Automatizované získávání podkladů pro audit z CzechIdM
Řešíte ve vaší firmě napojení identity manageru na SIEM řešení? S CzechIdM to lze zvládnout bez potíží. Auditní informace lze SIEMu poskytovat přímo přes REST rozhraní identity manageru.
Proč bezpečnostní monitoring
V určité chvíli svého života se každá IT infrastruktura dostane do stavu, kdy není možné provádět kontroly a bezpečnostní monitoring “ručně”. V tu chvíli přicházejí na řadu specializované nástroje, které bezpečnostní monitoring řeší – různé dohledové systémy, IDS/IPS, sběrače logů, atp. často provázané dohromady do jednoho produktu – SIEMu.
Takový monitorovací nástroj nejen koreluje události v rámci infrastruktury, dále ale zpravidla přidává třeba zabezpečené úložiště pro logy, které lze pak použít například při hledání nebo dokazování při bezpečnostních incidentech.
IdM se po nasazení do infrastruktury organizace stává integrálním bodem, kde se přidělují oprávnění a role jednotlivým uživatelům a kde se spravují jejich identity a účty na koncových systémech. Z tohoto důvodu je zařazení IdM mezi “datové zdroje” pro SIEM více než vhodné.
Základní auditní události, které se vyplatí sledovat
Relevantní data lze z IdM vyčítat přímo přes RESTful API. Pro základní napojení jsme připravili seznam auditních událostí, které se vyplatí sledovat. Jedná se o akce na identitách a jejich heslech a na sadách oprávnění – rolích.
- Úspěšné přihlášení
- Neúspěšné přihlášení
- Založení identity uživatele
- Smazání identity uživatele
- Odblokování uživatele
- Zablokování uživatele
- Změna hesla uživatele
- Přiřazení role/oprávnění uživateli
- Odebrání role/oprávnění uživateli
- Schválení žádosti o roli
- Zamítnutí žádosti o roli
- Vytvoření role
- Úprava existující role
- Smazání role
U každé události doporučujeme sledovat přinejmenším:
- Kdo událost vyvolal
- Na jakém objektu byla událost volána
- Kdy byla událost vyvolána
Příklad – sledování úspěšných přihlášení
REST volání lze vyzkoušet například pomocí nástroje curl. K autentizaci do API je možné použít buď HTTP Basic, nebo session token který IdM vystavuje při přihlášení. K filtrování událostí doporučujeme použít časové rozmezí udané pomocí timestampů (viz. příklad).
curl -ku admin:admin 'https://czechidm/idm/api/v1/audits/search/quick?size=99999&page=0&sort=timestamp,desc&face=BETWEEN&from=2019-08-30T09%3A50%3A00.000Z&till=2019-09-12T10%3A00%3A00.000Z&type=eu.bcvsolutions.idm.core.model.entity.IdmPassword&changedAttributesList=lastSuccessfulLogin'
"_embedded" : {
"audits" : [ {
// jednoznačná globální identifikace auditní události
"id" : 86364,
// UUID entity, na které byla akce prováděna
"entityId" : "9d442990-68e4-4137-a251-50ce32452eea",
// kdy k akci došlo
"timestamp" : 1567416295082,
...
// informace o tom, kdo změnu provedl
"modifierId" : "e0ea6fe2-f026-4e42-bf8c-b6b4b0d1600c",
"modifier" : "admin",
...
// vlastník objektu, v tomto případě uživatel, kterém patří objekt "heslo"
"ownerId" : "e0ea6fe2-f026-4e42-bf8c-b6b4b0d1600c",
"ownerCode" : "admin",
...
}, {
// další auditní záznam
}
]}
Plnění dat do SIEMu
SIEM monitoruje a reaguje zpravidla v reálném čase. Je proto tedy vhodné číst nové auditní události v pravidelných intervalech – například 15 minut – a limitovat pomocí časových rozmezí množství dat, která jsou z IdM vyčítána. Systém CzechIdM audituje velmi mnoho informací, proto je omezení vyhledávaných dat důležité – v případě špatného vyhledávacího filtru může dojít k přílišnému zatížení systému.
Závěr
Sběr dat pro potřeby auditu je v případě CzechIdM jednoduchou záležitostí a identity manager poskytuje data ve formátu JSON, tedy v rozumné, strojově zpracovatelné podobě.
Podrobnější informace o čtení auditních informací můžete nalézt na naší wiki, případně si můžete dotazy na auditní záznamy zkonstruovat sami: ve webovém rozhraní IdM si stačí naklikat vyhledávání auditu, který vás zajímá, a pak už se jen ve vývojářské konzoli podívat na konkrétní HTTP požadavek, který odešel na IdM server.
Pokud vás tato problematika zaujala nebo máte dotaz či námět na zlepšení, dejte nám vědět na info@bcvsolutions.eu.
