werden
- Die Unified Firewall muss einem Standort zugewiesen sein
- Die Unified Firewall muss die Rolle Gateway haben
- Zugang zur LMC zur Aktualisierung der Unified Firewall und Rollout der Konfiguration
- LCOS FX ab Version 10.13 Rel (download aktuelle Version)
- Bereits konfiguriertes und funktionsfähiges SIEM-System
Die SIEM-Implementierung in der LMC wurde mit den folgenden SIEM-Systemen erfolgreich getestet:
- Microsoft Sentinel
- Splunk
- Enginsight
- Wazuh
- Logpoint
Vorgehensweise:
1. SIEM-Unterstützung in der LMC aktivieren:
Die SIEM-Unterstützung wird auf Ihre Anfrage durch LANCOM Systems in Ihrem LMC-Projekt aktiviert.
Stellen Sie eine Anfrage zur Aktivierung der SIEM-Unterstützung an den LANCOM Support und senden in dieser Ihre Projekt-ID mit.
Die Projekt-ID finden Sie in der LMC in dem Menü Verwaltung → Eigenschaften.
2. IDPS-Meldungen von der Unified Firewall für das SIEM-System bereitstellen:
2.1 Nach der Aktivierung der SIEM-Unterstützung wechselt die Unified Firewall in den Status Nicht aktuell. Rollen Sie die Konfiguration auf die Unified Firewall aus, um IDPS-Meldungen für das SIEM-System bereitzustellen.
Mit Stand Dezember 2024 werden nur IDPS-Meldungen bereitgestellt. In zukünftigen LMC- und LCOS FX-Versionen wird die Unterstützung für weitere Logs implementiert.
2.2 Verbinden Sie sich per WEBconfig-Tunnel in der LMC mit der Unified Firewall und prüfen in dem Menü Monitoring & Statistiken → Einstellungen, ob die zusätzliche Spalte LMC ausgerollt wurde und die Option für die IDPS-Treffer aktiv ist.
3. SIEM-API-Secret in der LMC generieren:
3.1 Wechseln Sie in der LMC in das Menü Projektvorgaben → Externe Dienste → SIEM und klicken auf API Secret Key erstellen.
3.2 Kopieren Sie den Secret Key und speichern diesen gesichert ab. Tragen Sie den Secret Key anschließend in Ihrem SIEM-System ein.
4. Beispiel-Befehle in der SIEM-API:
Die SIEM-API-Dokumentation (swagger) finden Sie unter dem folgenden Link:
Um die SIEM-API verwenden zu können, benötigen Sie die UUID Ihres LMC-Projektes sowie den API Secret Key (siehe Schritt 3).
Wenn Sie in dem LMC-Projekt eingebucht sind, finden Sie die UUID in der Adresszeile des Browsers hinter project/.
DeviceLogs:
Mit dem Endpunkt DeviceLogs können die Geräte-Logs für den angegebenen Account ausgelesen werden.
GET /cloud-service-siem/accounts/<UUID Ihres LMC-Projekts>/logs HTTP/1.1 Host: cloud.lancom.de Authorization: LMC-API-KEY <API Secret Key (siehe Schritt 3)>
curl --request GET \ --url https://cloud.lancom.de/cloud-service-siem/accounts/ea96d5d0-01f6-498a-b9ec-629be24eae9e/logs \ --header 'Authorization: LMC-API-KEY eyJraWQiOiIxIiwidHlwIjoiTE1DLUFQSS1LRVkiLCJhbGciOiJIUzI1NiJ9.3zezFHKzCYJlCgh-3V1KN0yEe8lTUQEE75DXc-Vv2Dc._93wf35NVk8Q6yt7omWzyohTgW58424tQzRFIPgr111' \
{
"startOffset": 10,
"endOffset": 109,
"nextOffset": 110,
"count": 100,
"deviceLogs": [
{
"deviceId": "ea96d5d0-01f6-498a-b9ec-629be24eae9e",
"accountId": "ea96d5d0-01f6-498a-b9ec-629be24eae9e",
"siteId": "ea96d5d0-01f6-498a-b9ec-629be24eae9e",
"messageId": "8bb136e3-0c4e-459e-8cd7-85b8209e2e3b",
"createdAt": "2022-12-21T13:17:40.78731Z",
"receivedAt": "2022-12-21T13:17:40.78731Z",
"rawMessage": "IDPS: Malicious message detected [Classification: ] [Severity: 3] [Signature Id: 5000000] [Action: allowed] [Source: 10.10.10.20:0] [Destination: 8.8.76.5:0]",
"severity": "3",
"additionalProperties": {
"category": "IDPS",
"idps_event_type": "alert",
"signature": "5000000",
"idps_category": "",
"source_ip": "10.10.10.20",
"source_port": "0",
"destination_ip": "8.8.76.5",
"destination_port": "0",
"action": "allowed"
}
}
],
"_links": {
"self": "https://cloud.lancom.de/cloud-service-siem/accounts/ea96d5d0-01f6-498a-b9ec-629be24eae9e/logs?offset=1&limit=100",
"next": "https://cloud.lancom.de/cloud-service-siem/accounts/ea96d5d0-01f6-498a-b9ec-629be24eae9e/logs?offset=101&limit=100"
}
}
Offsets:
Mit dem Endpunkt Offsets wird für den angegebenen Account die Nummer der ersten Log-Datei und der nächsten ungelesenen Log-Datei sowie das Offset-Limit ausgegeben.
GET /cloud-service-siem/accounts/<UUID Ihres LMC-Projekts>/offsets HTTP/1.1 Host: cloud.lancom.de Authorization: LMC-API-KEY <API Secret Key (siehe Schritt 3)>
curl --request GET \ --url https://cloud.lancom.de/cloud-service-siem/accounts/30995a43-3705-439a-9c2c-da1331bb5106/offsets \ --header 'Authorization: LMC-API-KEY eyJraWQiOiIxIiwidHlwIjoiTE1DLUFQSS1LRVkiLCJhbGciOiJIUzI1NiJ9.3zezFHKzCYJlCgh-3V1KN0yEe8lTUQEE75DXc-Vv2Dc._93wf35NVk8Q6yt7omWzyohTgW58424tQzRFIP11111' \
{
"startMinOffset": 0,
"nextUnreadOffset": 99,
"endMaxOffset": 100
}
