MEN IN CLOUD
8Nov/160

OMS Log Analytics : Filtrer les événements de sécurité collectés

Posted by JF BERENGUER

OMS Security collecte les événements depuis de nombreux environnements. Etant base sur un service de type BigData, OMS peut contenir une très large quantité de données. Ainsi les clients n’ont pas besoin de filtrer les évènements afin de décider ceux qu’il est pertinent de conserver.

Cependant, plusieurs clients ont remonté auprès de Microsoft, que dans certains cas, ils préfèreraient réduire le volume des évènements collectés.

Un nouveau paramétrage est maintenant disponible afin de sélectionner un ensemble d’évènement. Le but est de trouver la juste mesure entre le volume de données à conserver pour les audits, recherches et détection de menaces, et la rédaction des données.

Pour cela un mécanisme simple a été mis en place afin d’autoriser les utilisateurs à choisir la bonne stratégie de filtre, sans avoir à maintenir une longue liste d’event ID.

Le choix se fait entre quatre paramètres :

  • All events– pour les clients qui veulent être certains que tous les évènements sont collectés. Il s’agit du paramètre utilisé jusqu’à présent par OMS et qui continu à être le paramètre par défaut.
  • Common– Il s’agit d’un ensemble d’ID qui conviennent la plupart du temps et qui permet d’utiliser pleinement une version d’évaluation
  • Minimal– C’est un petit ensemble d’Event ID. Le but est de réduire considérablement le volume des données
  • None– Ce paramètre désactive la collecte des évènements de sécurité et des journaux liés aux App Locker. Pour ceux qui choisissent cette option, les tableaux de bord  ne montreront que les résultats des logs du FireWall Windows et les évaluations proactives tels que :  antimalware, ligne de base et mises à jour.

Pour sélection de niveau de collecte, il faut cliquer sur le bouton « settings » depuis le tableau de bord « Security and Audit »

configlogs

Les listes d’event ID ont été établies afin d’adresser des scénarios typiques. Il faudra donc s’assurer qu’ils conviennent à l’environnement monitoré. Ils sont basés sur des utilisation typiques : Microsoft s’est basé sur des statistiques partagées avec de nombreux clients basées sur les usages des logs et leur fréquence de collecte.

 

La liste des Event pour chaque configuration est présentée ci-dessous :

configlogs2

Note : pour les évènements classiques, toutes les propriétés des évènements sont collectées et indexées. Pour les événements filtrés (liste ci-dessus), la propriété EventData qui contient le « unparsed XML » a été retiré afin réduire le volume collecté et d’améliorer les capacités d’indexation et d’analyse,

Ces listes ne sont pas figées : elles évolueront dans le temps avec les retours d’expérience. Possibilité d’envoyer un feedback à l’adresse : omssecfeedback@microsoft.com

Article d'origine : https://blogs.technet.microsoft.com/msoms/2016/11/08/filter-the-security-events-the-oms-security-collects/

 

25Fév/160

Ressource Log Analytics (OMS) pour les VMs AZURE

Posted by JF BERENGUER

Mise en œuvre de Microsoft OMS depuis le portail Azure - Log Analytics

 

Un déploiement des agents OMS en quelques clics

Microsoft vient d’annoncer l’ajout des ressources « Log Analytics – OMS » pour les VMs dans AZURE. Ce service permet :

  • de créer un nouvel espace de travail OMS (anciennement Operational Insight) ou de se connecter à un espace existant ;
  • d’y connecter des VMs Windows server et Linux ;
  • d’accéder au portail OMS.

En complément, des modèles de déploiement rapide ainsi que des extensions pour les VMs AZURE sont disponibles pour les déploiements via ARM (Azure Resource Manager)

 

Créer ou se connecter à un espace de travail OMS

Comme évoqué précédemment, cette fonctionnalité est disponible maintenant depuis le nouveau portail Azure. Pour y accéder une fois connecté au portail, il suffit de cliquer sur « Nouveau » et de taper Log Analytics dans la zone de recherche :

a1

Puis de sélectionner Log Analytics (OMS) dans les résultats trouvés. En cliquant sur créer, on obtient l’interface qui va permettre de créer le nouvel espace de travail OMS ou de se connecter à un espace de travail existant :

a2

Pour le nouvel espace, il faut renseigner son nom, l’abonnement Azure utilisé, le groupe de ressource auquel on va l’affecter, l’emplacement ainsi que le niveau tarifaire.

Concernant ce dernier point, trois tarifs sont disponibles :

a3

Note : un espace de travail OMS (Workspace) est un conteneur logique dans lequel seront stockées les données collectées pour le monitoring. L’utilisation de plusieurs espaces de travail permet par exemple de séparer les données entre les équipes en charge de l’exploitation (équipe système, équipe sécurité, équipe DBA, …).

 

Déploiement d’agent OMS / Connexion de VMs Windows et Linux

Maintenant que l’espace de travail est créé, il est possible d’y intégrer des VMs Windows et Linux. Cela peut se faire de plusieurs manières :

 

Connexion des VMs existantes via le portail AZURE

Cette option reste le moyen le plus simple pour ajouter des VMs existants : Dans la listed es ressource, il suffit de cliquer sur l’espace de travail, puis sur la vignette « Machines virtuelles »

a4

La liste de toutes les VMs apparait, il suffit ensuite de sélectionner celles qu’on souhaite intégrer à Log Analytics puis de choisir « connecter »

 

Intégration d’extension Log Analytics dans les templates ARM

Si vous possédez déjà des template ARM, il est possible de rajouter des extensions, via les « snippet » ci-dessous.

Windows Resource Snippet :

{

"type": "extensions",

"name": "Microsoft.EnterpriseCloud.Monitoring",

"apiVersion": "[variables('apiVersion')]",

"location": "[resourceGroup().location]",

"dependsOn": [

"[concat('Microsoft.Compute/virtualMachines/', variables('vmName'))]"

],

"properties": {

"publisher": "Microsoft.EnterpriseCloud.Monitoring",

"type": "MicrosoftMonitoringAgent",

"typeHandlerVersion": "1.0",

"autoUpgradeMinorVersion": true,

"settings": {

"workspaceId": "[parameters('workspaceId')]"

},

"protectedSettings": {

"workspaceKey": "[parameters('workspaceKey')]"

}

}

}

 

Linux Resource Snippet :

{

"type": "Microsoft.Compute/virtualMachines/extensions",

"name": "<extension-deployment-name>",

"apiVersion": "<api-version>",

"location": "<location>",

"dependsOn": [

"[concat('Microsoft.Compute/virtualMachines/', <vm-name>)]"

],

"properties": {

"publisher": "Microsoft.EnterpriseCloud.Monitoring",

"type": "OmsAgentForLinux",

"typeHandlerVersion": "1.0",

"settings": {

"workspaceId": "<workspace id>"

},

"protectedSettings": {

"workspaceKey": "<workspace key>"

}

}

}

 

Comme surligné dans les lignes ci-dessus, il est nécessaire de passer en paramètre le WorkspaceID et WorkspaceKey de votre espace de travail. Ces informations sont récupérables via les paramètres de l’espace de travail disponible dans le portail OMS :

a5a6

Au passage, on notera que c’est depuis cette même interface qu’il est possible de télécharger les agents OMS

 

Systèmes supportés :

Supported Operating Systems Version
Ubuntu Server 12.04 LTS, 14.04 LTS, 15.04, 15.10 (x86/x64)
SUSE Linux Enterprise Server 11 and 12 (x86/x64)
Red Hat Enterprise Linux Server 5,6, and 7 (x86/x64)
Oracle Linux Server 5,6, and 7 (x86/x64)
CentOS Linux Server 5,6, and 7 (x86/x64)
Amazon Linux Server 2012.09 –> 2015.09 (x86/x64)
Windows Server 2008 SP1 and above (x86/x64)

 

Conclusion

Log Analytics représente une vraie opportunité pour simplifier les tâches courantes des administrateurs. Il ne faut donc pas hésiter à la déployer sur quelques VMs pour débuter en utilisant la version gratuite