Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 21 Nächste Version anzeigen »


Beschreibung:

SIEM (Security Information and Event Management) dient dazu, Bedrohungen im Netzwerk in Echtzeit zu erkennen und geeignete Gegenmaßnahmen zu ergreifen. Dazu sammelt das SIEM-System Logs von Netzwerk-Komponenten und wertet diese aus.

In diesem Artikel wird beschrieben, wie SIEM mit LANCOM R&S®Unified Firewalls in der LMC verwendet werden kann.

Voraussetzungen:

  • Ihre LANCOM Unified Firewall muss durch die LMC verwaltet werden
    • Die Unified Firewall muss einem Standort zugewiesen sein
    • Die Unified Firewall muss die Rolle Gateway haben
  • Zugang zur LMC zur Aktualisierung der Unified Firewall und Rollout der Konfiguration
  • LCOS FX ab Version 10.13 Rel (download aktuelle Version)
  • Bereits konfiguriertes und funktionsfähiges SIEM-System

Vorgehensweise:

1. SIEM-Unterstützung in der LMC aktivieren:

Die SIEM-Unterstützung wird auf Ihre Anfrage durch LANCOM Systems in Ihrem LMC-Projekt aktiviert. 

 Stellen Sie eine Anfrage zur Aktivierung der SIEM-Unterstützung an den LANCOM Support und senden in dieser Ihre Projekt-ID mit.

Die Projekt-ID finden Sie in der LMC in dem Menü Verwaltung → Eigenschaften.



2. IDPS-Meldungen von der Unified Firewall für das SIEM-System bereitstellen:

2.1 Nach der Aktivierung der SIEM-Unterstützung wechselt die Unified Firewall in den Status Nicht aktuell. Rollen Sie die Konfiguration auf die Unified Firewall aus, um IDPS-Meldungen für das SIEM-System bereitzustellen.

Mit Stand Dezember 2024 werden nur IDPS-Meldungen bereitgestellt. In zukünftigen LMC- und LCOS FX-Versionen wird die Unterstützung für weitere Logs implementiert.

2.2 Verbinden Sie sich per WEBconfig-Tunnel in der LMC mit der Unified Firewall und prüfen in dem Menü Monitoring & Statistiken → Einstellungen, ob die zusätzliche Spalte LMC ausgerollt wurde und die Option für die IDPS-Treffer aktiv ist.



3. SIEM-API-Secret in der LMC generieren:

3.1 Wechseln Sie in der LMC in das Menü Projektvorgaben → Externe Dienste → SIEM und klicken auf API Secret Key erstellen.

3.2 Kopieren Sie den Secret Key und speichern diesen gesichert ab. Tragen Sie den Secret Key anschließend in Ihrem SIEM-System ein.



4. Beispiel-Befehle in der SIEM-API:

Die SIEM-API-Dokumentation finden Sie unter dem folgenden Link:

https://cloud.lancom.de/cloud-service-siem/api-docs/


Um die SIEM-API verwenden zu können, benötigen Sie die UUID Ihres LMC-Projektes sowie den API Secret Key (siehe Schritt 3).

Wenn Sie in dem LMC-Projekt eingebucht sind, finden Sie die UUID in der Adresszeile des Browsers hinter project/.


DeviceLogs:

Mit dem Endpunkt DeviceLogs können die Geräte-Logs für den angegebenen Account ausgelesen werden.

Der Befehl muss im folgenden Format angegeben werden:
curl --request GET \
  --url https://cloud.lancom.de/cloud-service-siem/accounts/<UUID des LMC-Projektes>/logs \
  --header 'Authorization: LMC-API-KEY <API Secret Key aus Schritt 3>' \


Beispielanfrage (ohne gültige Account-Daten oder Secret Key):
curl --request GET \
  --url https://cloud.lancom.de/cloud-service-siem/accounts/ea96d5d0-01f6-498a-b9ec-629be24eae9e/logs \
  --header 'Authorization: LMC-API-KEY eyJraWQiOiIxIiwidHlwIjoiTE1DLUFQSS1LRVkiLCJhbGciOiJIUzI1NiJ9.3zezFHKzCYJlCgh-3V1KN0yEe8lTUQEE75DXc-Vv2Dc._93wf35NVk8Q6yt7omWzyohTgW58424tQzRFIPgr111' \
Erfolgreiche Ausgabe:
{
  "startOffset": 10,
  "endOffset": 109,
  "nextOffset": 110,
  "count": 100,
  "deviceLogs": [
    {
      "deviceId": "ea96d5d0-01f6-498a-b9ec-629be24eae9e",
      "accountId": "ea96d5d0-01f6-498a-b9ec-629be24eae9e",
      "siteId": "ea96d5d0-01f6-498a-b9ec-629be24eae9e",
      "messageId": "8bb136e3-0c4e-459e-8cd7-85b8209e2e3b",
      "createdAt": "2022-12-21T13:17:40.78731Z",
      "receivedAt": "2022-12-21T13:17:40.78731Z",
      "rawMessage": "IDPS: Malicious message detected [Classification: ] [Severity: 3] [Signature Id: 5000000] [Action: allowed] [Source: 10.10.10.20:0] [Destination: 8.8.76.5:0]",
      "severity": "3",
      "additionalProperties": {
        "category": "IDPS",
        "idps_event_type": "alert",
        "signature": "5000000",
        "idps_category": "",
        "source_ip": "10.10.10.20",
        "source_port": "0",
        "destination_ip": "8.8.76.5",
        "destination_port": "0",
        "action": "allowed"
      }
    }
  ],
  "_links": {
    "self": "https://cloud.lancom.de/cloud-service-siem/accounts/ea96d5d0-01f6-498a-b9ec-629be24eae9e/logs?offset=1&limit=100",
    "next": "https://cloud.lancom.de/cloud-service-siem/accounts/ea96d5d0-01f6-498a-b9ec-629be24eae9e/logs?offset=101&limit=100"
  }
}


Offsets:

Mit dem Endpunkt Offsets wird für den angegebenen Account die Nummer der ersten und der nächsten ungelesenen Log-Datei sowie die Grenze an Log-Dateien ausgegeben.

Der Befehl muss im folgenden Format angegeben werden:
curl --request GET \
--url https://cloud.lancom.de/cloud-service-siem/accounts/<UUID des LMC-Projektes>/offsets \
--header 'Authorization: LMC-API-KEY <API Secret Key aus Schritt 3>' \


Beispielanfrage (ohne gültige Account-Daten oder Secret Key):
curl --request GET \
--url https://cloud.lancom.de/cloud-service-siem/accounts/30995a43-3705-439a-9c2c-da1331bb5106/offsets \
--header 'Authorization: LMC-API-KEY eyJraWQiOiIxIiwidHlwIjoiTE1DLUFQSS1LRVkiLCJhbGciOiJIUzI1NiJ9.3zezFHKzCYJlCgh-3V1KN0yEe8lTUQEE75DXc-Vv2Dc._93wf35NVk8Q6yt7omWzyohTgW58424tQzRFIP11111' \
Erfolgreiche Ausgabe:
{
  "startMinOffset": 0,
  "nextUnreadOffset": 99,
  "endMaxOffset": 100
}


Weitere Artikel zu diesem Thema:

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH