Ja, het is mogelijk om de logbestanden van een MikroTik-apparaat naar een SIEM-systeem (Security Information and Event Management) te sturen. Dit proces helpt bij het centraliseren van logbeheer en het uitvoeren van diepgaandere analyses van beveiligingsgebeurtenissen en andere netwerkgegevens.

Wij leggen uit hoe je dat doet:

Instellingen in MikroTik

1. Schakel het logsysteem in:
   • Zorg er in MikroTik RouterOS eerst voor dat het logsysteem is geconfigureerd om de gewenste gebeurtenissen vast te leggen. Dit kan vanaf System > Logging. Hier kunt u instellen welke logonderwerpen u wilt dat het systeem registreert.
2. Logboekverzending configureren:
   • Loggen op afstand: Met MikroTik kunt u logbestanden naar een externe server verzenden met behulp van het Syslog-protocol. Stel deze optie in op System > Logging een nieuwe actie toevoegen (Action) van soort remote.
   • Configuratiedetails:
     • Naam: wijst een naam toe aan de actie.
     • doelwit: specificeert het IP-adres van de SIEM-server.
     • Externe poort: Configureert de externe poort, meestal 514 voor Syslog.
     • Faciliteit: Kies de overeenkomstige faciliteit volgens de classificatie van de logs op de SIEM-server.
3. Koppel logregels aan de indieningsactie:
   • Koppel de specifieke loggingregels aan de gemaakte remote loggingactie, zodat de logs naar de SIEM-server worden verzonden.

Overwegingen voor de SIEM

1. SIEM-configuratie:
   • Zorg ervoor dat uw SIEM-systeem is geconfigureerd om logboeken van MikroTik te ontvangen en te verwerken. Dit kan het configureren van geschikte parsers omvatten om MikroTik-specifieke logformaten te interpreteren.
2. Beveiliging en betrouwbaarheid:
   • Denk aan de veiligheid van het transport van boomstammen. Hoewel Syslog gebruikelijk is, codeert de standaardversie de gegevens niet, wat een risico zou kunnen zijn als de logs gevoelige informatie bevatten. Evalueer het gebruik van Syslog via TLS als uw SIEM dit ondersteunt.
   • Zorg ervoor dat het netwerk tussen MikroTik en de SIEM betrouwbaar is om verlies van loggegevens te voorkomen.
3. Analyse en correlatie:
   • Zodra de logboeken door de SIEM zijn ontvangen, kunt u de tools gebruiken om analyses, gebeurteniscorrelaties en waarschuwingen uit te voeren op basis van abnormale verkeerspatronen of andere indicatoren van een compromis.

Het verzenden van MikroTik-logboeken naar een SIEM is een uitstekende praktijk voor het verbeteren van de zichtbaarheid van de netwerkbeveiliging en de respons op incidenten. Hierdoor wordt niet alleen het logbeheer gecentraliseerd, maar worden ook de detectie- en responsmogelijkheden voor bedreigingen in uw netwerkinfrastructuur verbeterd.