Le appliance Log Manager permettono la creazione di regole di Cyber Intelligence nonchè di alert personalizzati su eventi che possono essere importanti per la strategia aziendale.
Un prerequisito necessario è che il dispositivo da monitorare sia replicato sul logmanager o tramite configurazione syslog o tramite l’installazione del client avanzato Endpoint Client .
Per creare una regola si deve prima di tutto procedere con l’individuazione del log correlato all’evento che si intende monitorare.
Se si vuole monitorare ad esempio una login fallita su un particolare device e possibile effettuare una login errata sul dispositivo (anche syslog) ed individuare il log replicato sul logmanager dal menù Query effettuando la ricerca per il device.
Prendendo ad esempio questo log relativo all’autenticazione NTLM:
Per sapere quali assets hanno abilitato questo meccanismo di autenticazione vulnerabile è possibile creare un alert che compia un’azione ogni volta che un PC con questa autenticazione si avvia.
Spostarsi sul menù Gestione -> Cyber Intelligence e cliccare su Nuovo.
A questo punto inserire una etichetta e indicare eventuali restrizioni orarie sulla validità della regola.
Cliccare su “selezionare una condizione” e successivamente su “Aggiungi una nuova condizione”.
Indicare una descrizione della condizione, selezionare il campo e se contiene, è uguale o non deve contenere un determinato parametro.
Nell’esempio del log selezionato sono state create due condizioni:
- il livello è uguale ad “avvertimento”
- il programma è uguale a “LsaSrv”
Andranno create N condizioni e al verificarsi di tutte le condizioni scaturirà l’azione.
L’azione si configura cliccando sul form “seleziona un’azione” e successivamente su “aggiungi una nuova azione”.
Indicare una descrizione e la tipologia di azione. In base alla tipologia scelta verranno proposti i parametri da compilare:
- mail: invia una mail. Indicare il mittente, il destinatario, l’oggetto e il corpo della mail . NB per l’invio delle mail è necessario settare un server di posta in uscita in Rete -> Smarthost.
- Notifica push: invio di una notifica push al cellurare configurato in “gestione dispositivo” con rimando al download dell’app.
- Journal : scrittura dell’evento sul Journal con livello debug o importante
A questo punto è possibile settare anche una frequenza con cui si attiverà l’azione, ad esempio una frequenza di 10 volte in 5 minuti può essere utile se si tratta di un monitor sulle login fallite oppure 200 eventi in 1 minuto se si tratta di un monitor su cancellazione /modifica di file. Lasciando 1 evento in 1 minuto alla prima corrispondenza verrà attivata l’azione.
Cliccare su Salva per terminare la configurazione della regola.