CyberArk PAS – Syslog Watcher Manager

      Nessun commento su CyberArk PAS – Syslog Watcher Manager

CyberArk PAS – Syslog Watcher Manager

CyberArk PAS con la release 15 ha ulteriormente ampliato la possibilità di utilizzare chiamate REST API per monitorare i servizi Vault Server e Disaster Recovery attraverso il nuovo Vault Remote Manager.
Questo argomento sarà probabilmente oggetto di un futuro articolo, oggi vorrei parlarvi dell’utilizzo di Syslog Watcher Manager di EZ5 Systems.

I Syslog sono utilizzati per leggere il prodotto. Ovvero, per ottenere le informazioni necessarie per gestire in maniera proattiva l’infrastruttura, sia dal punto di vista tecnico che di sicurezza. In quest’ottica, il primo passo da fare è quello di utilizzare un server Syslog.

Syslog Watcher Manager è un semplice ma completo server Syslog che permette, con semplici configurazioni, di ottenere un risultato immediato. Ovviamente, non stiamo parlando di un SIEM.

Syslog Watcher Manager

Configurazione CyberArk

Prima di poter inviare i Syslog è necessario eseguire la configurazione appropriata sui Vault CyberArk (Primary, Disaster Recovery).

I file interessati dalla configurazione sono due:
dbparm.ini, presente all’interno della directory \Server\Conf, che contiene i parametri per la configurazione

dbparm.inni

file.xsl, presente all’interno della directory \Server\Syslog che contiene i parametri per eseguire il parsing dei Syslog in base al prodotto che li riceverà

CyberArk Syslog

Di seguito la porzione di configurazione riguardante i Syslog estratta dal file dbparm.ini. Come si può notare, per l’invio al Syslog Watcher Manager ho utilizzato il file SyslogTranslator.xsl.
[SYSLOG]
SyslogServerIP=192.168.100.101
SyslogServerPort=514
SyslogTranslatorFile=Syslog\SyslogTranslator.xsl
SyslogMessageCodeFilter=0-999
UseLegacySyslogFormat=No

Nota: al termine delle modifiche sarà necessario riavviare il servizio PrivateArk Server

Per maggiori dettagli riguardanti la configurazione e sui codici di audit potete fare riferimento alla documentazione CyberArk:
Security Information and Event Management (SIEM) Applications
Vault Audit Action Codes

Configurazione Syslog Watcher Manager

L’installazione del prodotto non presenta particolari opzioni, quindi andiamo a vedere quali sono i parametri essenziali da configurare per permettere il corretto colloquio tra chi invia i Syslog ed il server che li riceve.

Dal menu principale selezionare l’opzione “Configure” e, successivamente, nella finestra “Server Configuration”, selezionare la voce “Network Interface” per impostare l’interfaccia che dovrà essere in ascolto con la relativa porta. In mancanza di particolari esigenze, è preferibile utilizzare i valori di default (514/UDP).

Network Interfaces
La seconda configurazione riguarda la sorgente da cui si riceveranno i Syslog. Selezionare il tab “Originators” selezionare la linguetta “Originators” ed infine ed aggiungere la nuova sorgente.
Andremo ad inserire le informazioni necessarie quali l’indirizzo IP sorgente ed il Parser da utilizzare. Nell’esempio il Parser utilizzato è il Common Event Format (CEF) che si integra perfettamente con il file di parsing utilizzato nel server Vault (SyslogTranslator.xsl).

Syslog Originator

Analisi eventi

Dal tab View è possibile scorrere i Syslog ricevuti con la possibilità di selezionare il layout più adatto alle esegenze: Row Messages, IETF/BSD-syslog (RFC), CEF/Firewall Logs.

Per concludere questo breve articolo ho selezionato alcuni Syslog inviati da CyberArk PAS e ricevuti da Syslog Watcher Manager.

Authentication Failure

Ho intenzionalmente eseguito una autenticazione fallita con l’account Administrator e, come si può notare, la severity riportata corrisponde a Debug che l’RFC5424 cataloga con il codice 7.

RFC5424 Severity Code
0 Emergency: system is unusable
1 Alert: action must be taken immediately
2 Critical: critical conditions
3 Error: error conditions
4 Warning: warning conditions
5 Notice: normal but significant condition
6 Informational: informational messages
7 Debug: debug-level messages

Authentication Failure

Monitor DR Replication

In questo caso, è possibile vedere le operazioni automatiche di monitoraggio della replica DR. Questo evento non indica che è in corso una replica ma è semplicemente il monitoraggio attraverso cui il server monitora se una replica DR è stata eseguita.

Monitor DR Replication

Set Password

L’ultimo evento, per gli addetti ai lavori, è forse il più interessante in quanto cristallizza il cambio password che periodicamente viene eseguito per gli account interni utilizzati dei componenti (PVWA, CPM, PSM, PSMP…) per il loro funzionamento.
Nello specifico, si stratta dell’account PVWAAppUser che, insieme all’account PVWAGWUser, viene creato per la gestione interna del componente PVWA (Password Vault Web Access).

Set Password

Conclusioni

Syslog Watcher Manager è sicuramente un prodotto che ha come punti di forza la semplicità. Installazione veloce, pochi parametri da dover configurare per essere operativi e, non di poca importanza, free (nei limiti della licenza).

Utile strumento che può tranquillamente essere affiancato ad un SIEM, magari quale opzione per i team di prodotto. Per esempio, le persone che si occupano dell’infrastruttura CyberArk PAM potrebbero avvalersi di Syslog Watcher Manager senza dover necessariamente avere accesso ad un SIEM che, generalmente, è in carico ad un ufficio sicurezza più ampio. Sicuramente è utilissimo per gli ambienti di laboratorio o per quegli ambienti di produzione dove non è possibile implementare soluzione di maggior impatto economico.

Un ringraziamento al supporto di EZ5 Systems che mi ha supportato durante la fase di configurazione

Potrebbero interessarti i seguenti articoli
CyberArk PAS – SysLog
CyberArk PAS – Monitoring

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.