Con las funcionalidades de BizTalk para la captación y tratamiento de ficheros, combinado con la posibilidad de exportación a XML del visor de suceso, podemos realizar un correlador de alertas de nuestros Logs.
Los correladores de alertas son nuestra última línea defensiva, el disparador de la alarma cuando han caído las defensas perimetrales. Pero esto tiene un riesgo ¿ un evento va producir la alarma?? No, será un conjunto de eventos los que van a provocar la alarma, en este punto entra en juego BizTalk y sus orquestaciones.
Una orquestación es el flujo de un programa en BizTalk, al ser un flujo de acciones nos permite gestionar los eventos registrados por el “Visor de Sucesos” y dispara la alarma en los casos necesarios. Además con las herramientas de lenguaje de BizTalk se pueden modificar las correlaciones de eventos, representadas en las orquestaciones.
Pero para que esto funcióne, conviene prepara el sistema para que nos avise y sea en la medida necesaria. Para ello utilizaremos secpol.msc
Con esta consola activaremos los procesos de auditoría, los cuales actuaran de informadores de nuestro sistema. Con la activación de auditoría de objeto, podremos controlar el acceso a programas o ficheros de nuestro sistema y conocer quienes acceden a dicho objetos, como pueden ser: winlogon, nt ,cmd….
Activando los diferentes procesos de auditoría y con la posibilidad del Visor de sucesos de generar los evento en XML, enviaran la información necesaria para que BizTalk tome los datos del visor de sucesos y según la configuración que hemos realizado de la sucesión de eventos se dispare una alarma.
La ventaja de usar un sistema automatizado para la gestión de los eventos, es la lectura de los mismos. La lectura de un log generado durante un fin de semana, no es la mejor manera para empezar un lunes y aun peor cuando no solo es un log sino uno por dispositivo de red, el firewall, los del sistema de Windows, errores en las aplicaciones… . Por ello la necesidad del sistema automatizado y aislado.
Con el visor de sucesos podemos crear vistas personalizadas para realizar un primer nivel de filtrado en los eventos a gestionar.
Para generar estos filtrados es muy útil tener una lista con los identificadores de los eventos como la referenciada en: http://support.microsoft.com/kb/299475
Con ello filtraremos los eventos que nos interesan, y si se da una sucesión de ciertos elementos, desencadenar la alerta y avisos necesarios.
En este punto entra BizTalk, para gestionar la consecución de los eventos. BizTalk puede lanzar la alarma tanto en forma de Emails, generación de ficheros, comunicación con otros sistemas para comunicar la alarma.
Pero para que la gestión sea correcta y funcional nos quedaría colocar el servidor de BizTalk en un entrono aislado, con su acl, en un segmento con firewall físico o TMG, además del firewall personal en el propio servidor. La razón de esta protección es salvaguardar las últimas pistas de una intrusión, nuestro servidor de Logs.
Un saludo!!
Enviado
dic 24 2009, 10:38
por
Ignacio Briones