CyberArk PAS – SysLog
CyberArk PAS è in grado di inviare SysLog per l’analisi e la gestione di allarmi. In ambito PAM (Privileged Access Management) ossia, gestione degli Account Privilegiati CyberArk è una delle società leader. Attraverso la soluzione PAS (Privileged Access Security) è possibile gestire in maniera sicura il ciclo di vita degli Account Privilegiati (Password, accessi, log, etc.).
Ovviamente, parlando di sicurezza, è importante monitorare quello che succede nell’infrastruttura per poter gestire in maniera automatica o comunque nel più breve tempo possibile eventuali allarmi. Più in generale, possiamo comunque parlare di analisi dello stato del servizio e delle attività.
CyberArk PAS può inviare SysLog (System Log) a differenti SIEM (Security Information and Event Management Applications). Possiamo ad esempio monitorare errori di autenticazione ed intercettare un possibile attacco oppure sfruttare i dati derivanti dal numero di connessioni ai target per generare un report. Ovviamente, l’utilizzo dei dati che CyberArk PAS è in gradi di inviare dipende dal SIEM utilizzato.
Configurazione
Per attivare l’invio di Syslog da parte di CyberArk PAS è necessario indicare l’indirizzo IP e la porta in ascolto del server SIEM, i codici evento che si vogliono inviare ed il file di trascodifica necessario affinché il SIEM possa essere in grado di interpretare quanto ricevuto.
Test
Ovviamente, per i test di laboratorio non è necessario avere la disponibilità di un SIEM basta disporre di un tool in grado di garantire la visualizzazione dei dati ricevuti. Per questo laboratorio ho utilizzato il tool gratuito Kiwi Syslog di Solarwinds.
Per l’invio al SIEM ho utilizzato alcuni dei codici di più frequente ricorrenza come l’autenticazione all’interfaccia grafica di CyberArk PAS (PVWA), la connessione e la disconnessione ad un target ed alcuni codici di errore.
Logon – Logoff
Due dei codici Syslog maggiormente monitorati sono sicuramente quelli che permettono di verificare l’autenticazione degli utenti. Si tratta dei codici che identificano il logon ed il logoff.
PSMConnect – PSMDisconnect
Altri due codici molto interessanti sono quelli che identificano la connessione e la disconnessione ai target attraverso l’utilizzo delle componenti PSM/PSMP.
Suspended
Rispetto ai precedenti esempi, il seguente codice identifica un possibile problema di sicurezza. Infatti, dopo un certo numero di autenticazioni fallite gli utenti vengono messi in uno stato di blocco (suspended). Sarà poi cura di un amministratore capire se si è trattato di un semplice problema di digitazione delle credenziali (magari memorizzate nel browser) oppure di un attacco.
Performance
Attraverso l’invio di Syslog è possibile monitorare anche la soluzione CyberArk. Ciò permette di identificare un eventuale degrado delle prestazioni. Il servizio Vault invia statistiche sia delle prestazioni dell’applicazione Vault che dell’utilizzo delle risorse del server Vault.
Potrebbe interessarti il seguente articolo: CyberArk PAS Business Users