Ja, dit is moontlik om die logs van 'n MikroTik-toestel na 'n sekuriteitsinligting- en gebeurtenisbestuurstelsel (SIEM) te stuur. Hierdie proses help om logboekbestuur te sentraliseer en dieper ontleding van sekuriteitsgebeurtenisse en ander netwerkdata uit te voer.

Ons verduidelik hoe om dit te doen:

Instellings in MikroTik

1. Aktiveer die logstelsel:
   • In MikroTik RouterOS, maak eers seker dat die aantekenstelsel gekonfigureer is om die verlangde gebeurtenisse vas te vang. Dit kan gedoen word vanaf System > Logging. Hier kan jy aanpas watter log-onderwerpe jy wil hê die stelsel moet opneem.
2. Stel logversending op:
   • Afgeleë aantekening: MikroTik laat jou toe om logs na 'n afgeleë bediener te stuur deur die Syslog-protokol te gebruik. Stel hierdie opsie op System > Logging voeg 'n nuwe handeling by (Action) van tipe remote.
   • Konfigurasiebesonderhede:
     • Naam : Ken 'n naam aan die aksie toe.
     • Doel: Spesifiseer die IP-adres van die SIEM-bediener.
     • Afstandpoort: Stel die afgeleë poort op, gewoonlik 514 vir Syslog.
     • Fasiliteit: Kies die ooreenstemmende fasiliteit volgens die klassifikasie van die logs op die SIEM-bediener.
3. Assosieer logreëls met die indieningsaksie:
   • Koppel die spesifieke logreëls met die afgeleë log-aksie wat geskep is, sodat die logs na die SIEM-bediener gestuur word.

Oorwegings vir die SIEM

1. SIEM-konfigurasie:
   • Maak seker dat jou SIEM-stelsel opgestel is om logs van MikroTik te ontvang en te verwerk. Dit kan die opstel van toepaslike ontleders insluit om MikroTik-spesifieke log-formate te interpreteer.
2. Sekuriteit en betroubaarheid:
   • Oorweeg die sekuriteit van houtvervoer. Alhoewel Syslog algemeen is, enkripteer die standaardweergawe nie data nie, wat 'n risiko kan wees as die logboeke sensitiewe inligting bevat. Evalueer die gebruik van Syslog oor TLS as jou SIEM dit ondersteun.
   • Maak seker dat die netwerk tussen MikroTik en die SIEM betroubaar is om verlies van logdata te voorkom.
3. Analise en Korrelasie:
   • Sodra die logboeke deur die SIEM ontvang is, kan u sy gereedskap gebruik om analise, gebeurteniskorrelasie en waarskuwings uit te voer gebaseer op abnormale verkeerspatrone of ander aanwysers van kompromie.

Die stuur van MikroTik-logs na 'n SIEM is 'n uitstekende praktyk om netwerksekuriteitsigbaarheid en insidentreaksie te verbeter. Dit sentraliseer nie net logboekbestuur nie, maar verbeter ook bedreigingsopsporing en reaksievermoëns in jou netwerkinfrastruktuur.