Il Log Management è la registrazione degli accessi logici (log files) ai sistemi di elaborazione e archivi elettronici. Un log file è un file contenente lo storico delle operazioni effettuate, in ordine cronologico, utilizzando un computer o un altro dispositivo.
Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità, adeguate allo scopo di verifica per cui sono richieste e devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate nonché essere conservate per un periodo non inferiore a sei mesi.
Gli amministratori IT, sempre più di frequente, necessitano di strumenti che permettano alle aziende di essere conformi al Regolamento Europeo per la Protezione dei Dati Personali. L’obbligo di salvare i log file, sempre in ottica GDPR, è un presupposto fondamentale per poter ricostruire un’eventuale violazione d’accesso ad una rete o ad un file.
L’obiettivo diventa, quindi, catalogare queste informazioni sensibili su una piattaforma cloud scalabile ed affidabile come Microsoft Azure tramite agenti che si occuperanno di mantenere allineato questo spazio di archiviazione. Raggiunto questo obiettivo, è possibile raffinare la soluzione impostando la retention dei dati (ossia per quanto tempo mantenerli disponibili) unitamente a dei filtri per visualizzare soltanto le informazioni più utili al monitoraggio.
Trattandosi di archiviazione cloud, è bene tenere presente l’aspetto economico: l’archiviazione di informazioni superflue produrrà maggiori costi oltre ad una maggiore difficoltà di reperimento dei dati necessari.
In questo articolo andremo a vedere come creare uno spazio di lavoro cloud (workspace) in Microsoft Azure e come abilitare “Audit login/logoff” tramite GPO sul server di Dominio per catalogare sul Domain Controller i log relativi agli accessi. In un secondo momento gli stessi log verranno caricati nella sottoscrizione Azure per essere archiviati e interrogati tramite Azure Monitor.
Lo stesso vale per gli apparati in rete con protocollo di comunicazione a sistema Linux: per prima cosa è necessario installare nella rete da monitorare un server con sistema operativo Ubuntu e servizio “RSyslog” (protocollo di registrazione degli eventi comune agli ambienti basati su Linux) che fungerà da catalogatore. I dati degli apparati di rete verranno caricati nella medesima area di lavoro Azure.
Workspace in Microsoft Azure
Accedere al sito portal.azure.com quindi, nella ricerca, selezionare Log Analytics workspace. Verranno visualizzati gli eventuali spazi di lavoro già presenti.
Per aggiungere il nuovo Workspaces premere il pulsante + Create:
Inserire il Resource group, il nome dello spazio di lavoro e la regione ospitante. Nella figura nome LogAnalystics1 e regione di esempio:
Al termine premere Review + Create per lanciare la creazione del Workspace. A questo punto, lo spazio su cloud che ospiterà i log è stato creato.
Lasciare, per il momento, il portale Azure e proseguire abilitando l’auditing sul Server di Dominio.
Abilitazione auditing sul Server di Dominio – DC
Abilitare l’auditing sul DC è una procedura che si compone di questi passaggi:
Passaggio 1: abilitare “Eventi di accesso di controllo”
- Aprire Group Policy Management (gpmc.msc)
- Sul nome del Dominio, clic con tasto destro e poi Create a GPO in this domain, and Link it here
- Assegnare un nome, nel nostro esempio: Logon Logoff Reports
- Si aprirà una nuova finestra di Group Policy Management Editor (GPME)
- Ora in Computer Configuration andare al nodo Criteri ed espanderlo come
Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy - Nel pannello di destra di GPME, fare doppio clic su “Audit logon events”
- Si aprirà una nuova finestra delle proprietà “Audit logon events“
Abilitare la policy e selezionare le caselle “ Success” e “ Failure“ e fare clic su “Ok”
Passaggio 2: abilitare “Eventi di accesso all’account di controllo”
- Aprire nuovamente Group Policy Management (msc)
- Ora, espandere il nodo Controller di dominio, fare clic con il pulsante destro del mouse su ” Default Domain Controllers Policy” e fare clic su “Edit”
- Si aprirà una nuova finestra di Group Policy Management Editor (GPME).
- Nelle finestre GPME, espandere Computer Configuration, andare al nodo “ Policies” ed espanderlo come Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy
- Nel pannello di destra di GPME, fare doppio clic su “ Audit account logon events”
- Si aprirà una nuova finestra delle proprietà “Eventi di accesso all’account di controllo”.
- Selezionare le caselle ” Success” e “ Failure ” e fai clic su “OK”
L’auditing sul DC è ora attivato. Trascorso il tempo di propagazione della policy, nell’Event Viewer, sezione Security, si troveranno i log di accesso Microsoft Windows security auditing.
Installazione e verifica Agente Azure sul DC
Tornare nel portale Azure, LogAnalytics, e sulla sinistra, selezionare Agents management.
In questa sezione è possibile eseguire il download del Windows Agent che si andrà ad installare sul DC appena configurato.
Dopo il download del file, eseguire la procedura di installazione. Durante il processo verificare che sia abilitata la voce in figura:
Al termine, tornare nel portale Azure e verificare l’effettivo collegamento con il Workspace.
Specificare cosa catalogare nello spazio di lavoro, quindi, nella parte sinistra selezionare Legacy agents management.
Facendo clic sul pulsante + Add windows event log
E aggiungere Microsoft-Windows-Winlogon/Diagnostic. Salvare la modifica con Apply, quindi si noterà Windows Event Logs abilitato.
Installazione Server Ubuntu e attivazione servizio RSyslog
Creare la VM Ubuntu Server scaricando la ISO direttamente dal sito https://ubuntu.com/download/server
Per compatibilità OpenSSL utilizzare la versione 20.04 LTS
Una volta installata e avviata, effettuare il login sulla VM utilizzando Putty https://www.putty.org/
Ora verificare se è già installato il servizio Rsyslog , con il comando:
$ rsyslogd -v
Se il servizio non dovesse essere già installato, procedere utilizzando il comando:
$ sudo dnf install rsyslog
Ora modificare il file /etc/rsyslog.conf con il comando:
$ sudo nano /etc/rsyslog.conf
Togliere il commento iniziale (#) dalle righe:
module(load=”imtcp”) # needs to be done just once
input(type=”imtcp” port=”514″)
ed aggiungere:
$template FILENAME,”/var/log/%HOSTNAME%/syslog.log”
*.* ?FILENAME
Chiudere l’editor e salvare. Infine, configurare il firewall aprendo la porta TCP con il comando:
$ sudo firewall-cmd —add-port=514/tcp –zone=public —permanent
Con questo comando, invece, verificare che Rsylog sia in ascolto sulla porta aperta:
$sudo netstat–pnlt
Si nota, nell’immagine, l’apertura delle porte tcp514.
Installazione e verifica Agente Azure sul Server Ubuntu
Nel portale Azure, LogAnalytics, sulla sinistra, selezioniamo Agents management.
Come fatto per il sistema Windows, selezionare questa volta Linux servers.
Verrà generato uno script già pronto per essere eseguito sul Server Ubuntu.
Copiamo in memoria, con il pulsante apposito, lo script dell’agente.
Ora lo eseguiamo con diritti di root sulla macchina Ubuntu Server
Come fatto in precedenza con l’agente Windows possiamo tornare nel portale Azure a verificare l’effettivo collegamento con il Workspace.
Anche qui specificare cosa catalogare quindi nella parte sinistra andiamo nella sezione Legacy agents management e poi in alto Syslog.
Premere ora + Add facility e selezionare syslog
Lo spazio di lavoro è in ascolto e cataloga le informazionie Syslog che il Server Ubuntu gli invia.
Interrogazione dei log su Azure
Nel portale Azure, LogAnalytics, selezionare il workspace creato in precedenza. Sulla parte sinistra, selezionare Logs.
Una volta aperta la finestra di interrogazione, eseguire una query per verificare il corretto upload dei log.
La visualizzazione dei risultati sarà simile a questa. Nell’esempio, eventi di accesso di macchine Windows:
e un dispositivo che genera un Syslog:
Avendo a disposizione una sottoscrizione Azure e utilizzando servizi disponibili gratuitamente abbiamo reso operativo uno spazio di archiviazione che viene costantemente popolato dai log di accesso delle macchine Windows Server e dagli apparati di rete che utilizzano il protocollo Syslog.
Le soluzioni di Log Management aiutano ad individuare le minacce alla sicurezza e soddisfare i requisiti di conformità alla normativa mediante il monitoraggio e l’analisi dei log di dati presenti sulla rete.
Le best practices di gestione dei log costituiscono la base di un programma di sicurezza efficace, nel cloud proprio come negli ambienti on-premise. L’acquisizione e la correlazione dei dati di registro è fondamentale per il rilevamento di minacce, la risposta ad incidenti e la conformità.