Beschreibung:
SIEM (Security Information and Event Management) vereint SIM (Security Information Management) und SEM (Security Event Management). Ein SIEM-System dient dazu, Bedrohungen im Netzwerk in Echtzeit zu erkennen und geeignete Gegenmaßnahmen zu ergreifen. Dazu sammelt das System Logs von Netzwerk-Komponenten und wertet diese aus.
In diesem Artikel wird beschrieben, wie SIEM mit LANCOM R&S®Unified Firewalls in der LMC verwendet werden kann.
Voraussetzungen:
- Ihre LANCOM Unified Firewall muss durch die LMC verwaltet werden
- Die Unified Firewall muss einem Standort zugewiesen sein
- Die Unified Firewall muss im Modus Gateway sein
- Zugang zur LMC zur Aktualisierung der Unified Firewall und Rollout der Konfiguration
- LCOS FX ab Version 10.13 Rel (download aktuelle Version)
- Bereits konfiguriertes und funktionsfähiges SIEM-System
Vorgehensweise:
1. SIEM-API in der LMC aktivieren:
Die SIEM-API wird auf Ihre Anfrage durch LANCOM Systems in Ihrem LMC-Projekt aktiviert.
Stellen Sie eine Anfrage zur Aktivierung der SIEM-API an den LANCOM Support und senden in dieser Ihre Projekt-ID mit.
Die Projekt-ID finden Sie in der LMC in dem Menü Verwaltung → Eigenschaften.
2. Senden der IDPS-Meldungen von der Unified Firewall an das SIEM-System aktivieren:
Nach der Aktivierung der SIEM-API wechselt die Unified Firewall in den Status Nicht aktuell. Rollen Sie die Konfiguration auf die Unified Firewall aus, um das Senden von IDPS-Meldungen an das SIEM-System zu aktivieren.
Mit Stand Dezember 2024 werden nur IDPS-Meldungen versendet. In zukünftigen LMC- und LCOS FX-Versionen wird die Unterstützung für weitere Logs implementiert.
3. SIEM-API-Secret in der LMC generieren:
3.1 Wechseln Sie in der LMC in das Menü Projektvorgaben → Externe Dienste → SIEM und klicken auf API Secret Key erstellen.
3.2
