CyberArk PAS – Syslog

CyberArk PAS – Syslog

CyberArk PAS è in grado di inviare Syslog per l’analisi e la gestione di allarmi. In ambito PAM (Privileged Access Management) ossia, gestione degli Account Privilegiati CyberArk è una delle società leader. Attraverso la soluzione PAS (Privileged Access Security) è possibile gestire in maniera sicura sicura il ciclo di vita degli Account Privilegiati (Password, accessi, log, etc.).
Ovviamente, parlando di sicurezza, è importante monitorare quello che succede nell’infrastruttura per poter gestire in maniera automatica o comunque nel più breve tempo possibile eventuali allarmi. Più in generale, possiamo comunque parlare di analisi dello stato del servizio e delle attività.

CyberArk PAS è in grado di inviare Syslog a differenti SIEM (Security Information and Event Management Applications). Possiamo ad esempio monitorare errori di autenticazione ed intercettare un possibile attacco oppure sfruttare i dati derivanti dal numero di connessioni ai target per generare un report. Ovviamente, l’utilizzo dei dati che CyberArk PAS è in gradi di inviare dipende dal SIEM utilizzato.

Server Central Administration

Configurazione

Per attivare l’invio di Syslog da parte di CyberArk PAS è necessario indicare l’indirizzo IP e la porta in ascolto del  server SIEM, i codici evento che si vogliono inviare ed il file di trascodifica necessario affinché il SIEM possa essere in grado di interpretare quanto ricevuto.

Test

Ovviamente, per i test di laboratorio non è necessario avere la disponibilità di un SIEM basta disporre di un tool in grado di garantire la visualizzazione dei dati ricevuti.  Per questo laboratorio ho utilizzato il tool gratuito Kiwi Syslog di Solarwinds.

KIWI SYSLOG

Per l’invio al SIEM ho utilizzato alcuni dei codici di più frequente ricorrenza come l’autenticazione all’interfaccia grafica di CyberArk PAS (PVWA), la connessione e la disconnessione ad un target ed alcuni codici di errore.

Logon – Logoff
Due dei codici Syslog maggiormente monitorati sono sicuramente quelli che permettono di verificare l’autenticazione degli utenti. Si tratta dei codici che identificano il logon ed il logoff.
CyberArk PAS - Syslog

PSMConnect – PSMDisconnect
Altri due codici molto interessanti sono quelli che identificano la connessione e la disconnessione ai target attraverso l’utilizzo delle componenti PSM/PSMP.
Syslog: PSMConnect - PSMDisconnect

Suspended
Rispetto ai precedenti esempi, il seguente codice identifica un possibile problema di sicurezza. Infatti, dopo un certo numero di autenticazioni fallite gli utenti vengono messi in uno stato di blocco (suspended). Sarà poi cura di un amministratore capire se si è trattato di un semplice problema di digitazione delle credenziali (magari memorizzate nel browser) oppure di un attacco.
Syslog: Suspended

Performance
Attraverso l’invio di Syslog è possibile monitorare anche la soluzione CyberArk. Ciò permette di identificare un eventuale degrado delle prestazioni. Il servizio Vault invia statistiche sia delle prestazioni dell’applicazione Vault che dell’utilizzo delle risorse del server Vault.CyberArk PAS - Syslog

Potrebbe interessarti il seguente articolo: CyberArk PAS Business Users

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.