SIEM Activity logging

[Davey400]

Is er hier iemand die al eens gebruik heeft gemaakt van de nu al weer een paar maanden aanwezige mogelijkheid tot het koppelen van een SIEM server voor activity logging vanuit UniFi Network?

En zo ja, met welk product?
Tips voor Freeware producten? (Het is maar voor de hobby/ter Lering ende Vermaeck)
Voorbeelden van resultaten?

 

[unipro]

Ik heb een paar sites gekoppeld aan de freeware versie van Graylog. Daar komen berichten binnen van de UniFi en EdgeMax devices die daar gebruikt worden.
Belangrijkste is dat je ervoor zorgt dat alle devices dezelfde bron gebruiken voor de tijd, zodat de berichten van alle devices in sync lopen.

 

[Eddie the Eagle]

Is dit niet weer een voorbeeld van oude wijn in nieuwe zakken van Unifi ? Ik gebruik al een paar jaar de externe Syslog server, alleen heet die ineens SIEM Server in de nieuwe UNA. Intrusion prevention heeft al zoveel namen gehad, dat ik ze niet eens meer allemaal weet, threat management, IDS.

In elk geval.....ik gebruik al heel lang de functie die nu ineens SIEM server heet, en wel via Synology Log Center. Werkt als een speer, de log bestanden kun je een query op draaien of naar excel exporteren.

 

[Davey400]

Tja, eens.

SIEM (Security Information and Event Management) is inderdaad wel een relatief nieuwe term voor iets wat we al heel lang doen. De Sales bij ons op het werk verkoopt het graag (want nieuw buzz-woord en beslissende managers zijn er gek op) en het is nu eenmaal de naam waaronder het nu ook in UniFi zit, vandaar dat ik die ook maar aangehouden heb.

 

[Eddie the Eagle]

Tja, eens.

SIEM (Security Information and Event Management) is inderdaad wel een relatief nieuwe term voor iets wat we al heel lang doen. De Sales bij ons op het werk verkoopt het graag (want nieuw buzz-woord en beslissende managers zijn er gek op) en het is nu eenmaal de naam waaronder het nu ook in UniFi zit, vandaar dat ik die ook maar aangehouden heb.

Ok, dan is Synology Log Center mijn tip voor als je al een Synology in gebruik hebt. Het doet precies wat het doen moet; er zullen vast betere oplossingen zijn maar deze is prima en gratis.

Wat ik wel nog kan toevoegen is dat je logging voor bijvoorbeeld de firewall regels en port forwarding regels echt moet aanzetten in de UNA. Deze worden standaard niet gelogged dus als je dat wel wilt, dan moet je dit aanvinken.

 

[Davey400]

Helaas; geen Synology. Maar een goede tip voor hen die dat wel hebben en hiermee aan de slag willen!

 

[Sjaak020]

Hoi Eddie, heb jij een beschrijving hoe je dat hebt ingericht. Met name die Synology kant. In de console kom ik via System en Integrations wel de keuze tegen om die Activity logging aan te zetten met als keuze SIEM server. Ik kan dan kiezen voor een externe server met poort 514 Is het een shared map op die server aanmaken waar de loggings in worden opgeslagen of installeer je op die Synology een bepaald pakket?

 

[HAEdwin]

@Sjaak020 Op de Synology ga je naar Log Center > Log Receiving > Create en dan vervolgens een naampje, IETF format selecteren, UDP 514 en dat zou het moeten zijn. Je moet alleen ook nog even vooraf een folder aanmaken waar je de logging wilt hebben.

Ik loop in Unifi alleen tegen het probleem dat ik (volgens mij) alle instellingen goed heb gedaan, vervolgens op Apply druk en naar een ander tabblad navigeer. Ik krijg dan de melding dat de instellingen niet zijn opgeslagen maar er is vervolgens niets ge-highlight of iets anders wat wijst op verkeerde instellingen.

 

[m4v3r1ck]

Ik loop in Unifi alleen tegen het probleem dat ik (volgens mij) alle instellingen goed heb gedaan, vervolgens op Apply druk en naar een ander tabblad navigeer. Ik krijg dan de melding dat de instellingen niet zijn opgeslagen maar er is vervolgens niets ge-highlight of iets anders wat wijst op verkeerde instellingen.

Vink de "Debug Logs" en "Netconsole" eens aan.

 

[HAEdwin]

Geen succes, als ik op Apply druk en dan weg navigeer krijg ik toch nog het dialoog venster. Er wordt hier dus niets opgeslagen aan instellingen.
Geldt overigens ook als ik de Internally Stored radio button aan klik.



Edit: Oeps ik krijg de indruk dat ik niet met het admin account ben ingelogged. Ik ga hier verder rondneuzen...

 

[Eddie the Eagle]

of installeer je op die Synology een bepaald pakket?

yes.....Log Center moet je apart installeren. En dan deze instellingen bij Log Receiving instellen.



en in de UNA

 

[HAEdwin]

Oei oei, vanuit de Legacy UI kan ik instellingen wel veranderen

---

Dit is denk ik een software bug...
Ik heb de instellingen bewaard in de oude UI en de logregels komen meteen binnen op de Synology.

Terug schakelen naar de nieuwe UI en voila, de instellingen staan er nu wel in... weird!


In de debug logging komt een config-migration-helper regelmatig langs in het log... brrr wil het niet eens weten. Ik blijf er maar even vanaf, niet goed voor mij . Iemand met meer kennis die hier iets over kan zeggen?

Gelukkig heeft chatgpt mijn vermoedens bevestigd zitten nog wat inconsistenties in.

De oude en nieuwe UI hebben last van cognitieve dissonantie