Нотификации (SIEM)

Начиная с версии 1.6.3092:3197M система WNAM поддерживает отправку уведомлений (нотификаций) о событиях в работе модуля корпоративной авторизации во внешние системы по протоколам Syslog и SNMP. В настоящий момент поддерживаются следующие типы (условия срабатывания) событий:

• AUDIT_EVENT (событие аудита - логин либо логаут интерфейса администратора, создание, изменение либо модификация (почти любого) объекта конфигурации;
• ENDPOINT_EVENT (событие эндпоинта - авторизация (успешная или нет) гостевого или корпоративного устройства (МАС адреса));
• TACACS_EVENT (событие TACACS+ логина на оборудование, а также факт ввода команды);
• ADC_EVENT (событие сервиса-коннектора со службой каталогов Active Directory).

Основной задачей обновленного механизма уведомлений является отправка событий авторизации в систему SIEM предприятия.

Отправка уведомлений возможна по протоколам:

• Syslog в соответствии с RFC 5424 на TCP или UDP порт 514 (либо произвольный);
• SNMP Trap в соответствии с RFC 3416 на UDP порт 162 (версия 2c).

Если вам требуется поддержка отправки уведомлений по Syslog/TLS, SNMPv3, реакция на другие типы событий, расширение информации по имеющимся типам, вам следует обратиться в службу технической поддержки по адресу support@netams.com

Механизм формирования уведомлений по событиям корпоративной авторизации расширяет имеющийся в системе WNAM модуль Нотификаций. Можно одновременно создавать несколько получателей сообщений по разным протоколам и разного типа. Система не ограничивает число получателей уведомлений, но важно понимать помнить, что их отправка (особенно в нагруженной среде) потребляет ресурсы. Для настройки отправки уведомления следует перейти в раздел "Конфигурация" → "Нотификации" и нажать на кнопку "Создать нотификацию", в результате чего откроется окно, позволяющее создать нотификацию.

Здесь необходимо ввести требуемые данные в трёх вкладках.

В окне создания нотификации следует указать название обработчика (получателя) уведомления, а также одно из четырех условий срабатывания событий (можно указать все, или несколько).

Во второй вкладке создания нотификации следует указать флажок "Для всех площадок".

В третьей вкладке следует выбрать тип обработчика и его параметры (для SNMP-уведомления следует выбрать "Отправить Trap по SNMP).

Для Syslog-уведомления следует выбрать "Отправить событие в SYSLOG" и формат данных - CEF (расширенный).

Можно задать адрес получателя Syslog-сообщений с указанием нестандартного порта, а также выбрать протокол (TCP, UDP).

Затем следует сохранить изменения нажатием на кнопку "Сохранить изменения". Созданную нотификацию можно открыть, и провести тестовый запуск.

При наступлении соответствующего события в модуле корпоративной авторизации система WNAM передаст информацию о событии в специальную очередь нотификаций, из которой все события будут обработаны и направлены по заданным каналам-получателям. При этом в лог-файле wnam.log появятся записи о такой отправке:

11:58:38.184 DEBUG [NotificationService.java:244] - Execute notification 'snmp1', handler SNMP, event type ENDPOINT_EVENT, object: {FAIL;48:FD:A3:75:C8:F4;PAP;not-allowed-pap-mac-state}
11:58:38.184 DEBUG [NotificationService.java:320] - Notification SNMP type ENDPOINT_EVENT to: 1.1.1.1 on: {AccessServer=hAP [R20 Mikrotik LAB], AuthState=FAIL, AuthenticationProfile=, AuthorizationProfile=Default reject, FailReason=not-allowed-pap-mac-state, Identity=48:FD:A3:75:C8:F4, MAC=48:FD:A3:75:C8:F4, Method=PAP, NasAddress=hap, RemoteIp=10.130.129.66, SiteName=change address ZZZ, Timestamp=06.02.2023 11:58:38, Type=ENDPOINT_EVENT, TypeStr=Событие эндпоинта}

11:58:38.186 DEBUG [NotificationService.java:244] - Execute notification 'syslog1', handler SYSLOG, event type ENDPOINT_EVENT, object: {FAIL;48:FD:A3:75:C8:F4;PAP;not-allowed-pap-mac-state}
11:58:38.186 DEBUG [NotificationService.java:375] - Notification SYSLOG type ENDPOINT_EVENT to: 1.1.1.1 on: {AccessServer=hAP [R20 Mikrotik LAB], AuthState=FAIL, AuthenticationProfile=, AuthorizationProfile=Default reject, FailReason=not-allowed-pap-mac-state, Identity=48:FD:A3:75:C8:F4, MAC=48:FD:A3:75:C8:F4, Method=PAP, NasAddress=hap, RemoteIp=10.130.129.66, SiteName=change address ZZZ, Timestamp=06.02.2023 11:58:38, Type=ENDPOINT_EVENT, TypeStr=Событие эндпоинта}

Для SNMP-трапов в качестве идентификатора предприятия используется зарегистрированный в IANA на ООО "Нетамс" собственный номер 1.3.6.1.4.1.23099.

Для Syslog-нотификаций мы старались реализовать формат, максимально совместимый с исходным форматом Common Event Format, описанным в этом документе. 

Исходящее сообщение выглядит следующим образом:

CEF:0|NETAMS|WNAM|1.6|ENDPOINT_EVENT|Endpoint rejected|6|app=EAP_PEAP cs1=EAP/AD сотрудники локальные cs3=cl9800-2 [WLAB] act=Rejected cs2=FNM Wi-Fi dst=10.241.200.6 cs5=WNAM-09 suser=cisco-wifi-phone2 src=10.241.200.32 cs4=cl9800-2:172.16.130.46 smac=94:83:C4:14:25:96 
    externalId=06C8F10A00001D774342764C message=OK;94:83:C4:14:25:96;EAP_PEAP;

Где поля имеют следующий значения:

CEF:0 - версия спецификации CEF, 0

NETAMS - название вендора

WNAM - название программного обеспечения

1.6 - версия программного обеспечения

Следующее поле - тип события:

Следующее поле - название события, например "Событие эндпоинта"

Следующее поле - важность (severity)

В зависимости от типа события, далее идет список пар "ключ=значение", описывающих детали события, в соответствии с этой таблицей: