مشاوره رایگان

CMDB

کاربرد

این مستند برای سامانه کورلاگ نسخه 3.6.42 کاربرد دارد.

CMDB چیست؟

Configuration Management Data Base یا به اختصار CMDB مکانی است که درآن اطلاعات پایه در خصوص تجهیزات، Networkها، کاربران، پورت ها و … پیکربندی می شود. با تنظیم CMDB این امکان به سامانه کورلاگ داده می شود تا اطلاعات جامعی در خصوص موارد ذکرشده داشته باشد. پیکربندی CMDB به عنوان اولین قدم در نصب و راه اندازی سامانه کورلاگ بسیار حائز اهمیت است. در صورت پیکربندی مناسب CMDB امکان تولید گزارشات، داشبوردها، پالیسی ها و سناریوهای بهینه تری فراهم است. پنجره CMDB شامل بخش های زیر می باشد:

  1. Devices
  2. Agents
  3. Networks
  4. Business Services
  5. Ports
  6. Miss Behavior IPs
  7. Users
  8. Processes

در ادامه به شرح هریک از بخش های CMDB خواهیم پرداخت اما با توجه به اینکه افزودن تجهیزات به منظور دریافت رخدادها از مهم ترین بخش های پیکربندی CMDB است قبل از اینکه به تنظیمات CMDB بپردازیم؛ ابتدا باید روش های دسترسی به رخدادها و اطلاعات موجود در شبکه را بررسی کنیم.

روش های دریافت رخدادها (Access Methods)

یکی از قابلیت های پایه ای سامانه CoreLog SIEM دریافت رخدادها از انواع مختلف Deviceها است. با توجه به اینکه Deviceهای مختلف رخدادهای خود را در قالب های گوناکون تولید، ذخیره و ارسال می کنند آشنایی با روش های ارسال و دریافت رخدادها می تواند مدیر سامانه را در پیکربندی بهتر سامانه یاری نماید.

بطور کلی دو روش برای دریافت رخدادها وجود دارد:

روش Push که در آن منبع رخداد مورد نظر رخدادهای خود را به سمت سامانه کورلاگ ارسال می کند. Deviceهایی که از پروتکل هایی مانند Syslog ،Netflow و SNMP Trap استفاده می کنند از این دسته می باشند.

روش Pull که در آن سامانه کورلاگ با برقراری ارتباط با منبع رخداد نسبت به واکشی رخدادها از آن اقدام می کند.  MS SQL ،Vmware و McAfee از این دسته اند.

CoreLog Agents

سامانه کورلاگ از سه نوع Agent برای جمع آوری رخدادها و پشتیبانی از روشهای Pull و Push استفاده می نماید:

  1. Inspector Agent برای دریافت رخدادها از طریق روش Pull استفاده می شود.
  2. Receiver Agent برای دریافت رخدادها از طریق روش Push استفاده می شود.
  3. OS Agent برای دریافت رخدادهای مربوط به سیستم های عامل و سرویس های نصب شده بر روی آن ها که رخدادهای خود را در Event Viewer ویندوز یا بصورت فایل ذخیره می کنند استفاده می شوند. دقت نمایید روش ارسال اطلاعات در OS Agent ها بصورت Push می باشد.

تمامی Agent های سامانه کورلاگ از طریق ماژول Connector مدیریت می شوند. این ماژول بعنوان ورودی سامانه کورلاگ ارتباط مستقیمی با تجهیرات شبکه و سرویس ها دارد و رخدادها را از طریق Agent های خود دریافت می کند. علاوه بر Push و Pull بودن روش دسترسی به رخدادها، Agent ها در یک دسته بندی دیگر نیز مجزا می شوند External/Internal. این بدان معنی است که OS Agent ها بر روی ماشین هایی نصب می شوند که مدیریت آنها در اختیار کورلاگ نیست و به آنها External می گویند اما Receiver Agent و Inspector Agent در ماشین لینوکسی Connector هستند و لذا مدیریت این ماشین در اختیار سامانه کورلاگ است. جدول زیر این تقسیم بندی را نمایش می دهد.

1 OS Agent External Push
2 Receiver Agent Internal Push
3 Inspector Agent Internal Pull

فرایند افزودن سنسورها در سامانه کورلاگ

برای دریافت رخدادها از هر یک از منابع، با توجه روش تولید، ذخیره سازی و ارسال رخداد، فرایندی جهت پیکربندی سامانه کورلاگ وجود دارد که در ادامه به آن پرداخته خواهد شد.

پیکربندی منابع رخداد Pull Based

  1. پیکربندی منبع رخداد ( به مستند پیکربندی منبع رخداد مورد نظر مراجعه شود)
  2. تعریف Credential ( به مستند Credential Management مراجعه شود)
  3. تعریف Device (به بخش افزودن Device مراجعه شود)
  4. تعریف Event Source (به بخش افزودن Event Source مراجعه شود)
  5. تست و اشکال یابی (به مستند Device Installation Tshoot مراجعه شود)

پیکربندی منابع رخداد Push Based

  1. پیکربندی منبع رخداد ( به مستند پیکربندی منبع رخداد مورد نظر مراجعه شود)
  2. Approve نمودن Device (به بخش افزودن Device مراجعه شود)
  3. تعریف Event Source (به بخش افزودن Event Source مراجعه شود)
  4. تست و اشکال یابی (به مستند Device Installation Tshoot مراجعه شود)

افزودن Device در CMDB

با توجه به روش دریافت رخدادها برای افزودن یک Device به سامانه کورلاگ دو روش وجود دارد:

Approve نمودن Deviceهای Push Based

سامانه کورلاگ بصورت پیش فرض رخدادهای ارسال شده از سمت Deviceهایی که توسط مدیر سامانه مورد تایید قرار نگرفته اند و به آنها GUID اختصاص داده نشده را ذخیره نمی کند و مشخصات آنها را در بخش CMDB — > Unapproved — > Unapproved Devices بعنوان Deviceها تایید نشده نمایش می دهد. به فرایند تایید Deviceها توسط مدیر سامانه جهت ذخیره سازی رخدادهای آنها Approve نمودن Device می گویند. با توجه به موارد ذکر شده هر دیوایسی که در CMDB به آن GUID اختصاص داده نشده باشد بعنوان Unapproved Device در نظر گرفته می شود. در صورتیکه منبع رخداد از روش Push استفاده نماید پس از پیکربندی آن، درصورت باز بودن پورت های مورد نیاز بین منبع رخداد و Connector، رخدادها توسط سامانه کورلاگ دریافت شده و آدرس IP آن Device در بخش Unapproved Devices قابل مشاهده می باشد. برای Approve نمودن سیستم می بایست بصورت زیر عمل کرد.

در قسمت CMDB — > Unapproved — > Unapproved Devices بر روی سیستم مورد نظر راست کلیک کرده و گزینه Create New Device را انتخاب می کنیم و اطلاعات درخواست شده را به صورت زیر تکمیل می نماییم.

1 Name نام Device در سامانه کورلاگ
2 IP Address

آدرس Device که رخدادها از آن دریافت می شوند
3 Host Name

نام Device در شبکه سازمان
4 Description

توضیحات
5

Notify Group

گروه کاربری که در جریان حوادث این Device قرار دارد
6

Geo Location

محل جغرافیایی Device
7

Device Group

موقعیت Device در دسته بندی های Device Group
8 Critically

درجه اهمیت Device برای سازمان
9 Parent Machine

نام کانکتوری که مسئول جمع آوری رخدادها Device است

در این حالت وضعیت سیستم مورد نظر در ستون Status به Pending تغییر می یابد و این بدین معنی است که سامانه در حال ساخت Account سیستم مورد نظر است(ساخت Account یک سیستم در برخی موارد ممکن است چند دقیقه طول بکشد).

پس از ساخت Account سیستم توسط سامانه کورلاگ، مشخصات سیستم از Unapproved Devices حذف شده و در CMDB — > Devices ظاهر می شود.

Approve نمودن Deviceهای Pull Based

با توجه به اینکه منابع رخداد Pull Based رخدادی به سمت سامانه کورلاگ ارسال نمی کنند و سامانه کورلاگ بر اساس یک مقدار زمان Pull Interval نسبت به ارسال Query و جمع آوری رخدادها از منبع رخداد مورد نظر اقدام می کند، لذا مشخصات اینگونه منابع در بخش Unapproved Device قابل مشاهد نمی باشد. از اینرو روش افزودن اینگونه منابع به سامانه بصورت دستی می باشد. برای این منظور باید از طریق CMDB — >  Devices  و انتخاب گزینه New در نوار ابزار نسبت به افزودن Device اقدام نموده و در پنجره ظاهر شده مشخصات Device همانند جدول بالا تکمیل شود.

افزودن Event Source در CMDB

افزودن Event Source برای هر Device در سامانه کورلاگ بر اساس Access Method صورت می گیرد که در سند Knowledge DB به آنها اشاره شده است.

منابع رخداد ویندوزی

در صورتیکه از OS Agent برای دریافت رخدادهای منبع رخدادی بغیر از سیستم عامل ویندوز شامل DNS، DHCP و دیگر سرویس ها یا ابزارهای ویندوزی استفاده گردد پس از Approve نمودن سیستم عامل و تنظیم Agent Profile و نصب Agent، در پنجره CMDB وارد بخش Devices شده و Device مورد نظر را انتخاب می کنیم و از بخش پایین پنجره که مربوط به Event Source می باشد گزینه New را انتخاب کرده و در پنجره ظاهر شده برای موارد Event Source و Access Method گزینه مناسب را انتخاب می کنیم.

 برای اطلاعات بیشتر در خصوص روش دریافت اطلاعات از هر منبع رخداد به ماژول Knowledge DB در سامانه کورلاگ مراجعه گردد.

منابع رخداد Push Base

در صورتیکه  منبع رخداد از روش Push Base برای ارسال رخداد ها استفاده نماید پس از تنظیم سنسور و Approve نمودن Device، در پنجره CMDB وارد بخش Devices شده و Device مورد نظر را انتخاب می کنیم و از بخش پایین پنجره که مربوط به Event Source می باشد گزینه New را انتخاب کرده و در پنجره ظاهر شده برای موارد  Event Source  و Access Method  گزینه مناسب را انتخاب می کنیم.

برای اطلاعات بیشتر در خصوص روش دریافت اطلاعات از هر منبع رخداد به ماژول Knowledge DB در سامانه کورلاگ مراجعه گردد.

منابع رخداد Pull Base

در صورتیکه منبع رخداد Pull Base باشد قبل از تعریف Event Source و پس از تعریف Credential برای سنسور مورد نظر (برای تعریف Credential به مستند پیکربندی منبع رخداد مورد نظر مراجعه شود) در پنجره CMDB وارد بخش Devices شده و Device مورد نظر را انتخاب می کنیم و از بخش پایین پنجره که مربوط به Event Source می باشد گزینه New را انتخاب کرده و در پنجره ظاهر شده برای موارد Event Source  و Access Method  و Credential گزینه مناسب را انتخاب می کنیم.

برای اطلاعات بیشتر در خصوص روش دریافت اطلاعات از هر منبع رخداد به ماژول Knowledge DB در سامانه کورلاگ مراجعه گردد.

تنظیم موارد تکمیلی در Event Source

 Alert Threshold

بر اساس دقیقه مدت زمانی را مشخص می کند که در صورت عدم دریافت رخداد از منبع رخداد مورد نظر، سامانه کورلاگ بصورت خودکار رخدادی با عنوان Event source alert threshold reached را در بخش System Log ثبت می کند تا مدیر سامانه را از قطع شدن دریافت رخداد از منبع مورد نظر مطلع سازد.

Lag Time

بر اساس ثانیه در صورتیکه زمان ثبت شده در رخداد خام (Time Stamp) با زمان دریافت رخداد توسط سامانه کورلاگ بیش از مقدار Lag Time اختلاف داشته باشد در System Log رخدادی با عنوان Time Lag Detected on Feeder ثبت می شود.

Notify Time Lag

با توجه به اینکه Lag Time بر اساس هر رخداد دریافتی از سنسور بصورت مجزا محاسبه می شود ممکن است در یک دقیقه بیش از چند صد یا چند هزار رخداد با Lag Time توسط سامانه از یک سنسور دریافت شود از اینرو Notify Lag Time بر اساس دقیقه مشخص می کند که تعداد Time Lag های حادث شده را با فاصله زمانی تعیین شده در System Log ثبت نماید. بعنوان مثال اگر مقدار Notify Lag Time برابر 5 باشد به این معنی است که سامانه هر پنج دقیقه یکبار تعداد رخدادهایی که Lag Time داشته ان را بصورت یک رخداد Time Lag Detected on Feeder در System Log ثبت می نماید.

دقت شود در خصوص Access Method های Pull Base با توجه به اینکه زمان واکشی رخدادها 5 دقیقه یکبار است (با توجه به تنظیمات Credential Management) زمان در نظر گرفته شده برای Lag Time باید به اضافه 300 ثانیه شود.

درخواست مشاوره رایگان

تیم فروش و کارشناسان فنی بهین راهکار در اسرع وقت با شما تماس خواهند گرفت

در مسیر امنیت، هر قدم کنار شما هستیم

درخواست دمو

تیم فروش و کارشناسان فنی بهین راهکار در اسرع وقت با شما تماس خواهند گرفت تا دموی شخصی‌سازی‌شده مطابق نیازهای سازمان شما را ارائه دهند.

در مسیر امنیت، هر قدم کنار شما هستیم