MANUAL LEM

(LOG AND EVENT MANAGER)

COOPMEGO

Elaborado: Robert Loarte

Manual SIEM-LEM

Manual Elaborado CoopMego

Resumen.

Herramienta LEM.

Monitorea de la DATA de distintos dispositivos en la red y automticamente identifica, notifica y

responde a comportamientos maliciosos o sospechosos.

No es una herramienta pasiva, est activamente defendiendo la RED en tiempo real,

correlacionando eventos a travs de mltiples dispositivos.

Qu problema resuelve LEM.

Monitorea de actividades maliciosas o sospechosas 24/7/365

Respuesta en tiempo real contra potenciales eventos dainos en tu red.
Correlaciona logs/eventos a travs de mltiples dispositivos para proporcionar una vista
clara de la actividad de tu red.
Cumplimiento: Casi 700 reglas y ms de 300 reportes asisten a cumplir a prcticamente
toda mayor circulacin industrial (HIPPA, SOX, etc).
Anlisis histrico y forense de eventos en base de eventos.

Como obtiene los datos LEM?

A travs de syslog, recopilando datos de dispositivos de infraestructura de RED..

o Router
o Switches
o Firewall
Agents. Recopila datos desde el servidor y estaciones de trabajo.
o Windows
o MacOS
o Unix
o Linux
o Aix
o HP-UX

Lectores de registro (llamados Conectores (Connectors)) analizan y normalizan los datos de los
logs, haciendo que se ajuste a categoras ya predefinidas

Existen conectores para muchos registros especficos de la aplicacin

Databases
Webservers
Anti-virus
AD. Etc..
Interfaz general del SIEM.

OPS CENTER. Proporciona una representacin grafica de los datos de registro en la consola
de LEM. Incluye varios widgets que le ayudan identificar reas problemticas y tendencias
en su red.
La vista MONITOR muestra los eventos en tiempo real a medida que ocurren en la red.
Puede ver los detalles de un evento especfico o centrarse en tipos especficos de eventos.
Esta vista tambin incluye varios widgets para ayudarle a identificar tendencias o
anomalas que se producen en su red.
La vista EXPLORE proporcionar herramientas parar investigar eventos y detalles
relacionados.
La vista BUILD crea componentes de usuario que procesan datos en el LEM manager.
Seleccione Grupos para crear y administrar grupos. Seleccione Reglas para crear y
administrar reglas de poltica. Seleccione Usuarios para agregar y administrar usuarios de
la consola.
La vista MANAGE proporciona las propiedades de los dispositivos y nodos. Seleccione
nodos para agregar y administrar agentes.

Configurar alertas por correo electrnico.

Enva un correo electrnico cuando un dispositivo que se est supervisando tiene un problema.

Puede acceder a la configuracin del correo electrnico a travs de la vista OPS CENTER
en la opcin Configure Basic LEM Setting
Otra opcin es a travs de la vista MANAGE opcin appliance en donde se configura los
conectores y buscar System Tools y configurar el correo correspondiente.
 Ingresar la direccin IP o el hostname del servidor del correo electrnico en el campo
mail host
Introduzca el nmero de puerto solo si es distinto del puerto 25
Cambie la direccin de retorno para reflejar su dominio actual
Cambie el nombre de visualizacin del correo electrnico en la opcin Return Display
Name. Por ejemplo alerta de sistema o alerta de seguridad.
Realice el test correspondiente para el correo electrnico.

Agregando Nodos.

LEM conectores: Deteccin y configuracin automticas.

Esto supone que los dispositivos de red ya estn configurados para enviar registros syslog a LEM
manager.

Existen dos mtodos para agregar nodos syslog, ya sea desde el widget primeros pasos o
mediantes managernodos.

El siguiente paso es seleccionar la opcin syslog

Este mtodo se utiliza para agregar un nodo especfico que enva syslog con xito a LEM.

1. Se ingresa la direccin IP y el proveedor de origen del registro.

 2. Se selecciona la casilla de verificacin I have configured this node so that LEM can receive
the syslog message

LEM escanea todas las instalaciones de syslog para mensajes desde la IP de origen especificada. Si
los mensajes coinciden correcntamente con los conectores LEM adecuados, se puede agregar la IP
de origen como un nodo LEM uitlizando los conectores adecuados.

Ejemplo

Si LEM no puede agregar un nodo utilizando este mtodo, es porque los logs no llegan a LEM O
LEM no ha detectado suficientes mensajes para determinar los conectores con precisin.

ESCANEO PARA NUEVOS NODOS.

Este mtodo se utiliza para scanear todas las instalaciones de syslog para la nuevas fuentes de
registro: MANAGENodesScan for new nodes
Se mostraran los resultados del scaneo y brindara la oportunidad de confirmar los conectores que
desea habilitar.

Conectores LEM. Manual de configuracin.

Todos los conectores que se pueden definir en el LEM se pueden encontrar en

MANAGERApplianceIcono de velocidadConnectors.

Puede buscar un conector en la lista categorizada de tipos de dispositivos como firewalls,

Routers,switches, IDS e IPS, etc.. Ejemplos con la palabra CISCO.
En este momento, haga click en el icono de velocidad situado junto al conector correspondiente y
haga click en nuevo.

Esto permitir crear una nueva instancia de este conector en unos de los archivos syslog
guardados en el administrador de LEM. Se configura las dos primeras opciones.

Alias: Simplemente es un alias para una instancia del conector.

Log file. El archivo syslog en el sistema de archivos para que esta instancia del conector se
lea.

REGLAS DE CORRELACIN.

Las reglas de correlacin le permiten detectar instantneamente problemas de seguridad,

operaciones y de cumplimiento, incluyendo infracciones externas, abuso de informacin
privilegiada, violaciones de polticas, disponibilidad de aplicaciones, problemas de rendimiento, etc..

LEM incluye 700 reglas de correlacin de eventos integrados y una categorizacin fcil de entender.
Las categoras incluyen autenticacin, gestin de cambios, dispositivos (Firewall, router, switches),
Operaciones de TI. Estas reglas son accesibles desde la vita BuildRules.

La vista Rules muestra todas las reglas predefinidas en el panel Rules y Rules Template que
son reglas predefinidas. Las reglas habilitas son fciles de localiza desde la columna Enable. Las
plantillas de reglas son de solo lectura y se puede clonar par crear una reglas personalizada.
Las reglas se estructuran en tres partes y todas son obligatorias.

1. Correlations
2. Correlation time
3. Actions.
Crear Reglas.

Para crear una regla desde cero, simplemente haga click en el icono + en la parte superior derecha
de la vista buildrules.

Se utiliza el mtodo Drag and Drop para definir la correlacin. Ejemplo de reglas que muestran como
ser alertados o definir una respuesta activa cuando se detectan una serie de eventos de
autenticacin fallida desde sus servidores de AD.

Definir la conficion de la reglas.

Para definir la condicin a continuacin, simplemente arrastre el evento
FailedAuthentication a la seccin correlaciones del editor de reglas, tambin se puede
utilizar los campos de eventos y grupos de eventos.
 Definir el tiempo de correlacin.

Se define los tiempos de correlacin, es decir el volumen de eventos que coinciden con las
condiciones de correlaciones, as como la ventana de tiempo sobre el cual se debe evaluar la
condicin.

La configuracin de Respose Windows no entrara en juego si el tiempo en el administrador LEM

y todas las fuentes de registro estn sincronizadas.

Sin embargo, si los tiempos estn fuera de sincronizacin o si hay un retraso en los eventos LEM
llegando al LEM Manager (quizs debido a enlaces WAN no confiables, por ejemplo), esta ventana
define la tolerancia para la cual estos eventos "retrasados" correlacionado. En el ejemplo que se
muestra a continuacin, la correlacin hasta ahora est en '3 FailedAuthentication Events en una
ventana de tiempo de balanceo de 30 segundos'

Defnir la accin.

La parte Action permite definir como desea que LEM defienda la red para eventos
correlacionados. Esta es una lista de acciones completas de LEM
Para este ejercicio se muestra la accin de enviar mensaje de correo electrnico, se utiliza una
plantilla de correo electrnico predeterminada (configuradas 700 plantillas para poder ser
utilizada), se puede enviar el correo electrnico a varios usuarios. Si la regla est mal configurada
avisara del error y donde est ubicado dicho error, si est bien configurada mostrara ok una vez
guardad la regla se le activa, antes de activar se puede realizar un test para verificar el
comportamiento de la regla.
 VISTA EXPLORE.

Bsqueda de historial: Ndepth explore

El explorador "nDepth" de LEM proporciona una interfaz intuitiva, interactiva y de fcil uso para la
bsqueda histrica tanto de eventos LEM normalizados como de mensajes de registro originales.
nDepth le permite analizar fcilmente los eventos y ver los datos de registro de una manera que
tenga sentido eventos realmente rpidos y efectivos, solucin de problemas y anlisis de causa raz.

Para acceder al nDepth Explorer, vaya a EXPLORE> nDepth. Como se indic anteriormente en la
seccin Filtros, cualquiera de los filtros puede ser lanzado en nDepth para buscar eventos
histricamente.

La barra de herramientas de nDepth consta de varias tcnicas de visualizacin potentes, como

Word Cloud, mapas de rbol, grficos de barras, grficos de lneas, grficos de pastel, grficos de
burbujas y detalles de resultados.

Para cualquiera de las consultas nDepth, puede cambiar el intervalo de tiempo predeterminado de
'ltimos 10 minutos'. Otras opciones son "ltimos 30 minutos", "ltima hora", "ltima 2 horas",
"ltimo da", "ltima semana", "Personalizado". Asegrese de hacer clic en el botn Reproducir
para el marco de tiempo revisado que se aplicar a los resultados de bsqueda nDepth.

Esto mostrar un panel de histograma y el panel Detalles del resultado y varias opciones de filtrado.
Todos estos paneles son completamente interactivos, y algunas formas comunes de interactuar con
los resultados de bsqueda se discuten a continuacin

List Pane. Todos los campos como nombres de eventos, IP de deteccin, alias de herramientas,
campos de direccin IP se clasifican en orden descendente. Simplemente haga doble clic en
cualquiera de estos valores en el panel Lista y luego haga clic en el botn Reproducir para nDepth
para refinar los resultados an ms

Histogram. Simplemente haga doble clic en cualquiera de las barras en el histograma para tener
nDepth zoom en ese rango de tiempo. Observe cmo el intervalo de tiempo cambia
automticamente a 'Personalizado'. nDepth siempre muestra el intervalo de tiempo en trminos de
hora de inicio y hora de finalizacin en la parte superior del histograma

Result Detail. De forma predeterminada, nDepth muestra el panel Detalles del resultado.

Si se ha desplazado a otra tcnica de visualizacin utilizando la barra de herramientas nDepth, puede

volver al panel Detalles del resultado haciendo clic en el icono que se muestra a continuacin

El panel Detalles de resultados muestra todos los eventos LEM coincidentes y tambin los campos
de eventos. Puede marcar y seleccionar cualquier texto de los datos de un campo de eventos y hacer
doble clic para realizar una bsqueda de palabras clave por encima de los criterios de bsqueda
actuales.
Haga clic en el botn "Reproducir" para refinar los resultados basados en esta bsqueda por palabra
clave. Observe cmo cambia el histograma en comparacin con los resultados mostrados
anteriormente y tambin cmo se resaltan las palabras clave en cada evento del panel Detalles del
resultado

Event search.

Tambin es posible crear una consulta de bsqueda mediante la seccin Eventos del panel de lista.
Simplemente seleccione el nombre del evento y los campos relevantes en los que desea basar su
consulta. Arrastre a la barra de bsqueda, haga clic en reproducir y los registros se mostrarn.
Word Cloud. Es una tcnica de visualizacin muy potente disponible para los resultados de
bsqueda nDepth. El tamao de la fuente es proporcional al nmero de hits en los resultados de
bsqueda. Obviamente, la fuente ms grande implica el nmero mximo de visitas, y todo lo dems
proporcionalmente inferior. Al igual que en el panel Resultados, puede hacer doble clic en cualquier
palabra que se muestre en la Nube de palabras y hacer clic en el botn Reproducir para refinar los
resultados. Esto puede ser una herramienta muy efectiva para analizar grandes volmenes de
registro, en particular para registros de cortafuegos.
Guardar resultados de bsqueda.

Los criterios de bsqueda se pueden guardar para un acceso rpido y fcil para futuras bsquedas
en nDepth. Esto se hace desde la opcin de men "Guardar como" bajo el cono de Engranaje
junto al botn "Explorar"

Filtros

Los filtros LEM son importantes por 3 razones.

1. Le permite ver eventos de LEM de inters en tiempo real.

2. Le permite ver las tendencias en la vista OPS CENTER
3. Permite realizar fcilmente bsquedas histricas

Filter Group: Son simplemente grupos lgicos de estos filtros. LEM entrega con un conjunto
predeterminado de Filtro de Grupos y Filtros relacionados. Algunos de los Filtros por defecto son los
Grupos de Resumen, la Seguridad, el Cumplimiento, Gestin del Cambio, y la Autenticacin.

Creacin de filtros.

En esencia al crear los filtros, estos tienen 2 campos importantes, que se muestran en la siguiente
imagen.

1. Condiciones (Obligatorio)
2. Notificaciones (Opcional)
Para crear filtros, se tiene que arrastrar y soltar procesos. Una condicin tpica de filtro LEM se
define utilizando los siguientes.

Evento. (Buscar, seleccionar y arrastrar un evento y arrastrar un evento de la lista de

eventos)
Event fields. Buscar, seleccionar un evento y arrastrar un campo desde los Event Fields
Event Group. Seleccionar y arrastart un grupo de eventos.

Filter Conditions puede incluir elementos avanzados adicionales como grupos definidos por el
usuario, perfiles de conector, grupos de servicio de directorio, conjuntos de hora del da, etc.

Puede crear un filtro o un grupo de filtro haciendo clic en el botn + en el panel filtros de la vista
monitor.
Ejemplo.

Crear un filtro personalizado.

En este ejemplo se mostrar cmo filtrar todos los eventos Stop y Start de Windows Service. En el
editor de filtros, busque la palabra "service"

Simplemente se arrastra y suelte los eventos LEM en la seccin Conditions del editor de filtros.

Este filtro coincide con los eventos ServiceStart o ServiceStop. La siguiente captura de pantalla
muestra los smbolos utilizados para los operadores lgicos (AND, OR) utilizados en el editor, y la
lgica se puede alternar haciendo clic en estos smbolos.
Ejemplo 2.

Este ejemplo utiliza Event Fields en la condicin de filtrado y tambin define una notificacin. A
continuacin se muetra las opciones posibles para notificaciones. Este ejemplo muestra un mensaje
emergente en la consola cuando se detectan 3 errores de inicio de sesin en cualquier lugar de la
red para la cuenta de dominio SolarWinds \ Administrator.

En este ejemplo, en lugar de arrastrar el evento UserLogonFailure, arrastre los campos

DestinationDomain y DestinationAccount del evento UserLogonFailure. Tenga en cuenta que
ambos campos se han arrastrado al mismo grupo de condiciones y se utiliza el operador lgico AND.
Tips, sobre el filtro de condiciones.

Hay algunas cosas prcticas que debe tener en cuenta sobre las condiciones de filtro. El campo
UserLogonFailure.DestinationAccount se utilizar como ejemplo de las notas siguientes.

Las condiciones del filtro tambin pueden utilizar un asterisco (*) para coincidencias
comodn.
o Admin* coincidir con true para DestinationAccount de admin, Administrator y
cualquier otra cuenta que comience con 'admin'
o Todas las coincidencias son insensibles a maysculas y minsculas.
UserLogonFailure.DestinationAccount = admin* es equivalente a
UserLogonFailure.DestinationAccount = AdMin*
Click en el signo = para cambiar a negar la condicin ( no es igual a)

Ejemplo de configuracin de un router Cisco para enviar syslog a LEM.

LEM utiliza predominantemente Syslog para recopilar registros de dispositivos de red como
firewalls, routers e switches. El servidor Syslog en el Administrador LEM escucha el nmero de
puerto estndar 514. El servidor Syslog guarda los registros en el sistema de archivos del
Administrador LEM bajo la particin /var/log. El nombre de archivo depende de la instalacin de
destino configurada en el dispositivo de red. La mayora de los dispositivos de red permiten definir
una instalacin mientras se define el servidor syslog
En la imagen anterior, se confoigura el router cisco y se registra el servidor syslog en la IP
10.130.2.170 y en la instalacin Local 4

El mapeo de la instalacin de Syslog a los nombres de archivo en LEM Manager se muestra a

continuacin.