Acerca la nube a casa. Azure logs to local Siem.

Estimados amigos de Inseguros !!!


Voy a comenzar una seria de artículos cuyo objetivo será acercar al lector a la seguridad de Azure.


Dentro de poco/hace unos días participaré en el evento de Azsure Boot Camp en España el día mundial del del evento, el sábado 22 de abril donde daré una charla sobre seguridad en Azure.


Estos artículos no van a ser el típico mapa de framework explicando lo bien que lo ha hecho Microsoft. Espero dar una visión realista, de andar por casa, de como podemos aprovechar las opciones de seguridad de Azure para nuestro trabajo diario.

Hace unos días hablamos ya del centro de seguridad en Azure en este artículo.

Vamos a retomarlo precisamente por donde lo dejamos, con los logs.

Imagino que en tu organización tendrás resulta la gestión centralizada de logs, mas bien orientados a la monitorización de red, con Nagios o similares, y a la gestión de eventos de seguridad, con ELK o alguna solución SIEM. Aquí hemos hablado mucho de Ossim, el Siem Software libre que manejo.

Si tienes un recurso publicado en la nube de Azure o en cualquier otro proveedor Cloud es necesario monitorizar los eventos de seguridad que ocurren en ese "cielo". El proveedor del Cloud nos suele ofrecer seguridad, pero es seguridad como mucho a capa 3 de red, con algunas reglas básicas anti ddos, ya que pueden afectar a la infraestructura global, pero poco más. No vas a tener seguridad a nivel aplicacion... (atento al siguiente artículo) ni a otros niveles.

En el procedimiento de hoy vamos a aprender a conectar nuestro fuente de información en Azure, los logs, a nuestro equipo local para poder engancharlo a nuestro SIEM o sistema de monitorización que usemos.


Lo primero que hacemos es descargar el componente AZLOG Integration a nuestro equipo e instalarlo.

El instalador da un petazo porque no encuentra el grupo: Performance Monitor Users. La chapuza de crearlo aunque esté en castellano funciona...

Otras veces he comprobado que no crea el usuario AZlog. Otras veces he comprobado que en el directorio de c:\usuario\azlog\ no le da permisos al usuario, teniéndolo que hacer manualmente.

Salvo estos consejos ( 3 o 4 días de partirme la cara con esto) , seguimos el procedimiento indicado en la web de Microsoft. https://docs.microsoft.com/en-us/azure/security/security-azure-log-integration-get-started

El asunto es muy sencillo, mediante PowerShell indicamos que espacio de almacenamiento queremos usar para trasladar los logs y con esto tenemos disponibles en nuestro visor de eventos los logs de sucesos relativos a la seguridad de Azure.


Es importante habilitar en las opciones de diagnosticos de servidores y servicios la opción de almacenamiento, es decir, tenemos que decirle a Azure que queremos guardar los logs de eventos en la cuenta de almacenamiento que, posteriormente, sincronizamos con el visor de eventos.


Uno de los pasos que puedes hacer es primero habilitar el diagnostico en todos los servers y mediante el explorador de almacenamiento de Azure, comprobar que se están guardando los registros.


Si por cualquier motivo prefieres acceder a los logs a nivel de fichero local, los puedes encontrar en la ruta del usuario c:\usuarios\azlog\