Es gibt einige Möglichkeiten eine Securepoint UTM überwachen zu können. Eine Übersicht findet sich beispielswiese in diesem Beitrag:
(Securepoint) SOC-Alternativen, ein Goodie & SecDays 2023 – Ein indirekter Rückblick
Ein Weg besteht darin, die API der USC (Unified Security Console) zusammen mit Prometheus und Grafana zu nutzen.
Um die beiden genannten Lösungen einsetzen zu können benötigt man ein Betriebssystem seiner Wahl. Meist wird in diesem Zug Linux erwähnt, Windows geht allerdings auch. Da ich hier gerade eine Windows Server-VM für Testzwecke habe bot es sich an mal zu schauen wie das Ganze einzurichten geht.
Im Großen und Ganzen ist alles relevante im Wiki beschrieben:
Securepoint – Wiki – USC – API Keys
Man legt zuerst den API Key wie beschrieben an.
Anschließend lädt man Prometheus herunter, entpackt das Archiv und editiert die “prometheus.yml”. Bei mir sieht sie im Moment so aus:
# my global config global: scrape_interval: 15s # Set the scrape interval to every 15 seconds. Default is every 1 minute. evaluation_interval: 15s # Evaluate rules every 15 seconds. The default is every 1 minute. # scrape_timeout is set to the global default (10s). # Alertmanager configuration alerting: alertmanagers: - static_configs: - targets: # - alertmanager:9093 # Load rules once and periodically evaluate them according to the global 'evaluation_interval'. rule_files: # - "first_rules.yml" # - "second_rules.yml" # A scrape configuration containing exactly one endpoint to scrape: # Here it's Prometheus itself. scrape_configs: # The job name is added as a label `job=` to any timeseries scraped from this config. # The job name is added as a label `job=` to any timeseries scraped from this config. - job_name: 'securepoint_cloud_metrics' scrape_interval: 60s # Do not edit scrape_timeout: 30s metrics_path: /sms-mgt-api/api/2.0/metrics scheme: https bearer_token: '<Den API-Key hier einfügen>' static_configs: - targets: - portal.securepoint.cloud
Anschließend führt man die “prometheus.exe” aus.
Im Browser kann man unter “http://localhost:9090” unter “Status – Targets” sehen, das eine Verbindung besteht:
Nun lädt man Grafana herunter, entpackt auch dieses Archiv und führt die “grafana-service.exe” aus.
Nun öffnet man im Browser die Adresse “http://localhost:3000” und meldet sich mit admin/admin an. Zunächst muss ein neues Kennwort vergeben werden, bevor man auf der Startseite (Home) landet.
Als nächstes klickt man unter “Complete” auf “Add your first data source”, anschließend wählt man “Prometheus” aus und gibt bei “Prometheus server URL” “http://localhost:9090” ein und bestätigt das Ganze mit “Save & test”.
Achtung: Die URL wird zwar auch ohne Eingabe bereits angezeigt, dient allerdings nur als Beispiel. Man muss zwingend eine URL eingeben!
Nun klickt man auf das Burger-Menü und wählt “Dashboards” aus.
Hier klickt man auf “New – Import” und fügt das eine oder beide Beispiele aus dem Wiki ein.
Abschließend klickt man auf “Load”, gibt als Datenquelle Prometheus an und schließt das Ganze mit einem Klick auf “Import” ab.
Bemerkung: Möchte man beide Beispiele importieren bzw. nutzen, muss beim zweiten Import-Vorgang die “Unique identifier (UID)” geändert werden, also beispielsweise eine “2” anhängen.
Und schon hat man das eine oder andere oder beide Dashboards vor sich:
Ich muss sagen dank guter Doku seitens Securepoint und copy&paste kommt man so schnell zu einem gutem Ergebnis.
Für den gesamten Vorgang (ohne Windows-Installation) wurden nur gut 30 Minuten gebraucht, darin inbegriffen ist sich in das Thema einlesen, der Download von Prometheus und Grafana, die Konfiguration gemäß dem Wiki von Securepoint. Wohlgemerkt hatte ich bislang noch nie etwas mit Prometheus und Grafana zu tun, für den Anfang war das bis hierhin nicht schlecht und der Aufwand sehr überschaubar.
Wie könnte es nun weitergehen?
Natürlich ist das bis hierhin nur ein Anfang. Als weitere Schritte wäre die Einrichtung als Dienste, Absicherung und das Alerting ein Thema.
Wer hat Erfahrungswerte mit Prometheus und Grafana im Allgemeinem und zusammen mit Securepoint im Speziellen? Ich wäre an einem Austausch interessiert. Meldet euch einfach oder lasst mir ein Kommentar da.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Hallo,
als Monitoring funktioniert das schon, leider fehlen Einstellmöglichkeiten. Hier ist noch Luft nach oben.
Hast du auf Linux oder Windows Installiert ?
mfg Peter Hein
Windows.
Wir betreiben die beiden Komponenten auf einer Linux-VM unter Debian.
Wie Andy schon geschrieben hat kommt man mit dem Securepoint Wiki sehr schnell zum Ziel.
Was uns aufgefallen ist und auch für uns einen neuen Denkansatz gibt, ist dass man die UTM über den Link direkt errreichen kann. Vorausgesetzt der Name der UTM ist über das Internet auflösbar und erreichbar.
In Kombination mit SPDNS, Letsencryptr kommt man von der Ferne auf jede UTM ohne Zertifikatswarnung.
Was mich nervt, ist wenn wir einen neuen Kunden dazubekommen, dann muss ich einen neuen API-Key mit diesem Kunden erstellen.
Die Funktion keine Kunden auswählen hat bei uns nicht funktioniert, so wie es im Wiki beschrieben war.