Archivi categoria: Security & Compliance

Come connettere soluzioni di security di terze parti a OMS

Tra le varie funzionalità di Operations Management Suite (OMS) c’è la possibilità di collezionare eventi generati nel formato standard Common Event Format (CEF) ed eventi generati da device Cisco ASA. Molti vendor di soluzioni di security generano eventi e file di log rispettando la sintassi definita nello standard CEF per garantire l’interoperabilità con altre soluzioni. Configurando l’invio di dati in questo formato verso OMS e adottando la soluzione OMS Security and Audit è possibile mettere in correlazione le diverse informazioni raccolte, sfruttare il potente motore di ricerca di OMS per monitorare la propria infrastruttura, recuperare informazioni di audit, rilevare eventuali problemi e utilizzare la funzionalità di Threat Intelligence.

In questo articolo verranno approfonditi gli step necessari per integrare i log generati da Cisco Adaptive Security Appliance (ASA) all’interno di OMS. Per poter configurare questa integrazione è necessario disporre di una macchina Linux con installato l’agente di OMS (versione 1.2.0-25 o successiva) e configurarla per inoltrare i log ricevuti dagli apparati verso il workspace OMS. Per l’installazione e l’onboard dell’agente Linux vi rimando alla documentazione ufficiale Microsoft: Steps to install the OMS Agent for Linux.

Figura 1 – Architettura per la raccolta dei log da Cisco ASA in OMS

L’apparato Cisco ASA deve essere configurato per inoltrare gli eventi generati verso la macchina Linux definita come collector. Per farlo è possibile utilizzare gli strumenti di gestione del device Cisco ASA come ad esempio Cisco Adaptive Security Device Manager:

Figura 2 – Esempio di configurazione Syslog Server di Cisco ASA

Sulla macchina Linux deve essere in esecuzione il daemon syslog che si occuperà di inviare gli eventi verso la porta UDP 25226 locale. L’agente OMS è infatti in ascolto su questa porta per tutti gli eventi in ingresso.

Per fare questa configurazione è necessario creare il file security-config-omsagent.conf rispettando le specifiche seguenti a seconda della tipologia di Syslog in esecuzione sulla macchina Linux. Un possibile esempio di configurazione per inviare tutti gli eventi con facility local4 all’agente OMS è la seguente:

  • In caso di daemon rsyslog il file dovrà essere presente nella directory /etc/rsyslog.d/ con il seguente contenuto:
#OMS_facility = local4

local4.* @127.0.0.1:25226
  • In caso di daemon syslog-ng il file dovrà essere presente nella directory /etc/syslog-ng/ con il seguente contenuto:
#OMS_facility = local4  

filter f_local4_oms { facility(local4); };  

destination security_oms { tcp("127.0.0.1" port(25226)); };  

log { source(src); filter(f_local4_oms); destination(security_oms); };  

Lo step successivo è la creazione del file di configurazione Fluentd denominato security_events.conf che consente di collezionare e di fare il parsing degli eventi ricevuti dall’agente OMS. Il file è possibile scaricarlo dal repository GitHub e dovrà essere copiato nella directory /etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/.

Figura 3 – File di configurazione Fluentd dell’agent OMS

Giunti a questo punto, per rendere effettive le modifiche apportate, è necessario riavviare il daemon syslog e l’agente OMS tramite i seguenti comandi:

  • Riavvio daemon Syslog:
sudo service rsyslog restart oppure sudo /etc/init.d/syslog-ng restart
  • Riavvio agente OMS:
sudo /opt/microsoft/omsagent/bin/service_control restart

Completate queste operazioni è opportuno visualizzare il log dell’agente OMS per verificare la presenza di eventuali errori utilizzando il comando:

tail /var/opt/microsoft/omsagent/<workspace id>/log/omsagent.log

Dopo aver concluso la configurazione dal portale OMS sarà possibile digitare in Log Search la query Type=CommonSecurityLog per analizzare i dati collezionati dall’apparato Cisco ASA:

Figura 4 – Query per visualizzare eventi del Cisco ASA raccolti in OMS

La raccolta di log di questo tipo è arricchita dalla funzionalità di Threat Intelligence presente nella solution Security & Compliance che grazie a una correlazione pressoché in tempo reale dei dati raccolti nel repository OMS con le informazioni provenienti dai principali vendor di soluzioni di Threat Intelligence e con i dati forniti dai centri di sicurezza Microsoft consente di individuare la natura e l’esito di eventuali attacchi che coinvolgono i nostri sistemi, compresi gli apparati di rete.

Accedendo alla solution Security And Audit dal portale OMS viene visualizzata la sezione Threat Intelligence:

Figura 5 – Informazioni di Threat Intelligence

Selezionando il tile Detected threat types è possibile consultare i dettagli relativi ai tentativi di intrusione che nel caso seguente coinvolgono l’apparato Cisco ASA:

Figura 5 – Detected threat su Cisco ASA

In questo articolo si è entrati nel dettagli della configurazione di Cisco ASA, ma configurazioni analoghe è possibile farle per tutte le soluzioni che supportano la generazione di eventi nel formato standard Common Event Format (CEF). Per configurare l’integrazione di Check Point Securtiy Gateway con OMS vi rimando al documento Configuring your Check Point Security Gateways to send logs to Microsoft OMS.

Conclusioni

Utilizzando Operations Management Suite c’è la possibilità di consolidare e di mettere in correlazione eventi provenienti da diversi prodotti che forniscono soluzioni di security consentendo di avere una panoramica completa della propria infrastruttura e di rispondere in modo rapido e preciso ad eventuali incident di security.

OMS Log Analytics: la soluzione di Update Management per sistemi Linux

Utilizzando la soluzione di Update Management di Operations Manager Suite (OMS) si ha la possibilità di gestire e controllare in modo centralizzato lo stato di aggiornamento dei sistemi in ambienti eterogenei composti sia da macchine Windows che Linux e in modo indipendente dal loro posizionamento, on-premises piuttosto che nel cloud. In questo articolo verranno approfonditi gli aspetti della solution per quanto riguarda i sistemi Linux.

La soluzione di Update Management consente di valutare rapidamente lo stato degli aggiornamenti disponibili su tutti i server con l’agente di OMS installato ed è in grado di avviare il processo di installazione degli aggiornamenti mancanti. I sistemi Linux configurati per utilizzare questa solution richiedono oltre all’agente OMS la presenza di PowerShell Desired State Configuration (DSC) per Linux e dell’Automation Hybrid Runbook Worker (installati in modo automatico).

La solution al momento supporta le seguenti distribuzioni Linux:

  • CentOS 6 (x86/x64) e CentOS 7 (x64).
  • Red Hat Enterprise 6 (x86/x64) e Red Hat Enterprise 7 (x64).
  • SUSE Linux Enterprise Server 11 (x86/x64) e SUSE Linux Enterprise Server 12 (x64).
  • Ubuntu 12.04 LTS e successive (x86/x64).

Inoltre per poter funzionare in modo corretto è necessario che il sistema Linux abbia accesso ad un update repository. A tal proposito è bene precisare che al momento non c’è la possibilità da OMS di selezionare quali aggiornamenti applicare, ma vengono proposti tutti gli aggiornamenti disponibili dall’update repository configurato sulla macchina. Per aver un maggior controllo sugli aggiornamenti da applicare si potrebbe valutare l’utilizzo di un update repository appositamente creato e personalizzato che contiene solamente gli aggiornamenti che si desidera approvare.

Nel diagramma seguente viene mostrato il flusso delle operazioni che viene svolto dalla solution per riportare verso il workspace OMS lo stato di compliance e per applicare gli aggiornamenti mancanti:

Figura 1 – Flusso delle operazioni svolte sui sistemi Linux

  1. L’agente OMS per Linux effettua una scansione ogni 3 ore per rilevare eventuali aggiornamenti mancanti e riporta l’esito della scansione verso il workspace OMS.

Figura 2 – Dashboard OMS della soluzione di Update Management

  1. L’operatore utilizzando la dashboard di OMS può consultare l’update assessment e definire la schedulazione per il deployment degli aggiornamenti:

Figura 3 – Gestione degli Update Deployment

Figura 4 – Dashboard OMS della soluzione di Update Management

Nella creazione dell’Update Deployment viene definito un nome, l’elenco dei sistemi da coinvolgere, che può essere fornito in modo esplicito oppure utilizzando una query di Log Analytics, e una schedulazione.

  1. Il componente Hybrid Runbook Worker in esecuzione sui sistemi Linux controlla la presenza di finestre manutentive e la disponibilità di eventuali deployment da applicare. A tal proposito è bene specificare che abilitando la solution di Update Management ogni sistema Linux connesso al workspace OMS viene automaticamente configurato come Hybrid Runbook Worker per poter eseguire runbook creati per la distribuzione degli aggiornamenti. Inoltre ogni sistema gestito dalla solution costituisce un Hybrid Runbook Worker Group all’interno dell’Automation Account di OMS seguendo la naming convention Hostname_GUID:

Figura 5 – Hybrid Worker Groups

  1. Nel caso ad una macchina sia associato un Update Deployment (come membro diretto oppure perché appartiene ad uno specifico gruppo di computer) su di essa viene avviato il package manager (Yum, Apt, Zypper) per l’installazione degli aggiornamenti. L’installazione degli aggiornamenti viene pilotato da OMS tramite specifici runbook all’interno di Azure Automation. Questi runbook non sono visibili in Azure Automation e non richiedono nessuna configurazione da parte dell’amministratore.

Figura 6 – Azure Automation Account utilizzato dalla solution di Update Management

  1. Al termine dell’installazione l’agente di OMS per Linux riporta lo stato dell’Update Deployment e di compliance verso il workspace OMS.

Conclusioni

Microsoft Operations Management Suite è uno strumento consolidato che consente di gestire e monitorare ambienti eterogenei. Ancora oggi purtroppo ci si trova di fronte al dibattito sulla reale necessità di mantenere aggiornati periodicamente i sistemi Linux, ma considerando anche alcuni recenti incident di security causati da sistemi non aggiornati, è evidente che è bene disporre di una soluzione che consenta di gestire gli aggiornamenti anche per le macchine Linux. La solution di Update Management di OMS è in continua evoluzione, ma già oggi ci consente di controllare e gestire la distribuzione degli aggiornamenti anche sui sistemi Linux in modo semplice ed efficace.

Per maggiori dettagli vi invito a consultare la documentazione ufficiale Microsoft della Solution di Update Management di OMS.

Per approfondire ulteriormente questa e altre funzionalità è possibile attivare gratuitamente OMS.

 

OMS Security: presentazione della soluzione di Antimalware Assessment

Microsoft Operations Management Suite (OMS) mette a disposizione una interessante solution denominata Antimalware Assessment grazie alla quale è possibile monitorare lo stato della protezione antimalware sull’intera infrastruttura e rilevare facilmente potenziali minacce.

Per poter utilizzare la solution Antimalware Assessment è necessario sottoscrivere l’offerta “Security & Compliance” di OMS. L’installazione della solution può essere fatta seguendo la procedura illustrata nella parte iniziale dell’articolo OMS Security: Threat Intelligence oppure accedendo direttamente all’Azure Marketplace. Dopo essere attivata nel workspace di OMS non è necessaria nessuna ulteriore configurazione ed è pronta per essere utilizzata.

La solution grazie a una dashboard di facile consultazione evidenzia i sistemi senza una protezione real-time antimalware attiva ed è in grado di riportare lo stato antimalware in OMS per i seguenti prodotti:

  • Windows Defender su Windows 8, Windows 8.1, Windows 10 e Windows Server 2016.
  • Windows Security Center (WSC) su Windows 8, Windows 8.1, Windows 10, Windows Server 2016.
  • System Center Endpoint Protection (versione 4.5.216 o successiva).
  • Estensione antimalware e Windows Malicious Software Removal Tool (MSRT) attivato su macchine virtuali in Azure.
  • Symantec Endpoint 12.x e 14.x.
  • Trend Micro Deep 9.6.

Al momento vengono rilevate solamente le installazioni di alcune soluzioni di vendor di terze parti quali Symantec e Trend Micro, ma con tutta probabilità questo elenco è destinato ad aumentare.

Sui sistemi monitorati da OMS viene fatto un assessment sulla protezione verificando lo stato del prodotto antimalware, se vengono eseguite analisi a intervalli regolari e se si stanno utilizzando firme risalenti a non più di sette giorni.

Nella home page del portale OMS è presente il tile Antimalware Assessment che riporta un summary dello stato dell’infrastruttura:

Figura 1 – Antimalware Assessment tile

Selezionando questo tile si accede alla dashboard della solution Antimalware Assessment che categorizza le informazioni raccolte e le riporta in 4 tile differenti:

  • Threat Status
  • Detected Threats
  • Protection Status
  • Type of Protection

Figura 2 – Dashboard Antimalware Assessment

I primi due tile sono incentrati sulle rilevazioni delle infezioni riportando la tipologia di malware intercettato, i sistemi infettati ed evidenziando situazioni dove l’antimalware non è stato in grado di pulire il sistema dall’infezione.

Selezionando la macchina infettata oppure il nome del malware si viene rimandati nella pagina di Log Search dove è possibile consultare le informazioni dettagliate del threat rilevato:

Figura 3 – Dettagli del threat rilevato

Selezionando il link View accanto al nome del threat si viene indirizzati verso l’enciclopedia dei malware di Microsoft:

Figura 4 – Ricerca all’interno dell’enciclopedia Microsoft dei malware

Selezionando il nome del malware è possibile consultare la scheda con tutti i dettagli relativi all’infezione:

Figura 5 – Scheda con le informazioni del malware

I restanti tile riportano informazioni utili sullo stato di protezione dell’infrastruttura:

  • Quali macchine non risultano protette e per quale ragione (agente disabilitato, signature non aggiornate oppure scansione non effettuata recentemente) consentendo così di intraprendere le necessarie azioni correttive.
  • L’elenco delle soluzioni antimalware rilevate sul parco macchine.

Da questi tile è possibile fare facilmente un drill down per vedere la lista delle macchine interessate, come ad esempio la lista delle macchine senza una protezione real time attiva:

Figura 6 – Macchine senza real time protection

Conclusioni

Poter contare su uno strumento in grado di identificare velocemente sistemi con una protezione antimalware non sufficiente oppure macchine compromesse da malware è di fondamentale importanza per mitigare tentativi di compromissione dei dati aziendali ed evitare importanti incidenti di security. Microsoft Operations Management Suite (OMS) oltre a queste funzionalità include altre importanti soluzioni in questo ambito che lo rendono un ottimo strumento per garantire la security e la compliance della propria infrastruttura. Per approfondire ulteriormente questa e altre funzionalità è possibile provare la soluzione OMS gratuitamente.

OMS Security: Threat Intelligence

Tra le varie funzionalità offerte da Operations Management Suite (OMS) c’è la possibilità di attivare la solution denominata Security & Compliance che consente di identificare, valutare e mitigare potenziali rischi di security sui nostri sistemi. La solution è possibile attivarla facilmente con pochi passaggi:

  1. Accedo al portale OMS e seleziono il tile “Solutions Gallery”

Figura 1 – Step 1: attivazione solution Security & Compliance

  1. Tra le varie soluzioni offerte ho la possibilità di aggiungere “Security & Compliance” che al momento comprende le solution “Antimalware Assessment” e “Security and Audit

Figura 2 – Step 2: attivazione solution Security & Compliance

  1. Seleziono il Workspace OMS e premendo il pulsante Create la solution viene aggiunta e resa disponibile per essere utilizzata

Figura 3 – Step 3: attivazione solution Security & Compliance

In seguito all’attivazione della solution OMS si collegherà ai sistemi con l’agente installato per effettuare un security assessment che può richiedere inizialmente anche alcune ore, per poi riportare i dati elaborati nel portale. La solution è in grado di esaminare sia macchine Windows che sistemi Linux e aiuta a proteggere l’infrastrutture sia essa on-premises o nel cloud. In questo articolo approfondiremo il funzionamento del meccanismo di Threat Intelligence.

Figura 4 – Architettura Threat Intelligence

Threat Intelligence ricopre un ruolo fondamentale nell’ambito della soluzione di security di OMS grazie a una correlazione pressoché in tempo reale dei dati raccolti nel repository OMS con le informazioni provenienti dai principali vendor di soluzioni di Threat Intelligence e con i dati forniti dai centri di sicurezza Microsoft. Non dimentichiamoci che Microsoft lavora costantemente per proteggere i propri servizi nel cloud ed ha pertanto una visibilità unica e molto estesa delle minacce che possono affliggere potenzialmente i nostri sistemi. Fornendo questa funzionalità Microsoft consente ai propri clienti di beneficiare facilmente della sua conoscenza per proteggere le risorse, rilevare gli attacchi ed agire agli stessi con una rapida risposta senza dover ricorrere a complessi scenari di integrazione.

Threat Intelligence è in grado di fornire le seguenti informazioni che consentono ai team di security di effettuare le dovute azioni e di capire l’eventuale livello di compromissione dei propri sistemi:

  • Rileva la natura dell’attacco
  • Determina l’intento dell’attacco, utile per capire se si tratta di un attacco mirato alla propria organizzazione per acquisire informazioni specifiche oppure se si tratta di un attacco casuale e massivo
  • Identifica da dove deriva l’attacco
  • Intercetta eventuali sistemi compromessi e riporta i server che effettuano traffico considerato malevole verso l’esterno
  • Riporta quali file sono stati eventualmente acceduti

Per accedere alle informazioni di Threat Intelligence nella dashboard principale del portale OMS è necessario selezionare il tile “Security and Audit”:

Figura 5 – Tile Security and Audit

Nella dashboard “Security and Audit” è presente la sezione Threat Intelligence in seguito riportata:

Figura 6 – Informazioni di Threat Intelligence

Nel tile Server with outbound malicious traffic vengono segnalati i sistemi server monitorati che stanno generando traffico malevole verso Internet. Nel caso vengano segnalati sistemi in questo tile è opportuno intraprendere immediatamente dei rimedi.

Nel tile Detected threat types viene mostrato un summary dei threat rilevati recentemente:

Figura 7 – Tile Detected threat types

 Selezionando il tile è inoltre possibile ottenere maggiori dettagli a riguardo:

Figura 8 – Dettagli relative al threat rilevato

Threat Intelligence mette a disposizione anche la visualizzazione della mappa degli attacchi che consente di identificare velocemente da quale parte del globo vengono effettuati. Le frecce di colore arancione segnalano la presenza di traffico maligno in ingresso, mentre le frecce di colore rosso evidenziano traffico maligno in uscita verso determinate location. Selezionando una freccia specifica si ottengono ulteriori dettagli in merito alla fonte dell’attacco:

Figura 9 – Threat Intelligence map

Conclusioni

Rilevare potenziali attacchi e rispondere in modo rapido ed efficace a incidenti di security che avvengono nel proprio ambiente è di fondamentale importanza. Attivando la solution “Security & Compliance” di Microsoft Operations Management Suite (OMS) è possibile utilizzare la funzionalità di Threat Intelligence per rendere più efficace la propria strategie in ambito security ed avere a disposizione un potente strumento in grado di ridurre al minimo l’entità di potenziali incidenti di security. Per chi è interessato ad approfondire ulteriormente questa e altre funzionalità di OMS ricordo che è possibile provare la soluzione OMS gratuitamente.