Přeskočit obsah

MazeVault — Průvodce integrací SIEM

Přehled

MazeVault podporuje real-time streaming audit eventů do externích SIEM platforem a ELK stacků. Tento průvodce pokrývá nastavení pro všechny podporované platformy:

  • Elasticsearch / ELK Stack — Bulk API s ECS mapováním polí
  • Splunk Enterprise Security — HEC (HTTP Event Collector)
  • Microsoft Sentinel — přes Syslog/CEF konektor
  • IBM QRadar — přes Syslog/LEEF konektor
  • Generický Syslog — RFC 5424 pro jakýkoli syslog-kompatibilní příjemce

1. Elasticsearch / ELK Stack

1.1 Předpoklady

  • Elasticsearch 7.x nebo 8.x cluster
  • Přístup do Kibany pro import detekčních pravidel
  • API Key nebo basic auth přihlašovací údaje

1.2 Konfigurace v MazeVault

  1. Přejděte do Nastavení organizace → Audit Streams
  2. Klikněte na Přidat streaming destinaci
  3. Vyberte Elasticsearch / ELK
  4. Konfigurujte:
  5. Endpoints: Čárkou oddělené Elasticsearch URL (např. https://es1:9200, https://es2:9200)
  6. Autentizace: API Key (doporučeno) nebo Basic Auth
  7. Index Pattern: mazevault-audit (datumový suffix se automaticky přidá)
  8. Ingest Pipeline: Volitelné — zadejte pokud máte vlastní pipeline
  9. Klikněte Uložit destinaci

1.3 Import Index Template & ILM Policy

# Import ILM policy (hot→warm→cold→delete životní cyklus)
curl -X PUT "https://ES_HOST:9200/_ilm/policy/mazevault-audit-policy" \
  -H "Content-Type: application/json" \
  -d @mazevault-ilm-policy.json

# Import index template
curl -X PUT "https://ES_HOST:9200/_index_template/mazevault-audit" \
  -H "Content-Type: application/json" \
  -d @mazevault-index-template.json

Poznámka: MazeVault automaticky vytvoří ILM policy a index template při prvním připojení. Manuální import je nutný pouze pokud chcete přizpůsobit nastavení před prvním eventem.

1.4 Import detekčních pravidel

  1. Otevřete Kibana → Security → Detection Rules
  2. Klikněte Import rules
  3. Nahrajte mazevault-detection-rules.ndjson
  4. Aktivujte importovaná pravidla

1.5 Přehled detekčních pravidel

ID pravidla Název Závažnost
MV-AUTH-001 Detekce Brute Force VYSOKÁ
MV-AUTH-002 Nemožné cestování KRITICKÁ
MV-AUTH-003 Přístup mimo pracovní dobu STŘEDNÍ
MV-AUTH-004 Eskalace oprávnění KRITICKÁ
MV-AUTH-005 Pokus o obejití MFA VYSOKÁ
MV-EXFIL-001 Hromadný export tajemství KRITICKÁ
MV-EXFIL-002 Hromadné čtení tajemství VYSOKÁ
MV-EXFIL-003 Hromadný export certifikátů VYSOKÁ
MV-CERT-001 Neautorizované vydání certifikátu KRITICKÁ
MV-CERT-002 Manipulace s CA účtem VYSOKÁ
MV-CERT-003 Hromadné odvolání certifikátů KRITICKÁ
MV-ACL-001 Hromadná změna oprávnění VYSOKÁ
MV-ACL-002 Udělení administrátorské role STŘEDNÍ
MV-ACL-003 Podezřelé smazání projektu KRITICKÁ
MV-SYS-001 Deaktivace audit streamu KRITICKÁ
MV-SYS-002 Anomálie integrity chain hash KRITICKÁ
MV-SYS-003 Změna konfigurace integrace STŘEDNÍ

1.6 Ověření

  1. Vyvolejte testovací event (např. přihlášení do MazeVault)
  2. V Kibana → Discover hledejte index mazevault-audit-*
  3. Ověřte ECS pole: event.action, user.id, source.ip, mazevault.*

2. Splunk Enterprise Security

2.1 Předpoklady

  • Splunk Enterprise nebo Cloud s povoleným HEC
  • Vygenerovaný HEC token

2.2 Konfigurace v MazeVault

  1. Přejděte do Nastavení organizace → Audit Streams
  2. Klikněte Přidat streaming destinaci
  3. Vyberte Splunk HEC
  4. Konfigurujte:
  5. HEC Endpoint: https://splunk:8088/services/collector
  6. HEC Token: Váš vygenerovaný token
  7. Index: Cílový index (např. main nebo mazevault)
  8. Source Type: mazevault:audit
  9. Klikněte Uložit destinaci

2.3 Instalace detekčních pravidel

  1. Zkopírujte savedsearches.conf do $SPLUNK_HOME/etc/apps/mazevault/local/
  2. Zkopírujte props.conf a transforms.conf do stejného adresáře
  3. Restartujte Splunk: $SPLUNK_HOME/bin/splunk restart

2.4 Ověření

  1. Hledejte: index=* sourcetype="mazevault:audit" | head 10
  2. Ověřte správnou extrakci JSON polí

3. Microsoft Sentinel

3.1 Předpoklady

  • Nakonfigurovaný Azure Sentinel workspace
  • Povolený CEF via AMA data konektor
  • Syslog listener na určeném VM (port 514 nebo vlastní)

3.2 Konfigurace v MazeVault

  1. Přejděte do Nastavení organizace → Audit Streams
  2. Klikněte Přidat streaming destinaci
  3. Vyberte Syslog / SIEM (CEF, LEEF, RFC 5424)
  4. Konfigurujte:
  5. Host: IP/hostname vašeho syslog forwarderu
  6. Port: 514 (nebo vlastní)
  7. Protokol: TCP nebo TLS (doporučeno)
  8. Formát zpráv: CEF (ArcSight / Sentinel)
  9. Název aplikace: MazeVault
  10. Klikněte Uložit destinaci

3.3 Import analytických pravidel

Pomocí Azure CLI: 

az deployment group create \
  --resource-group VAŠE_RG \
  --template-file mazevault-sentinel-rules.json

3.4 Ověření

  1. V Sentinelu přejděte do Logs
  2. Dotaz: CommonSecurityLog | where DeviceVendor == "MazeVault" | take 10

4. IBM QRadar

4.1 Předpoklady

  • Přístup na QRadar Console
  • Nakonfigurovaný syslog log source

4.2 Konfigurace v MazeVault

  1. Přejděte do Nastavení organizace → Audit Streams
  2. Klikněte Přidat streaming destinaci
  3. Vyberte Syslog / SIEM (CEF, LEEF, RFC 5424)
  4. Konfigurujte:
  5. Host: IP QRadar Event Collectoru
  6. Port: 514
  7. Protokol: TCP
  8. Formát zpráv: LEEF (IBM QRadar)
  9. Název aplikace: MazeVault
  10. Klikněte Uložit destinaci

4.3 Import DSM extension

  1. Admin → DSM Editor
  2. Klikněte Import a nahrajte mazevault-log-source-extension.xml
  3. Nasaďte změny

4.4 Import vlastních pravidel

  1. Admin → Rules
  2. Actions → Import Rules
  3. Nahrajte mazevault-qradar-rules.xml
  4. Nasaďte změny

4.5 Ověření

  1. Log Activity → Filtrování podle Log Source Type "MazeVault"
  2. Ověřte správné parsování s custom properties

5. Monitoring & Dead Letter Queue

MazeVault exponuje Prometheus metriky pro monitoring zdraví streamingu:

Metrika Popis
mazevault_log_stream_events_dropped_total Eventy zahozené kvůli plnému bufferu
mazevault_log_stream_send_duration_seconds Latence odesílání per destinace
mazevault_log_stream_send_errors_total Chyby odesílání per destinace
mazevault_log_stream_dlq_writes_total Eventy zapsané do dead letter queue

Dead Letter Queue

Pokud je destinace nedostupná po 3 pokusech retry (1s, 2s, 4s exponenciální backoff), eventy jsou zapsány do /var/log/mazevault/stream_dlq.jsonl pro manuální replay.

6. Řešení problémů

Žádné eventy v SIEMu

  1. Zkontrolujte stav destinace v MazeVault UI (zelená = aktivní)
  2. Zkontrolujte Prometheus metriku mazevault_log_stream_send_errors_total
  3. Zkontrolujte DLQ soubor: tail -f /var/log/mazevault/stream_dlq.jsonl
  4. Ověřte síťovou konektivitu z MazeVault na SIEM endpoint

Zahozené eventy

  1. Monitorujte mazevault_log_stream_events_dropped_total
  2. Při trvalém zahazování zvětšete channel buffer nebo přidejte destinace s nižší latencí