La suite Pluribus One WAS® include vari plugin che ne espandono le funzionalità base; il plugin SIEM ti consente di interfacciare la tua installazione di Pluribus One WAS® con un SIEM. Il tuo SIEM (Security Information & Event Management) ti offre una visione centralizzata di cosa accade nella tua infrastruttura ed è uno strumento fondamentale nelle gestione della cyber security.
Questa guida ti illustra come configurare Pluribus One WAS® CORE affinché possa comunicare direttamente con il tuo SIEM. Aggrega le informazioni provenienti dal resto della infrastruttura con i messaggi provenienti da Pluribus One WAS® CORE per avere una visione ancora più completa di cosa accade in ogni momento nella tua rete.
Parametri di Configurazione
Questa sezione ti illustrerà i vari parametri di configurazione relativi al tuo SIEM; configurare alcuni di questi parametri è obbligatorio, altri sono invece opzionali. Per vari campi sono riportate più di una dicitura, questo per venire incontro al fatto che in diverse versioni del software sono presenti testi differenti.
- Output Format o Format: si riferisce al formato di output per i syslog che verranno inviati da Pluribus One WAS® al tuo SIEM. Scegli il formato giusto per il tuo SIEM.
- Export interval (in minutes): ?.
- Log alert sources: questa opzione consente di includere nei syslog informazioni riguardo i client che hanno generato alerts e anomalies.
- Send Alerts, Anomalies, both o Include alerts & anomalies: è possibile scegliere se inviare alerts, anomalies o entrambi i tipi di eventi al SIEM.
- Send events to a remote Syslog server o Enable syslog: abilita la comunicazione con il SIEM.
- Syslog Protocol o Protocol: specifica il tipo di connessione (TCP o UDP) utilizzata dal SIEM per ricevere i log.
- Facility: in un sistema di logging facility si riferisce al livello a cui vengono scritti i messaggi di log; esistono diversi livelli per i messaggi del kernel, dei servizi di sistema, delle applicazioni utente e altro ancora. Ti consigliamo di lasciare questo valore invariato a meno che tu non abbia esigenze particolari.
- Host&Port o Address&Port: si tratta del indirizzo IP del SIEM e della porta (TCP o UDP) utilizzata per il trasferimento dati.
- User defined max age (in minutes): questa opzione ti consente di definire un filtro sugli alert da te definiti; saranno inviati al SIEM solo se non sono più "vecchi" di user_defined_max_age (in minuti). Ricorda che con "alert da definiti" ci riferiamo a eventi registrati da Pluribus One WAS® come anomalies e che tu hai successivamente etichettato come alerts.
- Append null: questa opzione di consente di far aggiungere a re Pluribus One WAS® un carattere null alla fine del log inviato. Ricorda che alcuni server richiedono esplicitamente la presenza di un carattere null alla fine di ciascuna riga di testo al fine di garantire una corretta ricezione di stream di dati. Considera questa impostazione come avanzata; ti consigliamo di lasciarla invariata a meno che non sia strettamente necessario.
Ora che tutti i parametri di configurazione sono chiari è giunto il momento di configurarli! Hai due opzioni per poter configurare il sistema; entrambe vengono illustrate di seguito nel resto di questa guida. Le due opzioni sono:
- Usare la Interfaccia Grafica: usare Pluribus One WAS® GUI è comodo e facile, lavorerai direttamente dal tuo browser web.
- Usare la Interfaccia Grafica da Terminale: usare Pluribus One WAS® TUI è più "tradizionale" e ti permette di non dover abbandonare il tuo terminale.
Nella versione più recente di Pluribus One WAS® la schermata di configurazione disponibile su applicazione web fornisce un numero maggiore di opzioni rispetto alla opzione da terminale.
Usare la Interfaccia Grafica
Questa sezione ti aiuterà a configurare i parametri per il SIEM usando Pluribus One WAS® GUI, la interfaccia grafica della suite Pluribus One WAS®.
Passo 1 Vai alla Schermata Settings
Usando il menu posto a sinistra nella pagina, scegli Settings.
Passo 2 Esplora la Schermata SIEM
Nella schermata attuale dovresti essere in grado di vedere varie linguette (tab). Scegli la linguetta chiamata SIEM. Lo schermo dovrebbe mostrarti una serie di campi per l'inserimento e cambiamento di tutti i parametri relativi al tuo SIEM.
Passo 3 Imposta i Parametri
Consulta tutti i parametri riportati a schermo, scegli quelli di tuoi interesse e modificali.
Passo 4 Conferma i Cambiamenti
Una volta terminato di inserire i parametri conferma l'operazione premendo il pulsante "Save" posto in basso a destra.
Usare la Interfaccia Grafica da Terminale
Questa sezione ti aiuterà a configurare i parametri per il SIEM usando Pluribus One WAS® TUI, la interfaccia grafica da terminale della suite Pluribus One WAS®; in inglese l'acronimo TUI sta per Text-based User Interface.
Passo 1 Accedi al Terminale
Accedi al dispositivo o macchina host dove è stato installato ed è attualmente avviato Pluribus One WAS®. In questo dispositivo apri un terminale (shell) con livello di permessi da amministratore.
Passo 2 Attiva la Utility Pluribus One WAS® TUI
Nel terminale aperto digita il seguente comando mentre hai permessi da amministratore:
attackprophecy-setup
Questo comando avvierà la utility di configurazione Pluribus One WAS® TUI; con questa interfaccia grafica da terminale (Text-based User Interface) potrai configurare Pluribus One WAS® direttamente dalla riga di comando.
Passo 3 Esplora la Schermata SIEM Logging
Una volta caricata la Pluribus One WAS® TUI, nel menu a tendina scegli la voce SIEM Logging. Lo schermo dovrebbe mostrarti una serie di campi per l'inserimento e cambiamento di tutti i parametri relativi al tuo SIEM.
Passo 4 Imposta i Parametri
Consulta tutti i parametri riportati a schermo, scegli quelli di tuoi interesse e modificali.
Passo 5 Conferma i Cambiamenti
Una volta inseriti tutti i parametri conferma premendo il pulsante < Back to main menu >.