In diesem Artikel erfahren Sie, wie Sie mit Qumulo Audit Ereignisse an Azure Monitor weiterleiten und Azure Log Analytics abfragen, um Ihre Daten zu sichern.
Malware-Angriffe nehmen in Qualität und Quantität zu, infizieren Hunderttausende von IT-Systemen und richten bei allen Arten von Unternehmen Schäden in Millionen-, wenn nicht sogar Milliardenhöhe an. Eine gut durchdachte Sicherheitsarchitektur ist für alle IT-Infrastrukturumgebungen vor Ort und in der Cloud von entscheidender Bedeutung.
Das Qumulo-Dateidatenplattform umfasst ein breites Spektrum moderner Technologien und Datendienste zur Unterstützung ganzheitlicher Sicherheitsarchitekturen. In den folgenden Abschnitten erfahren Sie, wie Sie die Qumulo-Überwachungsprotokollierungsfunktion in Verbindung mit Azure Log Analytics verwenden, um Dateisystemvorgänge einschließlich Benutzern, Dateipfaden, Berechtigungen, Status, Änderungen und Löschvorgängen zu verfolgen.
Da das Qumulo-Dateisystem Überwachungsereignisse nicht direkt an Azure Monitor sendet, verwenden wir einen Syslog-Server, um die Nachrichten zu empfangen und sie mit dem Azure Monitor-Agent an Azure Monitor weiterzuleiten. Dieser Artikel konzentriert sich auf den Aufnahmeprozess, dh wie Sie die Qumulo-Ereignisse in Azure Monitor abrufen und dann einige grundlegende Abfragen in einem Log Analytics-Arbeitsbereich ausführen. In einem späteren Blog werden wir uns auf die aktive Bedrohungssuche mit Azure Sentinel konzentrieren.
Azure-Überwachung
Azure Monitor ist die Plattform von Microsoft zum Speichern aller Arten von Maschinenprotokolldaten und -metriken. Es bietet ein umfangreiches Toolset zum Analysieren, Abfragen, Visualisieren und Korrelieren aller Arten von Daten.
Durch das Aufnehmen von Qumulo-Überwachungsereignissen in Azure Monitor können Sie:
- Verfolgen Sie alle Dateisystemvorgänge.
- Erstellen Sie erweiterte Abfragen und korrelieren Sie verschiedene Datenquellen (z. B. Protokollierungsereignisse aus Active Directory oder Ihrer Firewall). Dies erleichtert die Erkennung verdächtiger Aktivitäten erheblich.
- Verwenden Sie Machine Learning-Techniken mit Azure Sentinel, um ungewöhnliches Verhalten automatisch zu erkennen.
- Verwenden Sie Automatisierungsarbeitsmappen, um automatisierte Antworten auszuführen.
- Massive oder ungewöhnliche Löschaktivität.
- Unerwartete Aktionen von bestimmten Benutzern oder Computern.
- Benutzer und Pfade mit unerwarteten Berechtigungsfehlern.
Weitere Informationen zu Azure Monitoring finden Sie unter Übersicht über Azure Monitor.
Qumulo-Auditing
Audit-Login Qumulo Core bietet einen Mechanismus zum Verfolgen von Dateisystemvorgängen. Wenn verbundene Clients Anforderungen an den Cluster senden, werden Protokollnachrichten generiert, die jeden versuchten Vorgang (Lesen, Schreiben, Löschen usw.) beschreiben. Diese Protokollnachrichten enthalten alle relevanten Informationen zum Ereignis im Nachrichtentext des Syslog: IP-Adresse des Clients, Benutzername und Benutzer-ID, Vorgang, Dateiname und ID der Zieldatei oder des Zielverzeichnisses. Die Ereignisse werden dann über das Netzwerk an eine entfernte Syslog-Instanz gesendet, die durch die aktuelle Audit-Konfiguration in Übereinstimmung mit RFC 5424.
Weitere Informationen zum Qumulo-Audit finden Sie unter Qumulo Core-Audit-Logging.
Qumulo parst oder analysiert diese Protokolle nicht. Daher können Sie sie in ein geeignetes Tool wie z Azure-Monitor um sie abzufragen, zu korrelieren und zu visualisieren mit Tools wie Azure Log Analytics or Azurer Wächter.
Senden von Qumulo-Überwachungsdaten an Azure Monitor
Es gibt verschiedene Optionen zum Senden von Protokollnachrichten an Azure Monitor. Beispielsweise:
- Verwenden Sie das Azure Monitoring-Agent für Syslog-Weiterleitung
- Verwenden Sie das Log Analytics-Agent für Syslog-Weiterleitung
- Die HTTP-Datensammler-API
In diesem Beitrag konzentrieren wir uns auf die Verwendung des Azure Monitoring Agent. Zu diesem Veröffentlichungsdatum (Juli 2021) befand sich der Azure Monitor-Agent im Vorschaustatus. Es wird jedoch einige andere Agenten wie den Log Analytics-Agent und den Telegraph-Agent ersetzen und konsolidieren. Daher konzentrieren wir uns auf diesen neuesten Agent (wir haben auch den Log Analytics-Agent getestet, der ebenfalls gut funktioniert, aber anders bereitgestellt wird).
Weitere Informationen zu den Azure Monitoring-Agents finden Sie unter Übersicht über Azure Monitoring Agents und dem HTTP-Datensammler Website.
Implementierungsschritte
Die erforderlichen Implementierungsschritte zum Senden von Qumulo-Auditereignissen sind relativ einfach:
- Erstellen Sie einen Log Analytics-Arbeitsbereich in Ihrem Azure-Portal
- Installieren Sie den Azure Arc-fähigen Server-Agent (nur erforderlich, wenn der Syslog-Server nicht in Azure ausgeführt)
- Erstellen Sie eine Datensammlungsregel (DCR). Azure Monitoring Agent wird automatisch auf den ausgewählten Zielcomputern bereitgestellt.
- Konfigurieren Sie Qumulo, um Audit-Ereignisse an die Syslog-VM zu senden
Nach der Implementierung werden alle Ihre Überwachungsereignisse an Azure Monitor gesendet und Sie können mit der Abfrage und Analyse Ihrer Überwachungsprotokolle beginnen.
Für detaillierte Implementierungsschritte, lesen Sie bitte den Artikel der Qumulo-Wissensdatenbank: AWirtschaftsprüfung Qumulo in Azure mit Azure Monitor.
Log Analytics abfragen
So fragen Sie Ihre Audit-Logs ab:
- Melden Sie sich beim Azure-Portal an
- Gehe zu Monitor
- Wählen Sie Ihren Log Analytics-Arbeitsbereich aus
- Wählen Sie Protokolle
- Geben Sie Ihre Anfrage ein
Azure Log Analytics ermöglicht die Eingabe aller Arten einfacher und komplexer Abfragen mit der Abfragesprache Kusto (weitere Informationen finden Sie unter Erste Schritte mit Kusto).
Um einfach alle Syslog-Meldungen anzuzeigen, geben Sie einfach Folgendes ein: syslog in die Suchdatei ein, und dann werden alle eingehenden Syslog-Meldungen angezeigt.
| wobei HostName mit „du6“ beginnt
Dadurch werden nur Ereignisse aufgelistet, die von Hosts generiert wurden, die mit du6* beginnen.
Extrahieren eines Felds aus der Syslog-Nachricht
Die Syslog-Meldungen werden im Rohformat gespeichert. Das Format ist beschrieben hier detailliert und enthält mehrere Felder wie IPv4 oder IPv6, Benutzer-ID, Protokoll, Computer, Operation, die Zieldatei oder das Zielverzeichnis usw.
Ein Beispiel sieht so aus:
192.168.1.10,”AD\alice”,nfs,fs_read_data,ok,123”,/.snapshot/1_snapshot1225/dir/””,””
Bei komplexeren Abfragen kann es hilfreich sein, die verschiedenen Werte des Syslog-Nachrichtentexts in separate Felder zu extrahieren, was durch die folgende Abfrage erreicht werden kann:
Syslog
| CSVFields erweitern = split(SyslogMessage, ',')
| ClientIP erweitern = tostring(CSVFields[0])
| Benutzer-ID erweitern = tostring(CSVFields[1])
| Extend Protocol = tostring(CSVFields[2])
| Erweitern Sie Operation = tostring(CSVFields[3])
| ResponseCode erweitern = tostring(CSVFields[4])
| MessageID erweitern = tostring(CSVFields[5])
| Datei erweitern = tostring(CSVFields[6])
| Status erweitern = tostring(CSVFields[7])
Jetzt haben Sie Feldnamen, die Sie verwenden können, um Ihre Abfragen detaillierter zu gestalten. Oder Sie speichern die Abfrage als Funktion, die für die Wiederverwendung und komplexere Abfragen einfacher ist. Zum Beispiel speichern wir die obige Abfrage in einer Funktion namens QumuloEvents.
Dann können wir alle Audit-Ereignisse sehen, die für Textdateien im ausgewählten Bereich durchgeführt wurden:
QumuloEvents
| Projekt EventTime, ClientIP, Datei, Operation
| wobei Datei "txt" enthält
Zusammenfassung
Azure Monitor bietet eine Vielzahl von Datenanalyseoptionen für verschiedene Quellen und Ziele. In diesem Artikel haben wir einen Überblick darüber gegeben, wie Qumulo-Überwachungsereignisse mithilfe des Azure Monitor-Agents an Azure Monitor-Protokolle gesendet werden können und wie diese Ereignisse in einem Log Analytics-Arbeitsbereich abgefragt werden können.
In einem späteren Blog werden wir diskutieren wie man entdeckt böswilliges Verhalten in Ihrer Umgebung mit Techniken zur aktiven Bedrohungssuche und Funktionen für maschinelles Lernen (ML).
Mehr erfahren
- Ihr Weg zur Hybrid Cloud: Qumulo auf Azure as a Service (QaaS)
- Qumulo in Azure mit Azure Monitor überwachen, Implementierungsschritte
- So verwenden Sie die integrierten Sicherheitskontrollen von Qumulo für den Datenschutz
- So verwenden Sie die vorbeugenden Kontrollen von Qumulo gegen Malware
- So verwenden Sie die Detektivkontrollen von Qumulo gegen Datenschutzverletzungen
- So verwenden Sie die korrigierenden Kontrollen von Qumulo, um den Datenverlust zu minimieren
Kontakt
- Machen Sie eine Probefahrt. Demonstrieren Sie die Produkte von Qumulo in unseren neuen interaktiven Hands-on-Labs oder fordern Sie eine kostenlose Testversion an.
- Abonnieren Sie den Qumulo-Blog für Kundengeschichten, technische Einblicke und Produktneuigkeiten.
