Diretrizes de recuperação de desastres do SIEM e práticas recomendadas
Artigos técnicos ID:
KB90674
Última modificação: 2022-10-04 12:42:14 Etc/GMT
Ambiente
Enterprise Log Manager (ELM) 11.x SIEM
SIEM Enterprise Security Manager (ESM) 11.x
SIEM Event Receiver (Receiver) 11.x
Resumo
Quando o pior acontece, nem sempre é conhecido qual é o caminho correto para a recuperação. Este documento aborda as falhas mais comuns, a melhor maneira de restaurar o serviço e como preservar os dados existentes.
Os desastres Em Comum podem incluir o seguinte:
- Perda do ESM devido a uma falha de hardware ou de arquivo sistema.
- Perda de receptor devido a uma falha de hardware ou de arquivo sistema.
- Perda de ELM devido a uma falha de hardware ou do sistema de arquivo.
- Outro disco ou dano no sistema de arquivos não envolve uma substituição de caixa cheia.
Problema
A melhor prática de negócios para a recuperação de desastres é fazer backups regulares e manter uma cópia externa em um local mensal.
Soluções de backup e exportação do SIEM:
- Backup do banco de dados do ESM
- Backup do banco de dados ELM
- Exportação do editor de políticas, incluindo regras personalizadas
- Exportação de alarme
- Relatórios e dashboard exportações
- Exportação da lista de observação
- Exportação de origem de dados do receptor
Dispositivos sem backup. O ESM mantém a configuração do dispositivo:
- Event Receiver (Receiver)
- Application Data Monitor (ADM)
- Database Event Monitor (DBM)
- Advanced Correlation Engine (ACE)
Solução
Recuperação de um ESM sem backups
O ESM é um dos dispositivos mais importantes para backup. Todas as informações de origem de dados, dashboard e relatório são armazenadas no ESM. Se um ESM for perdido e um backup não estiver disponível, uma recuperação parcial de dados poderá ser possível usando uma sincronização de receptor.
- Quando o ESM é perdido, o ssh imediatamente diretamente para todos os receptores conectados a ele e para backup /etc/NitroGuard/thirdparty.conf .
Nota: Se os nomes thirdparty.conf das origens de dados do cliente contiverem um traço (-) no nome, substitua-o por outro caractere. Isso evita um problema no qual os nomes das origens de dados são truncados após a sincronização.
- Instale e em rack o ESM de substituição. Certifique-se de que ele esteja na mesma versão do dispositivo anterior.
- Defina as chaves SSH de todos os outros dispositivos do SIEM de volta para o padrão de fábrica; por exemplo, o receptor, ACE, ADM, DBM e ELM. Para obter instruções específicas, siga as etapas descritas em KB74464-como redefinir a chave de fábrica padrão quando o SSH não for autorizado.
- Adicione os dispositivos de volta ao ESM usando o endereço IP existente. Por exemplo, se o endereço IP do receptor antes da falha for 192.168.100.103 , adicione-o ao novo ESM com o mesmo endereço IP. Não anote nenhuma configuração de origem de dados. É importante que o receptor mantenha sua configuração original até que a sincronização seja concluída.
- Para cada receptor que tenha sido readicionado, vá para Propriedades, configuração do receptor, sincronizar dispositivo. Se você receber uma mensagem de erro sobre o receptor que precisa não ter origens de dados, certifique-se de que nenhuma origem de dados tenha sido adicionada manualmente de volta. As origens de dados incluem todos os dispositivos ePolicy Orchestrator (ePO) que se associam a um receptor. Por exemplo, o dispositivo de sincronização não funcionará se o receptor não tiver origens de dados, mas há um dispositivo ePO no ESM que está associado a esse receptor.
- Use a arquivo do receptor thirdparty.conf para efetuar pull de sua configuração de origem de dados para o ESM e automaticamente ler os dispositivos. O uso do arquivo de receptores thirdparty.confpreserva ipsids e IDs de dispositivo e possibilita a recuperação rápida da coleta de eventos, permitindo o acesso aos dados do Elm existentes. Leva alguns minutos para sincronizar a configuração do receptor de volta com o ESM.
- Quando a sincronização for concluída, edite as origens de dados do receptor na guia origem de dados . Anote as configurações de origem de dados e as políticas de registro.
O ESM agora começa a coletar eventos do receptor e a lista existente de origens de dados é recuperada.
- Abra qualquer origem de dados no receptor e clique em efetuar logon na exibição Editar. Esta ação pede que o usuário associe um ELM ao receptor. Responda Sim e permita que a ação seja concluída.
- Repita a etapa 8 para todos os receptores no ESM. Essa etapa garante que o ELM Archive and Enhanced ELM Search funcione mais tarde.
Recuperação de um receptor após a substituição ou falha
A configuração do receptor é armazenada no ESM. Para substituir um receptor, siga as etapas abaixo:
- Rack e instala o receptor de substituição, ou renovar o receptor com falha, se um RMA não for necessário.
- Configure o novo receptor com o mesmo endereço IP do antigo receptor e certifique-se de que ele esteja na mesma versão do dispositivo anterior.
- Codifique o dispositivo da interface gráfica do usuário indo até Propriedades do receptor, Gerenciamento de chaves.
- Em Propriedades do receptor, guia conexão , clique em status. Continue para a próxima etapa quando o status for devolvido e o não gerar um erro de SSH.
- Na guia Propriedades do receptor, origem de dados , modifique qualquer origem de dados para ativar o botão escrever e, em seguida, clique em gravar para gravar as configurações de origem de dados e a política de distribuição.
- A coleta de dados no receptor é retomada após a execução da gravação e da rolagem.
Recuperação de um dispositivo Elm sem um backup do banco de dados do Elm
O ELM é um dos dispositivos mais importantes do SIEM para fins de conformidade, e os backups devem ser criados regularmente. Se o hardware do ELM for substituído ou precisar de recriação de imagem, talvez seja possível recuperá-lo. O local do banco de dados e os registros do ELM devem estar em um dispositivo CIFS, NFS, SAN ou iSCSI para recuperação, para que seja possível.
- Rack e instale o novo ELM usando o mesmo endereço IP da unidade anterior. Verifique se o ELM está na mesma versão do SIEM que o original.
- Reinstale todos os volumes SAN ou iSCSI ausentes na guia Propriedades do Elm, armazenamento de dados . Se o NFS ou o CIFS for usado, pule esta etapa.
- Rechaveamento o ELM em Propriedades, Gerenciamento de chaves.
- Vá para Propriedades do Elm, lista de armazenamento.
- Na janela superior, em dispositivos, adicione novamente o dispositivo NFS, CIFS, Sanou iSCSI usado anteriormente. Para dispositivos NFS e CIFS, certifique-se de usar o mesmo nome de compartilhamento e caminho que foram usados anteriormente. Se o nome e o caminho do compartilhamento anterior não forem conhecidos, use o caminho de rede em que o mgtdb diretório está armazenado. A idéia é criar um dispositivo de pool de armazenamento com acesso ao diretório ELMs mgtdb na rede.
- SSH para o ELM e confirme se o compartilhamento de rede pode ser acessado pela execução df -h .
- Localize o mgtdb diretório no caminho de compartilhamento de rede a partir da linha de comando Elm. Por exemplo, se o compartilhamento NFS for 10.10.10.10 e o ponto de montagem for /elm_storage/nfs_1 , você poderá usar cd /elm_storage/nfs_1 o e ls -al encontrar um mgtdb diretório. Se tudo falhar, find / -name 'mgtdb' mostra todos os locais. Você está tentando encontrar o local original mgtdb na rede.
- Depois que o local original mgtdb for encontrado, examine os links /usr/local/elm/mgtdb simbólicos e /elm_allocations/MGTDBxxx Verifique se eles eventualmente retornam ao /elm_storage/xxx nfs compartilhamento. Por exemplo, se o mgtdb for encontrado no /elm_storage/nfs_1/mgtdb , você poderá criar um link simbólico no ponto em /elm_allocations/xxx que aponte para /elm_storage/nfs_1/mgtdb . Em seguida, você pode criar um link /usr/local/elm/mgtdb simbólico apontando para o link simbólico em /elm_allocations/xx, que, em seguida, aponta para o nfs Mount in /elm_storage/xxx . Por exemplo, /usr/local/elm/mgtdb é um link simbólico que aponta para /elm_allocations/MGTDB_Alloc123 e /elm_allocations/MGTDB_Alloc123 é um symlink ponto que aponta para /elm_storage/nfs_1/mgtdb.
- /usr/local/elm/mgtdb ponto de vínculo simbólico para /elm_allocations/MGTDB_xxx
- /elm_allocations/MGTDB_xxx aponta para /elm_storage/name_of_NFS_mount/mgtdb
- /elm_storage/name_of_NFS_mount/mgtdb é onde o compartilhamento NFS é montado no SIEM e contém um subdiretório que contém o banco de mgtdb, dados
- Execute o comando vi /etc/NitroGuard/mgtdbloc.conf e certifique-se de que o caminho corresponde ao link simbólico na etapa 8; por exemplo, /elm_storage/nfs_1/mgtdb .
- Para que as alterações entrem em vigor, execute ELMStop o e ELMStart o.
- Depois que o banco de dados do ELM é iniciado, o ELM começa a funcionar, mas os storage.confalloc.conf arquivos precisam ser recriados manualmente.
Conecte-se ao banco de dados do ELM, consulte-o e encontre os nomes dos grupos de armazenamento e sua localização. Por exemplo, nquery -d rec -i --long --noblob abre o banco de dados. (O banco de dados do ELM ainda é chamado rec .) Em seguida, é possível obter os nomes dos dispositivos de armazenamento usando select * from rg o. Também é possível obter os nomes de cada shid nome de alocação, examinando tabelas como rg2sh ou sh .
- SSH para o ELM com a Comissão nova.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|