Інтеграція Fortinet VPN із Wazuh SIEM дасть змогу розширити можливості контролю VPN підключень за допомогою геолокації. Така інтеграція також покращить видимість мережі та посилить процес розслідування подій, пов’язаних із VPN.
При роботі з VPN варто отримати інформацію не лише про невдалі входи у VPN, але й про успішні, щоб виявити й проаналізувати аномалії, такі як викрадений доступ до VPN.
Щоб досягти цього, потрібно інтегрувати Wazuh SIEM із Fortigate для збору даних про події через системний журнал. За замовчуванням FortiOS встановлює рівень сповіщень та фіксації в системному журналі на «попередження». Щоб зафіксувати успішні події входу в мережу VPN і розширити можливості журналювання, потрібно налаштувати рівень сповіщень та фіксації на «інформацію» за допомогою інтерфейсу командного рядка (CLI).
#config log syslogd filter
#set severity information
#show full-configuration
На цьому етапі через системний журнал також буде повідомлено про успішні входи в VPN. Це можна підтвердити за допомогою tcpdump на платформі SIEM у поєднанні з grep.
# tcpdump -A -nnn udp and host [FORTIGATE IP] | grep tunnel-up
[…]
date=2023-XX-XX time=11:XX:00 devname=”XXX” devid=”XXXXXXXX”
eventtime=XXXXXXXXXXXXXXX tz=”+0200″ logid=”XXXXXXX” type=”event” subtype=”vpn”
level=”information” vd=”root” logdesc=”SSL VPN tunnel up” action=”tunnel-up” tunneltype=”ssl-web” tunnelid=XXXXXXX remip=XXX.XXX.229.187 user=”XXXXXXXX”
group=”VPN” dst_host=”N/A” reason=”login successfully” msg=”SSL tunnel established”
[…]
Однак у FortiOS є проблема, оскільки вона розміщує публічну IP-адресу користувачів у полі «remip». Хоча декодери Wazuh можуть успішно проаналізувати це поле, воно не надає інформації про геолокацію, яка є важливою для розслідувань, таких як виявлення віддалених і неавторизованих входів.
Щоб включити інформацію про геолокацію в це поле, потрібно змінити конфігурацію FileBeat у системі Wazuh, додавши таке:
{
“geoip”: {
“field”: “data.remip”,
“target_field”: “GeoLocation”,
“properties”: [“city_name”, “country_name”, “region_name”, “location”],
“ignore_missing”: true,
“ignore_failure”: true
}
},
to /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json and /usr/share/filebeat/module/wazuh/archives/ingest/pipeline.json.
Після цього потрібно «сказати» FileBeat подбати про це, виконавши:
#filebeat setup –pipelines
Можна перевірити, чи оновлено pipeline, запустивши запит GET _ingest/pipeline за допомогою Wazuh Dashboard Dev Tool.
Завдяки змінам, внесеним до конфігурації FileBeat у системі Wazuh, події Wazuh тепер мають включати події VPN з інформацією про геолокацію. Це значно покращить видимість і можливості дослідження для виявлення та аналізу дій, пов’язаних з VPN.
Якщо все функціонує належним чином, то тепер в адміністраторів є повніше уявлення про доступ до VPN. А отже, вони матимуть змогу краще підготуватися до виявлення будь-яких підозрілих або неавторизованих дій.
Візуалізація на інформаційній панелі OpenSearch, допоможе також отримати карту світу з успішним і невдалим входом через VPN.
