Czym jest SolarWinds Security Event Manager?
SolarWinds Security Event Manager to SIEM (skrót od angielskiego Security Information and Event Management), czyli oprogramowanie służące przede wszystkim do monitorowania i analizowania ruchu sieciowego. SIEM jest bardzo ważny dla organizacji, ponieważ pozwala na zbieranie w jedno miejsce informacji o zdarzeniach w sieci, dzięki czemu reagowanie na ewentualne incydenty jest znacznie ułatwione. Kolejną ważną rolą SIEM jest generowanie alarmów i powiadomień.
Według różnych rankingów SolarWinds SEM jest jednym z najlepszych SIEM na rynku, o czym możesz przekonać się tutaj lub tutaj.
Czy SolarWinds Security Event Manager jest darmowy?
Nie, pełna wersja SolarWinds SEM nie jest darmowa. Można jednak go wypróbować przez 30 dni z wykorzystaniem Microsoft Hyper-V, Microsoft Azure, VMware vSphere lub skorzystać z interaktywnej wersji demo.
Wybór odpowiedniej licencji powinien być dostosowany do potrzeb organizacji. Możliwość wygenerowania zapytania odnośnie licencji jest dostępna tutaj.
Instalacja SolarWinds SEM
Po wybraniu odpowiedniego rodzaju oprogramowania dla swojej organizacji można przejść do instalacji. Zgodnie z moimi preferencjami wybrałem trzydziestodniową wersję próbną wraz z instalacją na Hyper-V (wirtualizacja wbudowana w systemy z rodziny Windows).
Po wybraniu wersji testowej zostajemy przekierowani do strony, na której należy wpisać lub wybrać:
- Imię
- Nazwisko
- Służbowy/firmowy adres e-mail
- Nazwę firmy
- Kraj
- Służbowy/firmowy numer telefonu
Naciskając Proceed to free download zgadzamy się z polityką prywatności dostawcy oprogramowania i przechodzimy do wyboru platformy, na jakiej chcemy zainstalować SolarWinds SEM.
Zgodnie z wyborem pożądanego środowiska pora zadecydować, jaką wersję oprogramowania chcemy pobrać. W moim przypadku było to wspomniane Hyper-V.
Po naciśnięciu Download now zacznie się pobieranie programu.
Następnie, instalator spyta o możliwość utworzenia folderu na pulpicie zawierającego pliki wymagane do instalacji. Ważne – w miejscu wypakowania musi być minimum 7GB wolnego miejsca.
Po naciśnięciu Tak na pulpicie tworzy się folder o następującej zawartości:
Plik SEM-Getting-Started-Guide.pdf zawiera podstawowe informacje, które pomagają w korzystaniu z SolarWinds Security Event Manager, dlatego warto się z nim zapoznać. Plik wykonywalny (.exe) to węzeł (node), którym zajmiemy się później. Katalog o nazwie identycznej do instalowanego programu zawiera obraz maszyny wirtualnej i obrazy dysków, który jest niezbędny do instalacji. W katalogu hyperv_html znajduje się plik install_now.hta, który należy otworzyć – jest to instrukcja instalacji w języku angielskim.
Po otwarciu wspomnianego pliku naszym oczom ukaże się wspomniana instrukcja.
Zgodnie z instrukcją przechodzę do Hyper-V. Aby jednak to zrobić, trzeba je najpierw aktywować w systemie.
Aktywacja Hyper-V
Hyper-V nie jest domyślnie włączone w systemie. Aby to zrobić, wejdź w Panel Sterowania, a następnie wybierz Programy i funkcje.
Kolejnym krokiem jest wybranie opcji Włącz lub wyłącz funkcje systemu Windows.
Wśród wielu funkcji wybierz Hyper-V i aktywuj je poprzez kliknięcie w okienko obok. Włączenie i wdrożenie w życie tej funkcji może wymagać restartu komputera.
SolarWinds Security Event Manager – Import maszyny wirtualnej
Aby zaimportować maszynę wirtualną, w Menadżerze funkcji Hyper-V należy użyć opcji Importuj maszynę wirtualną…
Zgodnie z instrukcją, ścieżka do wpisania wygląda następująco:
%USERPROFILE%\Desktop\SolarWinds Security Event Manager
A następnie wybrać folder Virtual Machines 2012 R2+.
Teraz powinniśmy widzieć jedną maszynę wirtualną do zaimportowania:
W oknie Wybieranie typu importu wybierz stworzenie maszyny wirtualnej poprzez kopiowanie. Będąc w zakładce Podsumowanie wystarczy wcisnąć Zakończ, aby dokończyć importowanie. Przedtem warto przeanalizować, czy wybrane opcje są przez nas pożądane, np. czy ścieżka folderu docelowego wirtualnego dysku twardego jest odpowiednia – niekoniecznie musi to być dysk systemowy (tzw. dysk C).
Po zaimportowaniu maszyny wirtualnej powinna być ona widoczna w Menadżerze funkcji Hyper-V.
Teraz możemy przetestować poprawność zaimportowania. Wybierz opcję Akcja z menu, a następnie Połącz…
Jeżeli import jest poprawny, po chwili pokaże się ekran logowania. Używa on nietypowych danych logowania – login to cmc, zaś hasło to klasyczne password.
Po zalogowaniu zostaniemy poproszeni o ustawienie odpowiedniej strefy czasowej, zgodnej z naszą lokalizacją. Podczas pierwszego logowania możemy również zostać poproszeni o ustanowienie nowego, silnego hasła.
Po skonfigurowaniu powyższych parametrów możemy zobaczyć, czy nasz SIEM działa.
Jak widać – działa, lecz wymaga od nas konfiguracji jego karty sieciowej.
SolarWinds Security Event Manager – Konfiguracja sieciowa w Hyper-V
Aby SolarWinds Security Event Manager działał prawidłowo, należy skonfigurować go zgodnie z naszym zapotrzebowaniem. Na moje lokalne potrzeby, SolarWinds SEM działało w oparciu o sieć wewnętrzną.
Poniżej zaprezentuje jak skonfigurować SolarWinds SEM do działania w sieci wewnętrznej wraz z omówieniem błędów w konfiguracji.
Pierwszym krokiem jest stworzenie wirtualnego switcha, dzięki któremu Hyper-V będzie mogło komunikować się z innymi urządzeniami. Aby to zrobić, należy z menu Akcje po prawej stronie wybrać opcję Menedżer przełącznika wirtualnego…
Następnie należy wybrać przełącznik wirtualny, który będzie odpowiadał naszym potrzebom. Testowo wybrałem opcję Wewnętrzna.
Następnie, ponownie w menu Akcja należy wybrać Ustawienia…
Do działania konieczne jest dodanie karty sieciowej. Dokonuje się tego poprzez naciśnięcie Dodaj sprzęt, a następnie wybranie opcji Karta sieciowa.
Po wybraniu w menu po lewej stronie dodanej uprzednio karty sieciowej możemy określić dla niego przełącznik (switch), dzięki któremu będzie mógł działać. Aby mieć pewność co do konfiguracji wybierz switch, który został stworzony ręcznie – domyślnie ma nazwę Nowy przełącznik wirtualny.
Teraz pora na skonfigurowanie karty sieciowej. Aby mieć pewność co do poprawnego działania, należy ustawić jej statyczny adres MAC. Po naciśnięciu na plus obok nazwy wirtualnej karty sieciowej wybierz Funkcje zaawansowane, a następnie zaznacz Statyczny dla adresów MAC.
Bardzo ważna kwestia – jeżeli przełącznik wirtualny będzie widoczny wśród kart sieciowych koniecznie nadaj mu inny adres IP, niż planujesz nadać SolarWinds Security Event Manager. Jeśli nadasz mu identyczny adres IP, wtedy SolarWinds SEM nie będzie widoczny w sieci. Niestety przez pomyłkę przetestowałem to na własnej skórze.
Jeśli dostrzeżesz kartę sieciową, która odpowiada tej stworzonej uprzednio dla maszyny wirtualnej nadaj jej adres IP, który nadasz również maszynie wirtualnej. Kartę rozpoznasz po opisie wskazującym na Hyper-V.
SolarWinds Security Event Manager – Konfiguracja sieciowa maszyny wirtualnej
Aby przejść do konfiguracji sieciowej maszyny wirtualnej wystarczy zalogować się na wcześniej wspomniane konto cmc i użyć polecenia appliance.
Jeżeli domyślne hasło jest nadal używane, SolarWinds SEM poprosi nas o ustawienie silnego hasła.
Po wpisaniu tego polecenia na ekranie ukaże się wiele poleceń, które mogą zostać użyte. Aby nadać SolarWinds Security Event Managerowi adres IP wraz z maską, adres bramy i ewentualnie domenę, należy użyć polecenia netconfig. Jeżeli chcesz skorzystać z adresów przyznawanych przez DHCP na pierwsze pytanie odpowiedz DHCP, jeśli ze statycznych – odpowiedz static.
Ważne – zależnie od wybranej konfiguracji wirtualnego switcha dobierz odpowiednią bramę. W niektórych przypadkach może być nią np. urządzenie, które jest hostem maszyny wirtualnej.
Po zatwierdzeniu wpisanych danych i ponownym uruchomieniu maszyny wirtualnej na ekranie pokaże się ekran widoczny przy pierwszym uruchomieniu, lecz uzupełniony o prawidłowe dane – w moim przypadku adres IP 192.168.25.139.
SolarWinds Security Event Manager – Pierwsze uruchomienie panelu zarządzania w przeglądarce
Jeżeli mamy już działający pod prawidłowym adresem IP SolarWinds Security Event Manager pora na sprawdzenie tego, czy SIEM działa prawidłowo. W tym celu wpisz w pasku adresu IP SolarWinds SEM lub https://swi-sem/.
W moim przypadku wpisałem https://192.168.25.139, zgodnie z konfiguracją. Po wpisaniu tego adresu pokazał się panel logowania.
Domyślne dane logowania to login admin i hasło password. Po zalogowaniu zostaniemy poproszeni o zaakceptowanie licencji, a następnie utworzenie nowego hasła – pozostawienie domyślnych danych logowania to strzał w stopę.
Następnie zostaniemy poproszeni o wpisanie adresu e-mail.
Teraz naszym oczom ukaże się możliwość skorzystania z przewodnika po programie lub pominięcia tej opcji.
Po przejściu poradnika lub wybraniu drugiej opcji widzimy panel główny, który pokazuje zebrane dane w domyślnej konfiguracji. Kolejnym krokiem jest dodanie węzłów (node), aby SIEM mógł zbierać dane.
Dodawanie węzłów (node) do SolarWinds Security Event System
SolarWinds SEM pozwala na dodanie wielu węzłów różnego rodzaju. Przede wszystkim można do niego dodać urządzenia, które pracują na Windowsie, Linuksie czy Mac OS. Szczegóły odnośnie możliwych źródeł zbierania danych dostępne są tutaj i tutaj.
Zaprezentuję w jaki sposób zainstalować oprogramowanie do raportowania o zdarzeniach dla SIEM zarówno na Windowsie, jak i na Linuksie.
Aby pobrać odpowiedni plik, należy wybrać opcję Configure, a następnie Nodes. Na panelu poniżej wystarczy kliknąć Add agent node i pobrać oprogramowanie zgodnie z systemem docelowym.
Instalacja SEM Reporting Software na Windowsie
Po wybraniu opcji Windows Agent Installer zostanie pobrany poniższy plik:
Rozpakuj plik w wybranym przez siebie miejscu. Po wypakowaniu archiwum na dysku będzie znajdował się plik wykonywalny (.exe), który należy uruchomić.
Po uruchomieniu naszym oczom ukaże się intuicyjny instalator. Podczas instalacji możemy zdefiniować lokalizację plików, jak i doinstalować kontrolowanie portów USB.
W końcowym etapie instalacji mamy możliwość analizowania logów w czasie rzeczywistym. Po instalacji zostanie wyświetlona ścieżka, którą wcześniej wybraliśmy podczas instalacji oprogramowania.
Działający agent SEM nie zużywa wielu zasobów, dzięki czemu nie spowalnia pracy systemu.
Instalacja SEM Reporting Software na Linuksie
Agent SolarWinds Security Event Manager może z powodzeniem działać na systemach opartych na Linuksie. Pobieranie tego oprogramowania może być zrealizowane na dwa sposoby. Jednym z nich jest ściągnięcie agenta z wcześniej wspomnianego menu z zakładce Configure -> Nodes, a następnie wybranie opcji Add agents nodes i Linux Agent Installer.
Drugą opcją jest instalacja za pomocą terminala. Aby tego dokonać, wystarczy użyć polecenia:
wget https://downloads.solarwinds.com/solarwinds/Release/SEM/SolarWinds-SEM-Agent-LinuxInstaller.bin
Po pobraniu oprogramowania do raportowania, możemy uruchomić instalator. Aby to zrobić, użyj poleceń:
chmod a+x SolarWinds-SEM-Agent-LinuxInstaller.bin
./SolarWinds-SEM-Agent-LinuxInstaller.bin
Po wpisaniu powyższych poleceń na ekranie ukaże się identyczny instalator, co w wersji windowsowej. Po pomyślnym zainstalowaniu oprogramowanie będzie znajdowało się w katalogu wskazanym podczas instalacji.
Zbieranie danych z agentów (węzłów)
Po zainstalowaniu i uruchomieniu agenta powinien być widoczny w zakładce Nodes. W moim przypadku był to agent o nazwie arklim-pc.
Po chwili powinniśmy zebrać dane z naszego agenta. Po lewej stronie będzie widoczny nasz agent wraz z czasem od wystąpienia ostatniego wydarzenia.
Konfigurowanie reguł
SolarWinds Security Event Manager pozwala na skonfigurowanie reguł dotyczących zdarzeń i powiadomień, które są odnotowywane przez SIEM. Zarządzanie nimi dostępne jest w zakładce Rules. Aby dodać nową regułę, naciśnij niebieski przycisk z napisem Create rule.
Teraz można przejść do definiowania reguł. Tworzy się je poprzez określenie danego działania dla danego wydarzenia (eventu). Lista dostępnych działań dostępna jest tutaj.
Przykładowo – stworzę regułę, która ma na celu wykrywanie i odpinanie wszystkich nieautoryzowanych urządzeń, które są podpinane do portu USB. Nadałem jej kreatywną nazwę odepnij USB. Zgodnie z wyborem działania w oknie Select action type, reguła odłącza urządzenia USB.
Zobaczmy, czy reguła działa w praktyce. W tym celu podpiąłem pendrive do portu USB komputera, na którym został uruchomiony agent.
Jak widać, zakładka Rule Activity zawiera 11 wpisów, które dotyczą reguły odepnij USB.
Po kilku godzinach działania widać jak dużo informacji zbiera SolarWinds SEM. Oczywiście nie wszystkie są przydatne dla zabezpieczenia sieci, dlatego tworzenie reguł jest bardzo ważne.
Podsumowanie
SolarWinds Security Event Manager to oprogramowanie, które pozwala na nadzorowanie tego, jak zachowują się urządzenia w sieci. Na pewno warto rozważyć użycie tego oprogramowania jako SIEM dla naszej organizacji. Możliwość tworzenia własnych reguł to jedna z wielu zalet, która poprawia naszą świadomość odnośnie zdarzeń w sieci. SolarWinds SEM to bardzo rozbudowane narzędzie, dlatego polecam również zapoznać się z nim we własnym zakresie.
Pisał dla Was Oskar Klimczuk.
