Integracja Microsoft Sentinel z platformą WEBCON BPS

Facebooktwitterpinterestlinkedinmail
Dotyczy wersji: 2025 R1 i powyżej; autor: Łukasz Maciaszkiewicz

 

Wprowadzenie

Wraz z wersją 2025 R1 platformy WEBCON BPS wprowadzono wsparcie dla dostawców usług SIEM (Security Information and Event Management). W niniejszym artykule opisano, w jaki sposób zintegrować platformę WEBCON BPS z usługą SIEM dostarczaną poprzez narzędzie Microsoft Sentinel.

 

Czym jest SIEM?

System SIEM (Security Information and Event Management) służy do zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem. Działanie systemu opiera się na monitorowaniu i korelowaniu danych pozyskiwanych z różnych źródeł, a następnie tworzeniu raportów i generowaniu ostrzeżeń dotyczących podejrzanych operacji. Dzięki temu system ten stanowi nieocenione wsparcie w pracy specjalistów odpowiedzialnych za analizowanie danych i przeciwdziałanie zagrożeniom.

 

Microsoft Sentinel

Poprawne zintegrowanie narzędzia Microsoft Sentinel z platformą WEBCON BPS wymaga dostarczania do tej pierwszej kompletnych zapisów zdarzeń (logów) oraz danych pochodzących z aplikacji. Przesyłanie takich informacji za pośrednictwem standardu OpenTelemetry umożliwia platforma Azure Monitoring Agent. Dane przekazywane z WEBCON BPS gromadzone są w tym przypadku w aplikacji Application Insigts, a konkretnie w przestrzeni roboczej Log Analytics workspace. Aby wykorzystać te dane w usłudze Microsoft Sentinel konieczne jest zatem skonfigurowanie zarówno narzędzia OpenTelemetry, jak i połączenia narzędzia Microsoft Sentinel ze wspomnianą przestrzenią roboczą.

 

  • Konfiguracja na stronie platformy Azure

Konfigurację na stronie platformy Azure warto zacząć od utworzenia przestrzeni roboczej Log Analytics workspace, a następnie aplikacji Application Insights.

W tym celu po zalogowaniu na stronie platformy Microsoft Azure (https://azure.microsoft.com/pl-pl/get-started/azure-portal/) wyszukaj i wybierz Log Analytics workspaces, korzystając z pola wyszukiwania w górnej części okna.

 

 

Aby utworzyć nową przestrzeń, kliknij przycisk Create widoczny w prawym górnym rogu nowo otwartego okna.

 

 

W oknie konfiguracji przestrzeni wybierz odpowiedni typ subskrypcji (pole Subscription), a następnie utwórz nową grupę zasobów, klikając przycisk Create new w polu Resource group. Po wpisaniu nazwy nowej grupy i zatwierdzeniu jej przyciskiem OK przejdź do sekcji Instance details. W polu Name wpisz nazwę instancji, a następnie wybierz region West Europe w polu Region. Po wypełnieniu wspomnianych pól przejdź do następnej zakładki, klikając przycisk Next : Tags >.

 

 

W zakładce Tags możliwe jest dodanie znaczników (tagów) ułatwiających kategoryzowanie zasobów. W opisywanym scenariuszu czynność ta nie jest wymagana i zostanie pominięta – kliknij przycisk Next : Review + Create >, aby przejść do okna walidacji danych. Po zweryfikowaniu poprawności danych wyświetlony zostanie stosowny komunikat i możliwe będzie utworzenie przestrzeni roboczej. W tym celu kliknij przycisk Create widoczny w prawym dolnym rogu – po kilku chwilach moduł zostanie utworzony.

 

 

Po utworzeniu modułu należy przystąpić do dodania aplikacji Application Insights – służy do tego opcja Monitor widoczna w menu bocznym.

 

 

Po otwarciu nowego okna przejdź do sekcji Insights, odszukaj kafelek Application Insights i kliknij przycisk View.

 

 

Aby utworzyć nową aplikację, kliknij przycisk Create widoczny w lewym górnym rogu okna.

 

 

W kolejnym oknie, w sekcji Project details, określ typ subskrypcji (pole Subscription), a następnie w polu Resource Group wybierz z listy rozwijanej grupę zasobów, którą utworzono podczas tworzenia Log Analytics workspace (w omawianym przypadku jest to grupa o nazwie „WEBCON”).

W kolejnej sekcji (Instance details) wpisz nazwę instancji (Name), a następnie w polu Region z listy rozwijanej wybierz region (Europe) Poland Central. Po wprowadzeniu wspomnianych danych przejdź do sekcji Workspace details, określ odpowiedni rodzaj subskrypcji (Subscription), a w polu poniżej z listy rozwijanej wybierz utworzoną wcześniej przestrzeń Log Analytics workspace.

 

 

Po zakończeniu konfiguracji przejdź do zakładki Review + create, klikając kolejno przycisk Next : Tags > i Next : Review + create > i naciśnij przycisk Create w lewym dolnym rogu. Po kilku chwilach wyświetlona zostanie informacja o poprawnym utworzeniu aplikacji.

 

 

Dysponując już aplikacją Application Insights, a konkretnie przestrzenią roboczą, należy ją połączyć z narzędziem Microsoft Sentinel. W tym celu w polu wyszukiwania wyszukaj i wybierz wspomniane narzędzie.

 

 

W nowo otwartym oknie kliknij przycisk Create widoczny w prawym górnym rogu. W rezultacie otwarte zostanie okno umożliwiające dodanie narzędzia MS Sentinel do utworzonej wcześniej przestrzeni Log Analytics workspace – zaznacz odpowiednią pozycję na liście i naciśnij przycisk Add w prawym dolnym rogu.

 

 

Po kilku chwilach w prawym górnym rogu nowego okna wyświetlony zostanie komunikat informujący o pomyślnym dodaniu narzędzia Microsoft Sentinel do przestrzeni roboczej.

 

 

Po zakończeniu konfiguracji na platformie Azure możliwe jest przystąpienie do konfigurowania narzędzia OpenTelemetry.

 

  • Konfiguracja pliku otlpsettings.json

Aby umożliwić przesyłanie danych do Application Insights, w pliku konfiguracyjnym narzędzia OpenTelemetry, tj. otlpsettings.json, dodano nowy obiekt AzureMonitor. (Dotyczy to zarówno pliku zawartego w folderze modułu Portalu, jak i Serwisu, platformy WEBCON BPS). W konsekwencji wspomniany obiekt zawarty jest obecnie w sekcji Exporters należącej do węzłów danych metrycznych (Metrics) oraz danych śledzenia diagnostycznego (Tracing).

W opisywanym przykładzie zaprezentowana zostanie konfiguracja pliku otlpsettings.json Portalu, przy czym należy pamiętać, że omawiana procedura jest identyczna również w przypadku pliku Serwisu.

 

W celu włączenia eksportera AzureMonitor otwórz wspomniany wcześniej plik otlpsettings.json znajdujący się w folderze Portalu (domyślnie C:\Program Files (x86)\WEBCON\WEBCON BPS Portal). W węźle Metrics znajdź sekcję Exporters, a następnie obiekt AzureMonitor zawierający dwa pola Enabled oraz ConnectionString. Zacznij od zmiany wartości w polu Enabled na „true”.

 

UWAGA: aby włączyć eksport danych dla obiektu AzureMonitor, oprócz ustawienia wartości „true” w polu Enabled, konieczne jest także analogiczne skonfigurowanie węzłów nadrzędnych. Oznacza to, że w omawianym przypadku konieczne jest zmienienie wartości pól Enabled należących kolejno do węzłów Otlp, Metrics i Exporters.

 

Następnie przejdź do pola ConnectionString. W polu tym wewnątrz istniejącego nawiasu należy wstawić wartość ciągu połączenia (connection string) – parametr ten dostępny jest w skonfigurowanej wcześniej aplikacji Application Insights. Aby go odnaleźć przejdź do portalu Azure. Z menu bocznego wybierz opcję Monitor, a następnie w kafelku Application Insights kliknij przycisk View. Po otwarciu nowego okna z listy dostępnych aplikacji wybierz wcześniej skonfigurowaną (w tym przypadku jest to aplikacja „WEBCON”).

 

 

W nowym oknie skopiuj wartość widoczną w polu Connection String.

 

 

Skopiowaną wartość wstaw w pliku otlpsettings.json we wspomnianym polu ConnectionString, pamiętając przy tym, aby usunąć całą domyślnie uzupełnioną wartość wraz z nawiasami kwadratowymi (wartość ciągu połączenia należy wstawić wewnątrz nawiasu).

Opisane w tym punkcie czynności powtórz następnie dla węzła Tracing i zapisz zaminy. Uzupełniony w ten sposób plik powinien wyglądać następująco:

{
    "App": {
        "Otlp": {
            "ServiceName": "WebCon.WorkFlow.Portal",
            "Enabled": true,
            "Metrics": {
                "Enabled": true,
                "WebInstrumentation": { "Enabled": true },
                "ProcessInstrumentation": { "Enabled": true },
                "EventCountersInstrumentation": {
                    "Enabled": true,
                    "EventSources": "Microsoft.AspNetCore.Hosting, System.Net.Http"
                },
                "Exporters": {
                    "Prometheus": {
                        "Enabled": true,
                        "Endpoint": "/metrics",
                        "CacheDuration": 100
                    },
                    "otlp": {
                        "Enabled": false,
                        "Endpoint": "[metricsAddress]",
                        "Headers": "Authorization=[apikey]"
                    },
                    "AzureMonitor": {
                        "Enabled": true,
                        "ConnectionString": "InstrumentationKey="
                    }
                }
            },
            "Tracing": {
                "Enabled": true,
                "ShowExceptions": true,
                "HttpTracing": { "Enabled": true },
                "SqlTracing": {
                    "Enabled": true,
                    "ShowDbStatements": true
                },
                "Exporters": {
                    "Jaeger": {
                        "Enabled": true,
                        "Endpoint": "http://[jaegerAddress]:4317",
                        "Protocol": "grpc"
                    },
                    "Otlp": {
                        "Enabled": false,
                        "Endpoint": "[tracingAddress]",
                        "Headers": "Authorization=[apiKey]",
                        "Protocol": "grpc"
                    }
                },
                "AzureMonitor": {
                    "Enabled": true,
                    "ConnectionString": "InstrumentationKey="
                }
            }
        }
    }
}

Po zapisaniu wprowadzonych zmian zrestartuj Portal i przejdź ponownie na stronę platformy Azure. Przejdź do narzędzia Microsoft Sentinel. Po kilku chwilach narzędzie powinno zacząć prezentować odbierane z platformy WEBCON BPS dane.

 

 

Podsumowanie

Zintegrowanie platformy WEBCON BPS z narzędziem Microsoft Sentinel pozwala zwiększyć ogólne bezpieczeństwo i zminimalizować potencjalne zagrożenia. Dzięki temu z rozwiązania tego już dzisiaj korzystać mogą nie tylko specjaliści ds. bezpieczeństwa, ale też i administratorzy platformy WEBCON BPS.