Come inviare log a NetEye da un server in cloud

Posted by on giu 6, 2017 in Garante della Privacy, NetEye, Syslog | 0 comments

LogManagement_03

Mantenere una copia offline dei log non solo offre una maggiore visibilità da una prospettiva di gestione dei sistemi, ma può rivelarsi anche prezioso dopo un incidente di sicurezza nel caso in cui le copie locali dei file di log siano state danneggiate.

Come saprete, il modulo LogManager di NetEye offre una soluzione completa per la gestione dei log in linea con le richieste del Garante della Privacy e ne permette la gestione centralizzata (vedi anche i nostri articoli “Archiviazione dei log e poi?“ e “NetEye Log Management sul blog ufficiale di Elastic”).

NetEyeSyslog

Architettura del modulo LogManager:

  • sistema di log auditing e data collection basato su rsyslog;
  • agent (Safed) per l’invio dei log tramite protocollo syslog (RFC 3164 – di default configurato per l’invio via TCP su porta 514 a garanzia della corretta ricezione dei log inviati);

Il requisito principale da rispettare in questa architettura è garantire la comunicazione tra gli agenti Safed e NetEye sulla porta 514 TCP.

Durante una recente consulenza presso un nostro cliente ci è stata richiesta la possibilità di raccogliere i log da alcuni sistemi remoti in cloud su cui era disponibile solo un accesso remoto via SSH.
In questo articolo, vedremo come è possibile risolvere questo problema con una soluzione basata su reverse tunnel SSH e Safed su macchine Linux/Unix.

Read More

NetEye: componente essenziale per il Security Operations Center

Posted by on mag 22, 2017 in Garante della Privacy, NetEye | 0 comments

cyber-security-2296269_1280

Durante i miei ultimi progetti ho notato che l’implementazione di un „Security Operations Center“ (SOC) ricopre un ruolo sempre più importante specialmente per i nostri clienti enterprise.

Soprattutto nelle aziende di grandi dimensioni di interesse pubblico, quali banche, fornitori di energia, assicurazioni ecc, il cyberattacco sta acquistando una notevole rilevanza.

Molte aziende si stanno adoperando per prevenire e evitare tali minacce grazie alla realizzazione di un Security Operations Center (Security Operations Center in Wikipedia), il quale ovviamente deve essere adattato alle esigenze individuali per garantire sicurezza ma anche la flessibilità necessaria per poter crescere ed affrontare i cambiamenti del mercato.

La nostra soluzione di Unified Monitoring NetEye supporta l’implementazione di un SOC nelle seguenti aree:

Read More

Logstash: filtraggio delle date

Posted by on nov 25, 2016 in Garante della Privacy, NetEye | 0 comments

date

Qualche tempo fa pubblicai un articolo sull’utilizzo del NetEye Log Management per la visualizzazione delle notifiche SMS. Ora, in base all’esperienza acquisita, ho scoperto che ciò che scrissi non era totalmente corretto. Infatti le funzioni di time/date per i filtri Logstash sono leggermente più complicate di ciò che possono sembrare inizialmente. In particolare, la data era scritta nel protocollo SMS nel seguente modo:

June 29th 2016, 10:30:22 CEST 2016

E avevamo utilizzato questo filtro per convertirla:

date {
          locale = "en"
          match  = [ "sms_timestamp_text", "EEE MMM dd HH:mm:ss" ]
      }

Col passare del tempo (alcuni giorni dopo l’inizio del mese successivo) abbiamo scoperto però che la data nei primi giorni del mese veniva visualizzata nel seguente modo:

July  1th 2016, 10:30:22 CEST 2016

Poiché utilizziamo un timezone testuale, abbiamo infatti constatato che i filtri applicati sulla data non lo supportano. Nel primo draft abbiamo utilizzato questa regola per riuscire ad eseguire il parse dell’sms_timestamp_text:

Read More

Ulitizzo del NetEye Log Management per la visualizzazione delle notifiche SMS

Posted by on lug 5, 2016 in Garante della Privacy, NetEye | 0 comments

A volte il numero di SMS inviati dal server NetEye e l’informazione a chi sono stati inviati non è comprensibile. Per visualizzare queste informazioni una possibilità può esser l’inoltro del file sms-send-protocol al Log Management e di includerlo nel indice elasticsearch. Poi potete creare una dashboard in Kibana per illustrare l’utilizzo del vostro modem SMS. Ad esempio:

SMS-Protocol-Kibana4

Come realizzare ciò?

Read More

Ottimizzazione dello spazio su disco per l’indicizzazione del Log Management di NetEye

Posted by on apr 29, 2016 in Garante della Privacy, NetEye | 0 comments

Disk Space 1

Come sapete, dalla versione 3.6 abbiamo integrato Elastic Stack (composto da Elasticsearch, Logstash e Kibana) al Log Management di NetEye.

L’integrazione offre numerose funzionalità come l’analisi dei log, la loro correlazione e la creazione di dashboard personalizzabili. Inoltre, rispetto alle precedenti versioni di NetEye ora è possibile archiviare i logs raccolti per periodi temporali diversi.

Il Log Management di NetEye riceve tutti i logs generati all’interno della propria azienda (Windows Eventlog, Linux Syslogs, Firewall Access logs, VPN logs, etc.). Con la possibilità di filtraggio, Logstash indicizza tutti i dati e li scrive all’interno di un Index Database in Elasticsearch.

Ora provate ad immaginare cosa implica raccogliere i log da 95 sistemi diversi che generano in media circa 1000 eventi al secondo con dei picchi che raggiungono i 3000 eventi. Questi sistemi producono giornalmente almeno 90 GByte di dati indicizzati salvati sul disco. Mi sembra ovvia quindi l’importanza di ottimizzare lo spazio su disco.

Read More

NetEye Log Management sul blog ufficiale di Elastic

Posted by on gen 29, 2016 in Garante della Privacy, NetEye | 0 comments

NetEye Elastic Story

Grazie all’integrazione di Elastic Stack all’interno del Log Management in NetEye, siamo riusciti a creare una stretta collaborazione con Elasticsearch BV. Oggi siamo orgogliosi di annunciare che l’intera storia che spiega le principali motivazioni della nostra scelta e dello sviluppo del Log Management in NetEye è stata pubblicata sul blog ufficiale di Elastic.

Il nostro business unit manager Georg Kostner, ha descritto i principali requisiti del mercato, che ci hanno indirizzato a sviluppare tale soluzione e come essa si sia evoluta nel corso degli anni.
Se desiderate avere maggiori dettagli sul ruolo di Elasticsearch, Logstash e Kibana (Elastic Stack) e scoprire quali saranno gli sviluppi futuri potete leggere l’intero articolo pubblicato sul blog di Elastic.

Read More