Directives de reprise sur sinistre SIEM et meilleures pratiques
Articles techniques ID:
KB90674
Date de la dernière modification : 04/10/2022
Environnement
Enterprise Log Manager (ELM) 11.x Siem
Manager d’entreprise SIEM Enterprise Security (ESM) 11.x
SIEM Event Receiver (Receiver) 11.x
Synthèse
Lorsque le pire se produit, il n’est pas toujours connu du chemin d’accès correct pour la récupération. Ce document traite des défaillances les plus fréquentes, la meilleure façon de restaurer le service et la conservation des données existantes.
Les incidents Partagés peuvent inclure les éléments suivants :
- La perte d’ESM en raison d’une défaillance du matériel ou du système de fichiers.
- Perte du récepteur en raison d’une défaillance du matériel ou du système de fichiers.
- Perte d’ELM en raison d’une défaillance du matériel ou du système de fichiers.
- Autre disque ou système de fichiers corrompu n’impliquant pas un remplacement complet de la boîte.
Problème
La meilleure pratique professionnelle pour la reprise sur sinistre consiste à effectuer des sauvegardes régulières et à conserver une copie hors site chaque mois.
Solutions de sauvegarde et d’exportation SIEM :
- Enregistrer de la base de données ESM
- Enregistrer de la base de données ELM
- Exportation de l’Editeur de stratégies incluant des règles personnalisées
- Exportation de l’alarme
- Rapports et exportations de tableaux de bord
- Exportation Liste valeurs
- Exportation de la source de données du récepteur
Equipements sans sauvegarde. L’ESM conserve la configuration de l’équipement :
- Event Receiver (récepteur)
- Application Data Monitor (ADM)
- Database Event Monitor (DBM)
- Advanced Correlation Engine (ACE)
Solution
Récupération d’un ESM sans sauvegarde
L’ESM est l’un des équipements les plus importants à sauvegarder. Toutes les informations de source de données, de tableau de bord et de rapport sont stockées sur l’ESM. Si un ESM est perdu et qu’une sauvegarde n’est pas disponible, une récupération partielle des données peut être possible à l’aide d’une synchronisation de récepteur.
- Lorsque l’ESM est perdu, immédiatement SSH à tous les récepteurs qui y sont connectés et à la sauvegarde /etc/NitroGuard/thirdparty.conf .
Remarque : Si les noms de source de thirdparty.conf données du client contiennent un tiret (-) dans le nom, remplacez-le par un autre caractère. Cela permet d’éviter un problème dans lequel les noms de source de données sont tronqués après la synchronisation.
- Installez et installez l’ESM de remplacement dans le rack. Assurez-vous qu’il se trouve sur la même version que l’équipement précédent.
- Redéfinissez les clés SSH de tous les autres équipements Siem sur configuration par défaut. par exemple : Receiver, ACE, ADM, DBM et ELM. Pour obtenir des instructions spécifiques, suivez la procédure décrite dans KB74464-How pour réinitialiser la clé d’usine par défaut lorsque SSH n’est pas autorisé.
- Ajoutez à nouveau les équipements à l’ESM à l’aide de leur adresse IP existante. Par exemple, si l’adresse IP du récepteur avant le blocage est 192.168.100.103 , ajoutez-la au nouvel ESM avec la même adresse IP. N’écrivez aucun paramètre de source de données. Il est important que le récepteur conserve sa configuration d’origine jusqu’à ce que la synchronisation soit effectuée.
- Pour chaque récepteur qui a été rajouté, accédez à Propriétés, configuration du récepteur, synchroniser l’équipement. Si vous recevez un message d’erreur concernant le récepteur qui n’a pas besoin de sources de données, assurez-vous qu’aucune source de données n’a été ajoutée manuellement. Les sources de données incluent n’importe quel équipement ePolicy Orchestrator (ePO) associé à un récepteur. Par instance, la synchronisation de l’équipement ne fonctionne pas si le récepteur ne possède aucune source de données, mais qu’il existe un équipement ePO sur l’ESM associé à ce récepteur.
- Utilisez le fichier Receiver thirdparty.conf pour récupérer sa configuration de source de données dans ESM et pour qu’il Lise automatiquement les équipements. L’utilisation des fichiers récepteurs thirdparty.confpréserve ipsids et des ID d’équipement et permet de récupérer rapidement la collecte d’événements en autorisant l’accès aux données Elm existantes. La synchronisation de la configuration du récepteur à l’ESM prend quelques minutes.
- Une fois la synchronisation terminée, Modifiez les sources de données du récepteur dans l’onglet source de données . Ecrivez les paramètres de source de données et la stratégie de Roll.
ESM commence désormais à collecter des événements à partir du récepteur et la liste de sources de données existante est récupérée.
- Ouvrez une source de données sur le récepteur, puis cliquez sur journalisation dans la vue modifier. Cette action invite l’utilisateur à associer un ELM au récepteur. Répondez Oui et laissez l’action se terminer.
- Répétez l’étape 8 pour tous les récepteurs de l’ESM. Cette étape permet de s’assurer que l’archive ELM et la recherche ELM avancée fonctionnent plus tard.
Récupération d’un récepteur après un remplacement ou une panne
La configuration du récepteur est stockée sur l’ESM. Pour remplacer un récepteur, suivez les étapes ci-dessous :
- Le rack et l’installation du récepteur de remplacement, ou la réiso du récepteur défectueux si un RMA n’est pas nécessaire.
- Configurez le nouveau récepteur avec la même adresse IP que l’ancien récepteur et assurez-vous qu’il est sur la même version que l’équipement précédent.
- Pour activer la clé de l’équipement à partir de l’interface utilisateur graphique, accédez à Propriétés du récepteur, gestion des clés.
- Propriétés Propriétés du récepteur, dans l’onglet connexion , cliquez sur Etat. Passez à l’étape suivante lorsque l’État est extrait et ne génère pas d’erreur SSH.
- Propriétés Propriétés du récepteur, sous l’onglet source de données , modifiez n’importe quelle source de données pour activer le bouton écrire , puis cliquez sur Ecrire pour écrire les paramètres de source de données et sur appliquer la stratégie.
- La collecte des données sur le récepteur reprend après l’exécution de l’écriture et le retournement.
Récupération d’un équipement Elm sans sauvegarde de la base de données Elm
ELM est l’un des équipements SIEM les plus importants pour la conformité, et des sauvegardes doivent être créées régulièrement. Si le matériel ELM est remplacé ou nécessite une réimagerie, il est possible de le récupérer. L’emplacement de la base de données et les journaux ELM doivent se trouver sur un équipement CIFS, NFS, SAN ou iSCSI pour que la récupération soit possible.
- Installez le rack et installez le nouvel ELM en utilisant la même adresse IP que l’unité précédente. Assurez-vous que l’ELM se trouve sur la même version Siem que l’équipement d’origine.
- Réinstallez tous les volumes SAN ou iSCSI manquants dans l’onglet Propriétés Elm, stockage de données . Si vous utilisez NFS ou CIFS, ignorez cette étape.
- Générer une nouvelle clé dans l’ELM sous Propriétés, gestion des clés.
- Accédez à Propriétés Elm, pool de stockage.
- Dans la fenêtre supérieure, sous Equipements, ajoutez à nouveau l’équipement NFS, CIFS, Sanou iSCSI précédemment utilisé. Pour les équipements NFS et CIFS, assurez-vous d’utiliser le même nom de partage et le même chemin d’accès que ceux précédemment utilisés. Si le nom et le chemin d’accès du partage précédents ne sont pas connus, utilisez le chemin d’accès réseau où le mgtdb répertoire est stocké. L’idée est de créer un équipement de pool de stockage avec accès au répertoire Elm mgtdb du réseau.
- SSH à l’ELM et confirmez si le partage réseau est accessible en exécutant df -h .
- Localisez le mgtdb répertoire dans le chemin d’accès du partage réseau à partir de la ligne de commande Elm. Par exemple, si le partage NFS est 10.10.10.10 et que le point de montage est /elm_storage/nfs_1 , vous pouvez utiliser cd /elm_storage/nfs_1 et ls -al pour rechercher un mgtdb répertoire. Si tous les autres échouent, find / -name 'mgtdb' affiche tous les emplacements. Vous essayez de trouver l' emplacement d’origine mgtdb sur le réseau.
- Une fois l' emplacement d’origine mgtdb trouvé, examinez les liens symboliques dans /usr/local/elm/mgtdb et /elm_allocations/MGTDBxxx Assurez-vous qu’ils pointent finalement vers le /elm_storage/xxx nfs partage. Par instance, si le mgtdb se trouve dans /elm_storage/nfs_1/mgtdb , vous pouvez créer un lien symbolique dans /elm_allocations/xxx qui pointe vers /elm_storage/nfs_1/mgtdb . Vous pouvez ensuite créer un lien symbolique en /usr/local/elm/mgtdb pointant vers le /elm_allocations/xx, lien symbolique qui pointe vers le nfs montage dans /elm_storage/xxx . Par exemple, /usr/local/elm/mgtdb est un lien symbolique qui pointe vers /elm_allocations/MGTDB_Alloc123 et /elm_allocations/MGTDB_Alloc123 est un symlink qui pointe vers /elm_storage/nfs_1/mgtdb.
- /usr/local/elm/mgtdb le lien symbolique pointe vers /elm_allocations/MGTDB_xxx
- /elm_allocations/MGTDB_xxx pointe vers /elm_storage/name_of_NFS_mount/mgtdb
- /elm_storage/name_of_NFS_mount/mgtdb est l’emplacement où le partage NFS est monté sur SIEM et contient un sous-répertoire mgtdb, contenant la base de données.
- Exécutez la commande vi /etc/NitroGuard/mgtdbloc.conf et vérifiez que le chemin d’accès correspondant correspond au lien symbolique à l’étape 8 ; par exemple, /elm_storage/nfs_1/mgtdb .
- Pour que les modifications soient prises en compte, exécutez ELMStop et ELMStart .
- Une fois la base de données ELM démarrée, l’ELM commence à fonctionner, mais les storage.conf fichiers et alloc.conf doivent être recréés manuellement.
Connectez-vous à la base de données ELM, interrogez-la et recherchez les noms des pools de stockage et leur emplacement. Par exemple, nquery -d rec -i --long --noblob ouvre la base de données. (La base de données ELM est toujours appelée rec .) Vous pouvez ensuite récupérer les noms des équipements de stockage à l’aide select * from rg de. Il est également possible d’afficher les noms de chacun shid et le nom de l’allocation en examinant les tables telles que rg2sh ou sh .
- SSH à l’ELM nouvellement mis en service.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|