Dotyczy wersji: 2025 R1 i powyżej; autor: Łukasz Maciaszkiewicz
Wprowadzenie
Wraz z wersją 2025 R1 platformy WEBCON BPS wprowadzono wsparcie dla dostawców usług SIEM (Security Information and Event Management). W niniejszym artykule opisano, w jaki sposób zintegrować platformę WEBCON BPS z usługą SIEM dostarczaną poprzez narzędzie Microsoft Sentinel.
Czym jest SIEM?
System SIEM (Security Information and Event Management) służy do zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem. Działanie systemu opiera się na monitorowaniu i korelowaniu danych pozyskiwanych z różnych źródeł, a następnie tworzeniu raportów i generowaniu ostrzeżeń dotyczących podejrzanych operacji. Dzięki temu system ten stanowi nieocenione wsparcie w pracy specjalistów odpowiedzialnych za analizowanie danych i przeciwdziałanie zagrożeniom.
Microsoft Sentinel
Poprawne zintegrowanie narzędzia Microsoft Sentinel z platformą WEBCON BPS wymaga dostarczania do tej pierwszej kompletnych zapisów zdarzeń (logów) oraz danych pochodzących z aplikacji. Przesyłanie takich informacji za pośrednictwem standardu OpenTelemetry umożliwia platforma Azure Monitoring Agent. Dane przekazywane z WEBCON BPS gromadzone są w tym przypadku w aplikacji Application Insigts, a konkretnie w przestrzeni roboczej Log Analytics workspace. Aby wykorzystać te dane w usłudze Microsoft Sentinel konieczne jest zatem skonfigurowanie zarówno narzędzia OpenTelemetry, jak i połączenia narzędzia Microsoft Sentinel ze wspomnianą przestrzenią roboczą.
- Konfiguracja na stronie platformy Azure
Konfigurację na stronie platformy Azure warto zacząć od utworzenia przestrzeni roboczej Log Analytics workspace, a następnie aplikacji Application Insights.
W tym celu po zalogowaniu na stronie platformy Microsoft Azure (https://azure.microsoft.com/pl-pl/get-started/azure-portal/) wyszukaj i wybierz Log Analytics workspaces, korzystając z pola wyszukiwania w górnej części okna.
Aby utworzyć nową przestrzeń, kliknij przycisk Create widoczny w prawym górnym rogu nowo otwartego okna.
W oknie konfiguracji przestrzeni wybierz odpowiedni typ subskrypcji (pole Subscription), a następnie utwórz nową grupę zasobów, klikając przycisk Create new w polu Resource group. Po wpisaniu nazwy nowej grupy i zatwierdzeniu jej przyciskiem OK przejdź do sekcji Instance details. W polu Name wpisz nazwę instancji, a następnie wybierz region West Europe w polu Region. Po wypełnieniu wspomnianych pól przejdź do następnej zakładki, klikając przycisk Next : Tags >.
W zakładce Tags możliwe jest dodanie znaczników (tagów) ułatwiających kategoryzowanie zasobów. W opisywanym scenariuszu czynność ta nie jest wymagana i zostanie pominięta – kliknij przycisk Next : Review + Create >, aby przejść do okna walidacji danych. Po zweryfikowaniu poprawności danych wyświetlony zostanie stosowny komunikat i możliwe będzie utworzenie przestrzeni roboczej. W tym celu kliknij przycisk Create widoczny w prawym dolnym rogu – po kilku chwilach moduł zostanie utworzony.
Po utworzeniu modułu należy przystąpić do dodania aplikacji Application Insights – służy do tego opcja Monitor widoczna w menu bocznym.
Po otwarciu nowego okna przejdź do sekcji Insights, odszukaj kafelek Application Insights i kliknij przycisk View.
Aby utworzyć nową aplikację, kliknij przycisk Create widoczny w lewym górnym rogu okna.
W kolejnym oknie, w sekcji Project details, określ typ subskrypcji (pole Subscription), a następnie w polu Resource Group wybierz z listy rozwijanej grupę zasobów, którą utworzono podczas tworzenia Log Analytics workspace (w omawianym przypadku jest to grupa o nazwie „WEBCON”).
W kolejnej sekcji (Instance details) wpisz nazwę instancji (Name), a następnie w polu Region z listy rozwijanej wybierz region (Europe) Poland Central. Po wprowadzeniu wspomnianych danych przejdź do sekcji Workspace details, określ odpowiedni rodzaj subskrypcji (Subscription), a w polu poniżej z listy rozwijanej wybierz utworzoną wcześniej przestrzeń Log Analytics workspace.
Po zakończeniu konfiguracji przejdź do zakładki Review + create, klikając kolejno przycisk Next : Tags > i Next : Review + create > i naciśnij przycisk Create w lewym dolnym rogu. Po kilku chwilach wyświetlona zostanie informacja o poprawnym utworzeniu aplikacji.
Dysponując już aplikacją Application Insights, a konkretnie przestrzenią roboczą, należy ją połączyć z narzędziem Microsoft Sentinel. W tym celu w polu wyszukiwania wyszukaj i wybierz wspomniane narzędzie.
W nowo otwartym oknie kliknij przycisk Create widoczny w prawym górnym rogu. W rezultacie otwarte zostanie okno umożliwiające dodanie narzędzia MS Sentinel do utworzonej wcześniej przestrzeni Log Analytics workspace – zaznacz odpowiednią pozycję na liście i naciśnij przycisk Add w prawym dolnym rogu.
Po kilku chwilach w prawym górnym rogu nowego okna wyświetlony zostanie komunikat informujący o pomyślnym dodaniu narzędzia Microsoft Sentinel do przestrzeni roboczej.
Po zakończeniu konfiguracji na platformie Azure możliwe jest przystąpienie do konfigurowania narzędzia OpenTelemetry.
- Konfiguracja pliku otlpsettings.json
Aby umożliwić przesyłanie danych do Application Insights, w pliku konfiguracyjnym narzędzia OpenTelemetry, tj. otlpsettings.json, dodano nowy obiekt AzureMonitor. (Dotyczy to zarówno pliku zawartego w folderze modułu Portalu, jak i Serwisu, platformy WEBCON BPS). W konsekwencji wspomniany obiekt zawarty jest obecnie w sekcji Exporters należącej do węzłów danych metrycznych (Metrics) oraz danych śledzenia diagnostycznego (Tracing).
W opisywanym przykładzie zaprezentowana zostanie konfiguracja pliku otlpsettings.json Portalu, przy czym należy pamiętać, że omawiana procedura jest identyczna również w przypadku pliku Serwisu.
W celu włączenia eksportera AzureMonitor otwórz wspomniany wcześniej plik otlpsettings.json znajdujący się w folderze Portalu (domyślnie C:\Program Files (x86)\WEBCON\WEBCON BPS Portal). W węźle Metrics znajdź sekcję Exporters, a następnie obiekt AzureMonitor zawierający dwa pola Enabled oraz ConnectionString. Zacznij od zmiany wartości w polu Enabled na „true”.
UWAGA: aby włączyć eksport danych dla obiektu AzureMonitor, oprócz ustawienia wartości „true” w polu Enabled, konieczne jest także analogiczne skonfigurowanie węzłów nadrzędnych. Oznacza to, że w omawianym przypadku konieczne jest zmienienie wartości pól Enabled należących kolejno do węzłów Otlp, Metrics i Exporters.
Następnie przejdź do pola ConnectionString. W polu tym wewnątrz istniejącego nawiasu należy wstawić wartość ciągu połączenia (connection string) – parametr ten dostępny jest w skonfigurowanej wcześniej aplikacji Application Insights. Aby go odnaleźć przejdź do portalu Azure. Z menu bocznego wybierz opcję Monitor, a następnie w kafelku Application Insights kliknij przycisk View. Po otwarciu nowego okna z listy dostępnych aplikacji wybierz wcześniej skonfigurowaną (w tym przypadku jest to aplikacja „WEBCON”).
W nowym oknie skopiuj wartość widoczną w polu Connection String.
Skopiowaną wartość wstaw w pliku otlpsettings.json we wspomnianym polu ConnectionString, pamiętając przy tym, aby usunąć całą domyślnie uzupełnioną wartość wraz z nawiasami kwadratowymi (wartość ciągu połączenia należy wstawić wewnątrz nawiasu).
Opisane w tym punkcie czynności powtórz następnie dla węzła Tracing i zapisz zaminy. Uzupełniony w ten sposób plik powinien wyglądać następująco:
{ "App": { "Otlp": { "ServiceName": "WebCon.WorkFlow.Portal", "Enabled": true, "Metrics": { "Enabled": true, "WebInstrumentation": { "Enabled": true }, "ProcessInstrumentation": { "Enabled": true }, "EventCountersInstrumentation": { "Enabled": true, "EventSources": "Microsoft.AspNetCore.Hosting, System.Net.Http" }, "Exporters": { "Prometheus": { "Enabled": true, "Endpoint": "/metrics", "CacheDuration": 100 }, "otlp": { "Enabled": false, "Endpoint": "[metricsAddress]", "Headers": "Authorization=[apikey]" }, "AzureMonitor": { "Enabled": true, "ConnectionString": "InstrumentationKey=" } } }, "Tracing": { "Enabled": true, "ShowExceptions": true, "HttpTracing": { "Enabled": true }, "SqlTracing": { "Enabled": true, "ShowDbStatements": true }, "Exporters": { "Jaeger": { "Enabled": true, "Endpoint": "http://[jaegerAddress]:4317", "Protocol": "grpc" }, "Otlp": { "Enabled": false, "Endpoint": "[tracingAddress]", "Headers": "Authorization=[apiKey]", "Protocol": "grpc" } }, "AzureMonitor": { "Enabled": true, "ConnectionString": "InstrumentationKey=" } } } } } |
Po zapisaniu wprowadzonych zmian zrestartuj Portal i przejdź ponownie na stronę platformy Azure. Przejdź do narzędzia Microsoft Sentinel. Po kilku chwilach narzędzie powinno zacząć prezentować odbierane z platformy WEBCON BPS dane.
Podsumowanie
Zintegrowanie platformy WEBCON BPS z narzędziem Microsoft Sentinel pozwala zwiększyć ogólne bezpieczeństwo i zminimalizować potencjalne zagrożenia. Dzięki temu z rozwiązania tego już dzisiaj korzystać mogą nie tylko specjaliści ds. bezpieczeństwa, ale też i administratorzy platformy WEBCON BPS.