• IAM
• SIEM-Integration

SIEM-Integration

---

Nutzen Sie Ihre bevorzugte SIEM-Lösung (Security Information and Event Management), um Sicherheitsereignisse zu analysieren, die von der miniOrange Identity-Plattform generiert werden. Erfassen, speichern und übermitteln Sie Sicherheitsinformationen und -ereignisse nahezu in Echtzeit an Ihre SIEM-App.

Verwenden Sie lokale und Cloud-basierte SIEM-Tools wie Splunk, SumoLogik und FortiSIEM und mehr. Sie können den Datenfeed steuern und schützen mit:

• Ereignisfilterung: Sie können die in Ihrem SIEM zu erfassenden Sicherheitsereignisse nach Sicherheitskonfiguration und Sicherheitsrichtlinie filtern, sodass Sie sich auf echte Bedrohungen konzentrieren können.
• Vorratsdatenspeicherung: Der Collector speichert Sicherheitsereignisdaten 12 Stunden lang, sodass Sie bei Bedarf zurückgehen und verpasste Ereignisse erfassen können.

Wie funktioniert die SIEM-Integration?

SIEM-Systeme erfassen Protokolldaten aus verschiedenen Quellen, einschließlich Geräten und Anwendungen. Diese zentrale Protokollaggregation ermöglicht umfassende Analysen. Wir unterstützen verschiedene Arten der SIEM-Weiterleitung:

• TCP-Weiterleitung: miniOrange kann die Protokolle über das TCP-Protokoll an verschiedene Hosts und Ports weiterleiten. Zur sicheren Übertragung der Protokollnachrichten kann TLS-Verschlüsselung verwendet werden, insbesondere bei der Weiterleitung über den Deep Security Manager.
• HTTP-Weiterleitung: miniOrange kann Ereignisprotokolle an die Ingestion-API Ihres SIEM-Tools senden.

Welche Protokollformate unterstützen wir?

Wir unterstützen derzeit das JSON-Format.

Beispiel für ein JSON-Protokollereignis

      
      {
  "audit": {
	"logId": "79804b38-3c70-11f0-ab78-06260491ad45",
	"customerId": 123456,
	"actor": {
  	"identifier": "a@gmail.com",
  	"type": "END_USER",
  	"displayName": "a d",
  	"customerId": 123456
	},
	"target": {
  	"identifier": "a@gmail.com",
  	"type": "END_USER",
  	"displayName": "a d",
  	"customerId":123456
	},
	"eventType": "Update Users Phone or Email.",
	"eventDescription": "User has updated Phone or Email.",
	"status": "SUCCESS",
	"displayMessage": "User has updated EMAIL.",
	"clientIp": "127.127.127.127"
  },
  "customerId": 123456,
  "auditKey": "Update Users Phone or Email.",
  "auditValue": "User with username: a@gmail.com has updated EMAIL to: b@gmail.com.",
  "xtraAttributes": "{}"
}
      
    

Folgen Sie der unten stehenden Schritt-für-Schritt-Anleitung zur SIEM-Integration in Cloud und On-Premise

1. SIEM-Integration in der Cloud

• Whitelist der IPs des miniOrange Identity Cloud-Servers in Ihrem SIEM-Tool-
  

  Hinweis: Kontakt miniOrange-Unterstützung um die auf der Whitelist stehenden IPs des MiniOrange-Cloud-Servers zu erhalten.

• Geben Sie die Collector/Ingestion-API-URL des SIEM-Tools frei (bei Wahl der HTTP-Weiterleitung)
  Beispielsweise - https://collectors.fed.sumologic.com/receiver/v1/http/
• Geben Sie Host und Port frei (wenn Sie sich für TCP-Weiterleitung entscheiden).
  Bei Bedarf werden Sie möglicherweise auch wegen TLS-Anmeldeinformationen kontaktiert.

2. SIEM-Integration vor Ort

Voraussetzungen:

Wir empfehlen, die Protokollebene auf Fehlernachrichten zu ändern. Wenn die Protokollebenen auf ein Minimum reduziert sind, generiert der Server in einer aktiven Produktionsumgebung große Mengen an Informationen. Alternativ können Sie die Protokollebene auf FEHLER und höher einstellen, sodass nur wichtige Protokolle protokolliert werden. Dadurch wird sichergestellt, dass nur wichtige Informationen an Ihr SIEM-Tool gesendet werden.

Sie können sogar ein spezielles Protokoll einrichten, das nur FEHLER und höher protokolliert, indem Sie die Datei log4j2.xml ändern. Sie finden die Datei log4j2.xml hier: \moas\WEB-INF\classes\log4j2.xml.

• Fügen Sie einen Appender hinzu. Am einfachsten geht das, indem Sie den folgenden kopieren.

      
        <Syslog name="Remote" host="<ip-address>" port="514" protocol="UDP">
            <PatternLayout pattern="${pattern}"/>
        </Syslog>
      
    

• Fügen Sie den Appender wie unten gezeigt in den Appender-Abschnitt ein. Achten Sie darauf, zu ersetzen mit Ihrer SIEM-IP-Adresse.



• Fügen Sie jedem Logger, der Sie interessiert, Folgendes hinzu:

      
        <appender-ref ref="Remote" />
      
    

• Beispielsweise:

      
        <asyncLogger name="com.miniorange" level="debug">
            <appender-ref ref="Remote" />
        </asyncLogger>
      
    

• Starten Sie den Server neu.