Proteja sus datos con Qumulo Audit y Azure Log Analytics

Protección de sus datos con Qumulo Audit y Azure Log Analytics

En este artículo, aprenderá a usar Qumulo Audit para reenviar eventos a Azure Monitor y consultar Azure Log Analytics para proteger sus datos.

Los ataques de malware están aumentando en calidad y cantidad, infectando cientos de miles de sistemas de TI y causando millones, si no miles de millones de dólares, en daños a todo tipo de negocios. Tener una arquitectura de seguridad bien pensada es fundamental para todos los entornos de infraestructura de TI locales y en la nube.

Programas de Plataforma de datos de archivos Qumulo incluye un amplio espectro de tecnologías modernas y servicios de datos para soportar arquitecturas de seguridad holísticas. Las siguientes secciones le mostrarán cómo usar la función de registro de auditoría de Qumulo, junto con Azure Log Analytics, para realizar un seguimiento de las operaciones del sistema de archivos, incluidos los usuarios, las rutas de archivo, los permisos, el estado, los cambios y las eliminaciones.  

Debido a que el sistema de archivos Qumulo no envía eventos de auditoría directamente a Azure Monitor, usamos un servidor syslog para recibir los mensajes y reenviarlos con Azure Monitor Agent a Azure Monitor. Este artículo se centra en el proceso de ingesta, es decir, cómo obtener los eventos de Qumulo en Azure Monitor y luego realizar algunas consultas básicas en un área de trabajo de Log Analytics. En un blog posterior, nos centraremos en la búsqueda de amenazas activas con Azure Sentinel.

auditoría y reenvío de syslog a través de Azure Monitor Agent

Figura 1: Auditoría de Qumulo y reenvío de syslog a través de Azure Monitor Agent

 

Monitoreo de Azure

Azure Monitor es la plataforma de Microsoft para almacenar todo tipo de datos y métricas de registros de máquinas. Proporciona un rico conjunto de herramientas para analizar, consultar, visualizar y correlacionar todo tipo de datos.

Figura 2: Descripción general de Azure Monitor

Figura 2: Descripción general de Azure Monitor

 

La ingesta de eventos de auditoría de Qumulo en Azure Monitor le permite:

  • Rastree cualquier operación del sistema de archivos.
  • Cree consultas avanzadas y correlacione diferentes fuentes de datos (por ejemplo, registro de eventos desde Active Directory o su Firewall). Esto facilita mucho la detección de actividades sospechosas.
  • Utilice técnicas de aprendizaje automático con Azure Sentinel para detectar automáticamente comportamientos inusuales.
  • Utilice libros de trabajo de automatización para ejecutar respuestas automáticas.
  • Actividad de eliminación masiva o inusual.
  • Acciones inesperadas de ciertos usuarios o máquinas.
  • Usuarios y rutas con errores de permisos inesperados.

Para obtener más información sobre Azure Monitoring, visite Descripción general de Azure Monitor.

Auditoría de Qumulo

Registro de auditoría Qumulo Core proporciona un mecanismo para rastrear las operaciones del sistema de archivos. A medida que los clientes conectados envían solicitudes al clúster, se generan mensajes de registro que describen cada intento de operación (lectura, escritura, eliminación, etc.). Estos mensajes de registro incluyen toda la información relevante sobre el evento en el cuerpo del mensaje de syslog: dirección IP del cliente, nombre de usuario e identificación de usuario, operación, nombre de archivo e identificación del archivo o directorio de destino. Luego, los eventos se envían a través de la red a una instancia de syslog remota especificada por la configuración de auditoría actual de acuerdo con RFC 5424

Para obtener más información sobre Qumulo Auditing, visite Registro de auditoría de Qumulo Core.

Qumulo no analiza ni analiza estos registros. Por lo tanto, puede ingerirlos en una herramienta adecuada, como Monitor Azure para consultarlos, correlacionarlos y visualizarlos con herramientas como Azure Log Analytics or Centinela azur.

Envío de datos de auditoría de Qumulo a Azure Monitor

Hay varias opciones para enviar mensajes de registro a Azure Monitor. Por ejemplo:

  1. Use el Agente de supervisión de Azure para el reenvío de syslog
  2. Use el Agente de Log Analytics para el reenvío de syslog 
  3. La API del recopilador de datos HTTP

En esta publicación nos enfocamos en usar Azure Monitoring Agent. En esta fecha de publicación (julio de 2021), Azure Monitor Agent estaba en estado de versión preliminar. Sin embargo, reemplazará y consolidará a un par de otros agentes como el agente de Log Analytics y el agente de Telegraph. Por lo tanto, nos enfocamos en este agente más nuevo (también probamos el Agente de Log Analytics, que también funciona bien, pero se implementa de manera diferente). 

Para obtener más información sobre los agentes de Azure Monitoring, visite Descripción general de los agentes de supervisión de Azure y el Recopilador de datos HTTP .

Pasos para la implementación

Los pasos de implementación necesarios para enviar eventos de auditoría de Qumulo son relativamente sencillos:

  1. Cree un área de trabajo de Log Analytics en su portal de Azure
  2. Instale el agente de servidores habilitados para Azure Arc (solo es necesario si el servidor syslog está no corriendo en Azure)
  3. Cree una regla de recopilación de datos (DCR). Azure Monitoring Agent se implementará automáticamente en las máquinas de destino seleccionadas. 
  4. Configure Qumulo para enviar eventos de auditoría a la máquina virtual syslog

Tras la implementación, todos sus eventos de auditoría se enviarán a Azure Monitor y podrá comenzar a consultar y analizar sus registros de auditoría. 

Para conocer los pasos de implementación detallados, consulte el artículo de la base de conocimientos de Qumulo:  Aauditando Qumulo en Azure con Azure Monitor. 

Análisis de registros de consultas

Para consultar sus registros de auditoría:

  • Inicie sesión en el Portal de Azure
  • Ir a Monitor
  • Seleccione su espacio de trabajo de Log Analytics
  • Seleccionar registros
  • Ingrese su consulta

Azure Log Analytics permite ingresar todo tipo de consultas simples y complejas con el lenguaje de consulta Kusto (para más información ir a Empezando con Kusto).  

Para mostrar simplemente todos los mensajes de syslog, simplemente escriba: syslog en el archivo de búsqueda, y luego verá todos los mensajes de syslog que ingresan.

syslog

Figura 3. Muestra todos los mensajes de syslog.


| donde HostName comienza con "du6"

Esto mostrará una lista de los eventos que se han generado a partir de hosts que comienzan con du6 * únicamente.

Extrayendo campo del mensaje de syslog

Los mensajes de syslog se almacenan en formato sin procesar. El formato se describe aquí en detalle y contiene varios campos como el IPv4 o IPv6, ID de usuario, protocolo, computadora, operación, el archivo o directorio de destino, etc.

Una muestra tiene este aspecto:
192.168.1.10, ”AD \ alice”, nfs, fs_read_data, ok, 123, ”/. Snapshot / 1_snapshot1225 / dir /”, ””

Para consultas más complejas, puede ser útil extraer los diferentes valores del cuerpo del mensaje de syslog en campos separados, lo que se puede lograr con la siguiente consulta:

Syslog
| extender CSVFields = split (SyslogMessage, ',')
| extender ClientIP = tostring (CSVFields [0])
| extender UserID = tostring (CSVFields [1])
| extender Protocolo = tostring (CSVFields [2])
| extender Operación = tostring (CSVFields [3])
| extender ResponseCode = tostring (CSVFields [4])
| extender MessageID = tostring (CSVFields [5])
| extender Archivo = tostring (CSVFields [6])
| extender Estado = tostring (CSVFields [7])

Ahora tiene nombres de campo que puede usar para detallar más sus consultas. O puede guardar la consulta como una función que es más fácil de reutilizar y consultas más complejas. Por ejemplo, almacenamos la consulta anterior en una función llamada QumuloEvents. 

Luego, podemos ver todos los eventos de auditoría realizados en archivos de texto en el alcance seleccionado:

QumuloEventos
| proyecto EventTime, ClientIP, Archivo, Operación
| donde el archivo contiene "txt"

Salida de la consulta QumuloEvents

Figura 4: Resultado de la consulta para todas las operaciones de archivo en archivos con "txt" en su nombre

Resumen 

Azure Monitor ofrece un gran conjunto de opciones de análisis de datos para diversas fuentes y destinos. En este artículo proporcionamos una descripción general de cómo se pueden enviar los eventos de Qumulo Audit a los registros de Azure Monitor mediante el agente de Azure Monitor y cómo se pueden consultar estos eventos en un área de trabajo de Log Analytics.

En un blog posterior discutiremos como descubrir comportamiento malicioso en su entorno usando técnicas de búsqueda de amenazas activas y funciones de aprendizaje automático (ML).

Más información
Contáctanos
  • Haz una prueba de manejo. Haga una demostración de los productos de Qumulo en nuestros nuevos laboratorios prácticos interactivos o solicite una prueba gratuita.
  • Suscríbete al blog de Qumulo para obtener historias de clientes, conocimientos técnicos y noticias sobre productos.

Comparta este artículo