Sì, è possibile inviare i log di un dispositivo MikroTik a un sistema SIEM (Security Information and Event Management). Questo processo aiuta a centralizzare la gestione dei registri ed eseguire un'analisi più approfondita degli eventi di sicurezza e di altri dati di rete.

Spieghiamo come farlo:

Impostazioni in MikroTik

1. Abilita il sistema di registro:
   • In MikroTik RouterOS, assicurati innanzitutto che il sistema di registrazione sia configurato per acquisire gli eventi desiderati. Questo può essere fatto da System > Logging. Qui puoi regolare quali argomenti di registro vuoi che il sistema registri.
2. Configurare il log shipping:
   • Registrazione remota: MikroTik consente di inviare i log a un server remoto utilizzando il protocollo Syslog. Imposta questa opzione su System > Logging aggiungendo una nuova azione (Action) di tipo remote.
   • Dettagli di configurazione:
     • Nome: assegna un nome all'azione.
     • Target: specifica l'indirizzo IP del server SIEM.
     • Porta remota: Configura la porta remota, solitamente 514 per Syslog.
     • Facility: Scegli la struttura corrispondente in base alla classificazione dei log sul server SIEM.
3. Associa le regole di registro all'azione di invio:
   • Collegare le regole di registrazione specifiche con l'azione di registrazione remota creata, in modo che i registri vengano inviati al server SIEM.

Considerazioni per il SIEM

1. Configurazione SIEM:
   • Assicurati che il tuo sistema SIEM sia configurato per ricevere ed elaborare i log da MikroTik. Ciò può includere la configurazione di parser appropriati per interpretare i formati di registro specifici di MikroTik.
2. Sicurezza e Affidabilità:
   • Considera la sicurezza del trasporto dei tronchi. Sebbene Syslog sia comune, la sua versione standard non crittografa i dati, il che potrebbe rappresentare un rischio se i registri contengono informazioni sensibili. Valuta l'utilizzo di Syslog su TLS se il tuo SIEM lo supporta.
   • Assicurati che la rete tra MikroTik e SIEM sia affidabile per evitare la perdita dei dati di registro.
3. Analisi e correlazione:
   • Una volta ricevuti i registri dal SIEM, è possibile utilizzare i suoi strumenti per eseguire analisi, correlazione di eventi e avvisi basati su modelli di traffico anomali o altri indicatori di compromissione.

L'invio dei registri MikroTik a un SIEM è una pratica eccellente per migliorare la visibilità della sicurezza della rete e la risposta agli incidenti. Ciò non solo centralizza la gestione dei registri, ma migliora anche le capacità di rilevamento e risposta alle minacce nell'infrastruttura di rete.