Directrices y prácticas recomendadas de recuperación ante desastres de SIEM
Artículos técnicos ID:
KB90674
Última modificación: 2022-10-04 12:42:23 Etc/GMT
Entorno
Enterprise Log Manager (ELM) 11.x de Siem
SIEM Enterprise Security Manager (ESM) 11.x
SIEM Event Receiver (Receiver) 11.x
Resumen
Cuando ocurre lo peor, no se conoce siempre cuál es la ruta correcta para la recuperación. En este documento se tratan los errores más comunes, la mejor forma de restaurar el servicio y cómo conservar los datos existentes.
Entre los Ajustes generales desastres se pueden incluir los siguientes:
- Pérdida de ESM debido a un error de hardware o del sistema de archivos.
- Pérdida de receptor debido a un error de hardware o del sistema de archivos.
- Pérdida de ELM debido a un fallo de hardware o del sistema de archivos.
- Otros daños en los discos o sistemas de archivos no implican un reemplazo completo.
Problema
La mejor práctica empresarial para la recuperación de desastres es realizar copias de seguridad regulares y mantener una copia fuera del sitio cada mes.
Soluciones de copia de seguridad y exportación de SIEM:
- Copia de seguridad de base de datos ESM
- Copia de seguridad de base de datos ELM
- Exportación del editor de directivas, incluidas las reglas personalizadas
- Exportación de alarma
- Exportaciones de informes y paneles
- Exportación de lista de vigilancia
- Exportación de orígenes de datos de receptor
Dispositivos sin copia de seguridad. El ESM conserva la configuración del dispositivo:
- Event Receiver (receptor)
- Application Data Monitor (ADM)
- Database Event Monitor (DBM)
- Advanced Correlation Engine (ACE)
Solución
Recuperación de un ESM sin copias de seguridad
El ESM es uno de los dispositivos más críticos de los que se debe crear una copia de seguridad. Toda la información de orígenes de datos, paneles e informes se almacena en el ESM. Si se pierde un ESM y no hay disponible una copia de seguridad, es posible que se pueda realizar una recuperación parcial de los datos mediante una sincronización de receptores.
- Cuando se pierde el ESM, se muestra de forma directa ssh directamente a todos los receptores conectados a él y a la copia de seguridad /etc/NitroGuard/thirdparty.conf .
Nota: Si los nombres de origen de datos de thirdparty.conf cliente contienen un guion (-) en el nombre, reemplácelo por otro carácter. Si lo hace, evitará que se trunquen los nombres de orígenes de datos tras la sincronización.
- Instale el ESM de sustitución y vuelva a montarlo en el rack. Asegúrese de que está en la misma versión que el dispositivo anterior.
- Establezca para los claves SSH de todos los demás dispositivos Siem en el valor predeterminado de fábrica; por ejemplo, receptor, ACE, ADM, DBM y ELM. Para obtener instrucciones específicas, siga los pasos indicados en KB74464-cómo restablecer la clave de fábrica predeterminada cuando ssh no está autorizado.
- Vuelva a agregar los dispositivos al ESM mediante su dirección IP existente. Por ejemplo, si la dirección IP del receptor antes del bloqueo es 192.168.100.103 , agréguela al nuevo ESM con la misma dirección IP. No escriba ninguna configuración de origen de datos. Es importante que el receptor mantenga su configuración original hasta que se realice la sincronización.
- Por cada receptor que se haya reagregado, vaya a propiedades, configuración de receptor, sincronizar dispositivo. Si recibe un mensaje de error sobre el receptor que necesita tener orígenes de datos, asegúrese de que no se hayan vuelto a agregar manualmente orígenes de datos. Los orígenes de datos incluyen cualquier dispositivo de ePolicy Orchestrator (ePO) que se asocie con un receptor. Por ejemplo, el dispositivo de sincronización no funciona si el receptor no tiene orígenes de datos, pero hay un dispositivo de ePO en el ESM asociado a ese receptor.
- Utilice el archivo de receptor thirdparty.conf para extraer su configuración de origen de datos al ESM y leer automáticamente los dispositivos. El uso del archivo Receiver thirdparty.confconserva ipsids y los ID de dispositivo , y permite recuperar con rapidez la recopilación de eventos al permitir el acceso a los datos de Elm existentes. Tarda unos minutos en sincronizar la configuración del receptor con el ESM.
- Una vez finalizada la sincronización, edite los orígenes de datos del receptor en la pestaña origen de datos . Escriba la configuración del origen de datos y la Directiva de roll.
El ESM empieza ahora por recopilar eventos del receptor y se recupera la lista de orígenes de datos existente.
- Abra cualquier origen de datos en el receptor y haga clic en registro en la vista Edición. Esta acción solicita al usuario que asocie un ELM con el receptor. Responda sí y permita que se complete la acción.
- Repita el paso 8 para todos los receptores del ESM. Este paso garantiza que el archivo ELM y la búsqueda de ELM mejorada funcionen más tarde.
Recuperación de un receptor tras el reemplazo o el bloqueo
La configuración del receptor se almacena en el ESM. Para sustituir un receptor, siga estos pasos:
- El rack e instale el receptor de reemplazo, o bien vuelva a ISO el receptor fallido si no se necesita una RMA.
- Aprovisione el nuevo receptor con la misma dirección IP que el antiguo receptor y asegúrese de que esté en la misma versión que el dispositivo anterior.
- Para aplicar una clave al dispositivo desde la interfaz gráfica de usuario, vaya a propiedades de receptor, Administración de claves.
- En propiedades del receptor, ficha conexión , haga clic en Estado. Continúe con el paso siguiente cuando el estado se vuelva a extraer y no genere un error SSH.
- En la pestaña propiedades del receptor, origen de datos , modifique cualquier origen de datos para activar el botón escribir y, a continuación, haga clic en escribir para escribir la configuración del origen de datos y la Directiva de implementación.
- La recopilación de datos en el receptor se reanuda cuando se realiza la escritura y el desplazamiento.
Recuperación de un dispositivo Elm sin copia de seguridad de una base de datos Elm
El ELM es uno de los dispositivos SIEM más importantes para la conformidad, y las copias de seguridad se deben crear de forma regular. Si el hardware de ELM se sustituye o necesita recreación de imágenes, es posible que se pueda recuperar. La ubicación de la base de datos y los registros de ELM deben estar en un dispositivo CIFS, NFS, SAN o iSCSI para que la recuperación sea posible.
- Bastidor e instale el nuevo ELM con la misma dirección IP que la unidad anterior. Asegúrese de que el ELM esté en la misma versión de Siem que el original.
- Vuelva a instalar los volúmenes SAN o iSCSI que falten en propiedades de Elm, ficha almacenamiento de datos . Si se utiliza NFS o CIFS, omita este paso.
- Regenerar claves del ELM en propiedades, Administración de claves.
- Vaya a propiedades de Elm, grupo de almacenamiento.
- En la ventana superior, en dispositivos, agregue de nuevo el dispositivo NFS, CIFS, Sano iSCSI previamente utilizado. En el caso de los dispositivos NFS y CIFS, asegúrese de utilizar el mismo nombre de recurso compartido y la misma ruta que se utilizó anteriormente. Si no se conoce el nombre del recurso compartido anterior y la ruta, utilice la ruta de red en la que se almacena el mgtdb directorio. La idea es crear un dispositivo de grupo de almacenamiento con acceso al directorio Elm mgtdb de la red.
- SSH al ELM y confirme si se puede acceder al recurso compartido de red mediante la ejecución df -h .
- Localice el mgtdb directorio en la ruta del recurso compartido de red desde la línea de comandos de Elm. Por ejemplo, si el recurso compartido de NFS es 10.10.10.10 y el punto de montaje es /elm_storage/nfs_1 , puede utilizar cd /elm_storage/nfs_1 y ls -al Buscar un mgtdb directorio. Si todo lo demás falla, find / -name 'mgtdb' muestra todas las ubicaciones. Está intentando encontrar la ubicación original mgtdb en la red.
- Una vez que se haya encontrado la ubicación original mgtdb , examine los vínculos simbólicos de y /elm_allocations/MGTDBxxx Asegúrese de /usr/local/elm/mgtdb que finalmente apunten al /elm_storage/xxx nfs recurso compartido. Por ejemplo, si mgtdb se encuentra en /elm_storage/nfs_1/mgtdb , puede crear un vínculo simbólico en /elm_allocations/xxx que apunte a /elm_storage/nfs_1/mgtdb . A continuación, puede crear un vínculo /usr/local/elm/mgtdb simbólico al apuntar al symlink en /elm_allocations/xx, que, a continuación, apunta al nfs montaje en /elm_storage/xxx . A modo de ejemplo, /usr/local/elm/mgtdb es un vínculo simbólico que apunta a /elm_allocations/MGTDB_Alloc123 y /elm_allocations/MGTDB_Alloc123 es a symlink que apunta a /elm_storage/nfs_1/mgtdb.
- /usr/local/elm/mgtdb los puntos de vínculo simbólico a /elm_allocations/MGTDB_xxx
- /elm_allocations/MGTDB_xxx apunta a /elm_storage/name_of_NFS_mount/mgtdb
- /elm_storage/name_of_NFS_mount/mgtdb es donde se monta el recurso compartido de NFS en SIEM y contiene un subdirectorio que contiene la base de mgtdb, datos.
- Ejecute el comando vi /etc/NitroGuard/mgtdbloc.conf y asegúrese de que la ruta coincide con el symlink en el paso 8; por ejemplo, /elm_storage/nfs_1/mgtdb .
- Para que los cambios surtan efecto, realice ELMStop y ELMStart .
- Una vez iniciada la base de datos de ELM, el ELM comienza a funcionar, pero los storage.conf archivos y alloc.conf deben volver a crearse manualmente.
Conéctese a la base de datos de ELM, consulte y localice los nombres de los grupos de almacenamiento y su ubicación. Por ejemplo, nquery -d rec -i --long --noblob abre la base de datos. (La base de datos de ELM se sigue llamando rec .) A continuación, es posible obtener los nombres de los dispositivos de almacenamiento mediante select * from rg . También es posible obtener los nombres de cada shid y el nombre de asignación mediante el análisis de tablas como rg2sh o sh .
- SSH en el ELM recién creado.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|