Interaktivní demo
Prozkoumejte uživatelské rozhraní, funkce a možnosti Logmanageru.
Quick Start Guide
Zjistěte, jak nasadit virtuální Logmanager v několika krocích.
Kariéra
Podívejte se na naše otevřené pozice, benefity a hodnoty.
Tento kontextový alert poskytuje notifikaci obsahující IP adresu útočníka a jeho geolokaci v momentě, kdy je detekována aktivita, která může znamenat brute force útok.
Šablona kontextového alertu je k dispozici ke stažení zde:
Brute force útok na firewall představuje systematický pokus o získání neoprávněného přístupu do sítě opakovaným a automatizovaným zkoušením velkého množství přihlašovacích údajů, dokud není nalezena správná kombinace (například pro VPN nebo SSH přístup).
Užitečnost zaslání alertu s geolokací zdroje útoku, například po 10 neúspěšných pokusech z jedné zdrojové IP adresy, spočívá v rychlé detekci incidentu a identifikaci hrozby. Znalost geografického původu útoku (např. mimo definované bezpečné země) umožňuje bezpečnostnímu týmu okamžitě posoudit riziko a v případě potřeby automaticky zablokovat buď konkrétní IP adresu, nebo celý geografický region, čímž se minimalizuje okno pro útočníka a zvyšuje se celková schopnost rychlé reakce na incident.
Pro zájemce jsme připravili ke stažení kontextový alert. Ten po definovaném počtu neplatných pokusů o přihlášení na firewall z jedné IP adresy zašle alert s IP adresou zdroje potenciálního útoku a zemi, ze které útok probíhá.
Zde je návod pro import alertu do Logmanageru.
V menu Alerts & Actions v záložce Correlations vytvořte nové korelační okno o požadované délce (například 60s), pojmenujte okno například Firewall.
Uložte okno pomocí tlačítka Save.
V sekci Email message templates vytvořte novou šablonu a vložte do ní následující údaje:
Name:
too many login failed from one IP
Subject:
LM Alert – {{name}} / {{ msg.failed_remote_ip }}Body:
{% extends "base.html" %}{% block title %}Alert{% endblock %}{% block content %}<h4>VPN alert - neplatné přihlášení z jedné IP adresy. Uživatel <font color="red"><b>{{ msg.username }}</b></font> překročil limit.</h4><p>Reason: <b>{{ msg.logdesc }}</b></p><p>Reason: <b>{{ msg.msg }}</b></p><p>Reason: <b>{{ msg.reason }}</b></p><p>Remote IP & Country: <b>{{ msg.failed_remote_ip }}</b></p><h3>Uživatel: <font color="red"><b>{{ msg.username }}</b></font></h3><hr><h1>Alert message</h1>Alert name: {{ name }}<br>Alert description: {{ description }}<br><h2>Message meta information</h2><table style="border: 1px solid rgb(0, 102, 153); border-collapse: collapse;"> <tr> <td style="border: 1px solid rgb(0, 102, 153);font-weight: bold;">Name</td> <td style="border: 1px solid rgb(0, 102, 153);font-weight: bold;">Value</td> </tr> {% for key in meta|sort %} {% if key == "src" %} {% for src in meta.src|sort %} <tr> <td style="border: 1px solid rgb(0, 102, 153);" align="left">{{ key }}.{{ src }}</td> <td style="border: 1px solid rgb(0, 102, 153);" align="left">{{ meta.src[src] }}</td> </tr> {% endfor %} {% else %} <tr> <td style="border: 1px solid rgb(0, 102, 153);" align="left">{{ key|e }}</td> <td style="border: 1px solid rgb(0, 102, 153);" align="left">{{ meta[key]|e }}</td> </tr> {% endif %} {% endfor %}</table><h2>Message data</h2><table style="border: 1px solid rgb(0, 102, 153); border-collapse: collapse;"> <tr> <td style="border: 1px solid rgb(0, 102, 153);font-weight: bold;">Name</td> <td style="border: 1px solid rgb(0, 102, 153);font-weight: bold;">Value</td> </tr> {% for key in msg|sort %} <tr> <td style="border: 1px solid rgb(0, 102, 153);" align="left">{{ key|e }}</td> <td style="border: 1px solid rgb(0, 102, 153);" align="left">{{ msg[key]|e }}</td> </tr> {% endfor %}</table>{% if dropped > 0 %} <div style="color: #E81E1E">Dropped similar messages: {{ dropped }}</div>{% endif %}{% endblock %}
Uložte šablonu pomocí tlačítka Save.
V záložce Rules vytvořte nový alert a do XML okna vložte kód alertu.
Přepněte se do okna Blocks.
Přiřaďte alertu název, např: too many login failed from one IP a vložte emailovou adresu příjemce alertu a přepněte alert do stavu Enabled.
V blockly kódu alertu nastavte požadovanou hodnotu počtu nesprávných přihlášení, po které se má alert odeslat.
V příkladu nastaveno na hodnotu 10.
V blocku Context vyberte vaše dříve vytvořené korelační okno
Na konci alertu v blocku send alert vyberte dříve vytvořenou e-mailovou šablonu.
Nyní máte vše připraveno pro posílání alertů s IP adresou a geolokací útočníka.
Parser pro Cohesity
Stáhněte si připravený parser a dashboard pro řešení Cohesity.
Jak monitorovat stav Logmanageru a udržet jej v optimální kondici
V tomto návodu se dozvíte, čemu věnovat pozornost.
Globální filtr pro různé skupiny Windows zdrojů
Nakonfigurujete všechny své Windows Agenty v jednom kroku.
Parser pro Wallix PAM / Bastion
Stáhněte si parser pro Wallix PAM (Privileged Access Management).