Integrace s Flowmon / Integration with Flowmon

Integrace s Flowmon / Integration with Flowmon

Zdravím Vás,

Asi znáte, ale preventivně, kdo je kdo:

Flowmon monitoruje síťový provoz a dokáže vyhodnotit, zda v něm nedochází k anomáliím či útokům. Také dokáže sledovat, jak fungují používané aplikace (včetně cloudových), jak se chovají uživatelé v síti, servery a jejich služby apod. či zda se jejich chování nějakým způsobem nezměnilo – a upozorní administrátora. Pro útočníka znamená nasazení Flowmonu v síti velkou překážku, jelikož je z pohledu provozu v síti neviditelný, a útočník jej tak nedokáže odhalit a ovlivnit záznamy.

LOGmanager se naopak soustředí na informace, které získává z jednotlivých zařízení komunikujících v síti. Dokáže tak upozornit na nestandardní chování uživatelů (včetně pokusu o zcizení dat) a dává možnost identifikovat i provozní stavy koncových zařízení. Zjednodušeně lze říci, že pošle-li zařízení či jakýkoliv zdroj v síti informaci o události, LOGmanager ji detailně zpracuje,  dlouhodobě uloží, umožní její snadnou interpretaci, provázání s daty jiných systému a zamezí jakékoliv možné manipulaci s jejím obsahem.

Z tohoto stručného popisu je zřejmé, že obě řešení mají v organizaci své místo a proto dává smysl je vzájemně integrovat.

Níže jsou v bodech stávající možnosti integrace, které náš integrační návod přináší:

  1. Sběr, dlouhodobé uchování a viditelnost do logů Flowmon v LOGmanageru – Defaultní integrace, kde dle návodu v dokumentaci LOGmanager lze snadno nastavit odesílání logů z Flowmon do LOGmanageru. Díky vestavěné klasifikaci není třeba žádných konfiguračních změn na straně LOGmanageru k důkladnému zpracování a detailní vizualizaci Flowmon dat v perspektivě ostatních síťových a bezpečnostních řešení organizace.
  2. Obohacení logů Flowmon zpracovaných na straně LOGmanageru o dodatečná metadata – součástí LOGmanager  vestavěných upozornění je i vzorové upozornění nazvané „Flowmon_log_enhancement“. Tento „alert“ po aktivaci provádí doplnění metadat v LOGmanageru o URL link směřující na detail události do Flowmon GUI. Proklikem v rozhraní LOGmanageru je tak uživatel přímo přesměrován do konzole Flowmon s popisem daného incidentu.
  3. Doplnění uživatelské identity z Microsoft AD do prostředí Flowmon – Flowmon umožňuje prostřednictvím vlastního  syslog kolektoru přijímat data pro obohacení událostí o identitu uživatelů. Přesněji řečeno – kým byla ve chvíli vzniku události dle MS AD používaná daná IP adresa). LOGmanager tyto informace již získává v rámci sběru všech auditní politikou AD definovaných logů vlastním Agentem (LOGmanager WES). Tyto logy zpracovává a na základě jednoduchého alertu umožní logy ve strukturovaném formátu předat do Flowmon, který je použije pro další obohacení vlastních dat.

Hi Folks,

Expect You know Flowmon and LOGmanager. Just to make sure, here is very brief non-authorized summary:

Flowmon is focused on a network traffic and evaluates it for anomalies or attacks. Flowmon tracks how applications (including cloud), servers and users are doing in the network and whether their behaviour has changed – and notifies the administrator of possible misconduct. For an attacker, Flowmon deployed on a network is a major hurdle, because it is invisible to network traffic and cannot be easily avoided.

LOGmanager on the other hand, focuses on the information it obtains from individual devices communicating in the network. It can draw attention to possible security incidents (such as multiple failed logon attempts) and gives the opportunity to identify the operating states of end devices. Simply put, if a device or any source on the network sends information about an event, LOGmanager processes it in detail, stores it for a long time, allows it to be easily interpreted, links it to data from other systems and prevents any possible manipulation of its contents.

From this brief description, it is clear that both solutions have their place in the organization and therefore makes sense to integrate them with each other.

Below are the existing integration options, currently included in our integration guide:

  1. Collection, long-term storage and visibility into Flowmon logs in LOGmanager – Default integration where logs from Flowmon are being sent to LOGmanager. This type of integration allows thorough processing and detailed visualization of Flowmon data in the perspective of other network and security solutions of the organization. It is easy to setup according to the instructions in the LOGmanager documentation and thanks to the built-in classification, no configuration changes are required on LOGmanager side.
  2. Enrichment of Flowmon logs processed on the LOGmanager side with additional metadata – The built-in alerts in LOGmanager includes a sample called „Flowmon_log_enhancement“. After activation it adds a new field in logs received from Flowmon, with URL link pointing to the detail of the event in the Flowmon GUI. By clicking the newly created link in the LOGmanager
    interface the user is redirected to the Flowmon console.
  3. Adding a user identity from Microsoft AD to the Flowmon environment – Flowmon can receive data through its own syslog collector to enrich data it collects. More precisely – who was using given IP address, at the time of the event according to MS AD. LOGmanager obtains this information as part of the standard collection of AD logs by WES agent (LOGmanager Windows Event Sender). LM processes these logs and based on a simple logic, allows them to be passed in a structured format to Flowmon, where they are being used to enrich data.

logo
© 2021 Sirwisa a. s. Všechna práva vyhrazena.