Dans cet article, vous apprendrez à utiliser Qumulo Audit pour transférer des événements dans Azure Monitor et interroger Azure Log Analytics pour sécuriser vos données.

Les attaques de logiciels malveillants sont en augmentation en qualité et en quantité, infectant des centaines de milliers de systèmes informatiques et causant des millions, voire des milliards de dollars de dommages à toutes sortes d'entreprises. Il est essentiel de disposer d'une architecture de sécurité bien pensée pour tous les environnements d'infrastructure informatique sur site et dans le cloud.

L'équipe de Plateforme de données de fichiers Qumulo comprend un large éventail de technologies modernes et de services de données pour prendre en charge des architectures de sécurité holistiques. Les sections suivantes vous montreront comment utiliser la fonctionnalité de journalisation Qumulo Audit, conjointement avec Azure Log Analytics, pour suivre les opérations du système de fichiers, y compris les utilisateurs, les chemins de fichiers, les autorisations, l'état, les modifications et les suppressions.  

Étant donné que le système de fichiers Qumulo n'envoie pas d'événements d'audit directement dans Azure Monitor, nous utilisons un serveur syslog pour recevoir les messages et les transférer avec l'agent Azure Monitor vers Azure Monitor. Cet article se concentre sur le processus d'ingestion, c'est-à-dire comment obtenir les événements Qumulo dans Azure Monitor, puis effectuer quelques requêtes de base dans un espace de travail Log Analytics. Dans un blog ultérieur, nous nous concentrerons sur la chasse active aux menaces à l'aide d'Azure Sentinel.

audit et transfert syslog via l'agent Azure Monitor

Figure 1 : Audit Qumulo et transfert syslog via l'agent Azure Monitor

 

Surveillance Azure

Azure Monitor est la plate-forme de Microsoft pour stocker toutes sortes de données et de métriques de journaux de machines. Il fournit un ensemble d'outils riche pour analyser, interroger, visualiser et corréler toutes sortes de données.

Figure 2 : Présentation d'Azure Monitor

Figure 2 : Présentation d'Azure Monitor

 

L'ingestion d'événements d'audit Qumulo dans Azure Monitor vous permet de :

  • Suivez toute opération du système de fichiers.
  • Créez des requêtes avancées et corrélez différentes sources de données (par exemple, la journalisation des événements à partir d'Active Directory ou de votre pare-feu). Cela facilite grandement la détection des activités suspectes.
  • Utilisez des techniques de Machine Learning avec Azure Sentinel pour détecter automatiquement les comportements inhabituels.
  • Utilisez des classeurs d'automatisation pour exécuter des réponses automatisées.
  • Activité de suppression massive ou inhabituelle.
  • Actions inattendues de certains utilisateurs ou machines.
  • Utilisateurs et chemins avec des erreurs d'autorisations inattendues.

Pour plus d'informations sur Azure Monitoring, veuillez visiter Présentation d'Azure Monitor.

Audit Qumulo

Vérification de la connexion Qumulo Core fournit un mécanisme de suivi des opérations du système de fichiers. Lorsque les clients connectés envoient des requêtes au cluster, des messages de journal sont générés décrivant chaque opération tentée (lecture, écriture, suppression, etc.). Ces messages de journal incluent toutes les informations pertinentes sur l'événement dans le corps du message syslog : adresse IP du client, nom d'utilisateur et identifiant d'utilisateur, opération, nom de fichier et identifiant du fichier ou du répertoire cible. Les événements sont ensuite envoyés sur le réseau à une instance syslog distante spécifiée par la configuration d'audit actuelle conformément à RFC 5424

Pour plus d'informations sur Qumulo Auditing, veuillez visiter Journalisation d'audit de base de Qumulo.

Qumulo n'analyse ni n'analyse ces journaux. Par conséquent, vous pouvez les ingérer dans un outil approprié tel que Azure Monitor pour les interroger, les corréler et les visualiser avec des outils comme Analyse des journaux Azure or Sentinelle Azure.

Envoi de données d'audit Qumulo à Azure Monitor

Il existe différentes options pour envoyer des messages de journal à Azure Monitor. Par example:

  1. Utilisez le Agent de surveillance Azure pour la redirection syslog
  2. Utilisez le Agent d'analyse des journaux pour la redirection syslog 
  3. L'API du collecteur de données HTTP

Dans cet article, nous nous concentrons sur l'utilisation de l'agent de surveillance Azure. À cette date de publication (juillet 2021), l'agent Azure Monitor était en préversion. Cependant, il remplacera et consolidera quelques autres agents comme l'agent Log Analytics et l'agent Telegraph. Par conséquent, nous nous concentrons sur ce nouvel agent (nous avons également testé l'agent Log Analytics, qui fonctionne également bien, mais est déployé différemment). 

Pour plus d'informations sur les agents Azure Monitoring, veuillez visiter Présentation des agents de surveillance Azure et l’équipe de Collecteur de données HTTP site.

Étapes de mise en œuvre

Les étapes de mise en œuvre requises pour envoyer des événements d'audit Qumulo sont relativement simples :

  1. Créez un espace de travail Log Analytics dans votre portail Azure
  2. Installez l'agent des serveurs compatibles Azure Arc (requis uniquement si le serveur syslog est pas fonctionnant dans Azure)
  3. Créez une règle de collecte de données (DCR). Azure Monitoring Agent se déploiera automatiquement sur les machines cibles sélectionnées. 
  4. Configurer Qumulo pour envoyer des événements d'audit à la machine virtuelle syslog

Lors de la mise en œuvre, tous vos événements d'audit seront envoyés à Azure Monitor et vous pouvez commencer à interroger et analyser vos journaux d'audit. 

Pour les étapes de mise en œuvre détaillées, veuillez vous référer à l'article de la base de connaissances Qumulo :  Avérification Qumulo sur Azure à l'aide d'Azure Monitor. 

Analyse du journal des requêtes

Pour interroger vos journaux d'audit :

  • Connectez-vous au portail Azure
  • Aller au moniteur
  • Sélectionnez votre espace de travail Log Analytics
  • Sélectionnez les journaux
  • Entrez votre requête

Azure Log Analytics permet de saisir toutes sortes de requêtes simples et complexes avec le langage de requête Kusto (pour plus d'informations, rendez-vous sur Premiers pas avec Kusto).  

Pour afficher simplement tous les messages syslog, tapez simplement : syslog dans le fichier de recherche, puis vous verrez tous les messages syslog arriver.

syslog

Figure 3. Afficher tous les messages syslog.


| où HostName commence par "du6"

Cela listera les événements qui ont été générés à partir d'hôtes commençant par du6* uniquement.

Extraire le champ du message syslog

Les messages syslog sont stockés au format brut. Le format est décrit ici en détail et il contient plusieurs champs tels que l'IPv4 ou l'IPv6, l'ID utilisateur, le protocole, l'ordinateur, l'opération, le fichier ou répertoire cible etc.

Un échantillon ressemble à ceci :
192.168.1.10,"AD\alice",nfs,fs_read_data,ok,123,"/.snapshot/1_snapshot1225/dir/",""

Pour des requêtes plus complexes, il peut être utile d'extraire les différentes valeurs du corps du message syslog dans des champs séparés, ce qui peut être accompli par la requête suivante :

syslog
| étendre CSVFields = split(SyslogMessage, ',')
| étendre ClientIP = tostring(CSVFields[0])
| étendre UserID = tostring(CSVFields[1])
| étendre le protocole = tostring(CSVFields[2])
| étendre l'opération = tostring(CSVFields[3])
| étendre ResponseCode = tostring(CSVFields[4])
| étendre MessageID = tostring(CSVFields[5])
| étendre le fichier = tostring(CSVFields[6])
| étendre le statut = tostring(CSVFields[7])

Vous disposez maintenant de noms de champs que vous pouvez utiliser pour détailler davantage vos requêtes. Ou vous pouvez enregistrer la requête en tant que fonction qui est plus facile à réutiliser et des requêtes plus complexes. Par exemple, nous stockons la requête ci-dessus dans une fonction appelée QumuloEvents. 

Ensuite, nous pouvons voir tous les événements d'audit effectués sur des fichiers texte dans la portée sélectionnée :

QumuloÉvénements
| projet EventTime, ClientIP, Fichier, Opération
| où le fichier contient « txt »

Sortie de requête QumuloEvents

Figure 4 : Sortie de la requête pour toutes les opérations de fichier sur les fichiers avec « txt » dans leur nom

Récapitulatif 

Azure Monitor offre un vaste ensemble d'options d'analyse de données pour diverses sources et destinations. Dans cet article, nous avons fourni une vue d'ensemble de la manière dont les événements Qumulo Audit peuvent être envoyés aux journaux Azure Monitor à l'aide de l'agent Azure Monitor et de la manière dont ces événements peuvent être interrogés dans un espace de travail Log Analytics.

Dans un blog ultérieur, nous discuterons comment découvrir comportement malveillant dans votre environnement en utilisant des techniques actives de chasse aux menaces et des fonctionnalités d'apprentissage automatique (ML).

Apprendre encore plus
Contact
  • Faites un essai routier. Faites une démonstration des produits Qumulo dans nos nouveaux laboratoires pratiques interactifs ou demandez un essai gratuit.
  • Abonnez-vous au blog Qumulo pour les témoignages clients, les informations techniques et les actualités sur les produits.