שוביט מחשוב



איך בוחרים מערכת ניטור - חלק א'

אני אכתוב כמה מאמרים שיכולים לסייע לארגון שמבקש להתחיל להטמיע מערכת "שליטה ובקרה" (מערכת ניטור). כאשר הארגון שלכם גדל, ייתכן ולא תוכלו להשתמש בכל ניטור חינמיים או לנטר באמצעות כלים שקיימים לכם בכל אחד מכלי ה IT בהם אתם משתמשים, אלא שתצטרכו גם להשתמש במערכת "שליטה ובקרה" (ניטור) ייעודית. אז הינה כמה דברים לבדוק לפני שבוחרים מערכת ניטור -

1. למה בעצם נועדה המערכת - מה החלק החזק שלה. החלק החזק יכול להיות ניטור תקשורת, ניטור מוצרי MS, ניטור מוצרי Saas בענן, ניטור אפליקציות - APM, ניטור לוגים. כמובן שלארגון שמחזיק בעיקר מוצרי קוד פתוח אין צורך להחזיק מערכת שהכוח שלה הוא בעיקר מוצרי MS (למשל SCOM). לארגון שתשתית המחשוב שלו היא בעיקר ב On Prem אין צורך לבדוק מערכות שהכוח שלהם הוא בענן.

2. ככל הנראה תרצו להשתמש במערכת הניטור המיועדת כדי לנטר לוגים (זה לא אומר כמובן שתשתמשו בה כמערכת SIEM). מערכת ניטור יודעת לנטר לוגים ברמה הבסיסית (למשל Event Viewer, log4j או כל קבצי לוג אחרים). ניטור בסיסי של לוגים שסביר למצוא בכל מערכת ניטור יכול להיות מציאת תבנית (Pattern) מסוימת בתוך הלוגים (regex). אבל בהתאם לצורך שלכם בניטור הלוגים כנראה שתצטרכו דברים קצת יותר משוכללים - זה יכול אחד או יותר מהדברים הבאים :

  • יכולת יצירת קורלציה בין תבניות בתוך קובץ הלוג על מנת להוציא התראה רלוונטית. למשל X תבניות שנמצאו ב Y דקות שוות התראה. או מחסור בשורה מסוימת במשך X דקות/שעות צריך להוביל להתראה וכו'. צריך לבדוק שהמערכת יודעת לתת לכם להגדיר את הקורלציות שמעניינות אתכם.
  • האם יש אפשרות לאגור במערכת הניטור (כמובן עם Retention) את כל הלוגים, ובכך להוות מאגר של כל הלוגים הרלוונטיים.

3. האם מערכת הניטור תומכת בניטור מבוסס Agent או Agentless ואולי גם וגם. אם יש אפשרות לניטור Agentless, באיזה פרוטוקול זה מתבצע - DCOM, WINRM (עבור Windows), SSH, SNMP, WSMAN (עבור Linux) ? מומלץ לברר על החסרונות והיתרונות שבכל שיטה ושיטה. אם מדובר ביכולת לנטר באמצעות Agents - יש לברר על האפשרות לפריסה אוטומטית של סוכנים על שרתים, בין אם זה מתוך המערכת ובין אם זה לשים סוכן מותקן בתוך IMAGE של שרת חדש. יש לבדוק את נוחות הקונפיגורציה לניהול הסוכנים במערכת הניטור, ואת היכולת להרחבה על ההבדלים בין Agent לבין Agentless, ניתן לקרוא במאמר שכתבתי כאן.

4. שרת/מודול פרוקסי/Gateway עבור המערכת שדרכו עוברים כל נתוני הסוכנים המדווחים למערכת הניטור. אם אין במערכת הניטור תמיכה באפשרות הזו, זה אומר כי יהיה צורך לפתוח הרבה חוקים ב FW, וזה חיסרון מאד גדול כי זה דבר שאנשי אבטחת מידע מאד לא אוהבים. סביר להניח שלכל מערכת יש Gateway או פרוקסי. יש לבדוק את אופן התקשורת של הפרוקסי עם שרת הניהול של מערכת הניטור - למשל, האם נדרשת תקשורת דו כיוונית או לא.

המשך יבוא במאמר הבא בע"ה.