Notifikationer

Notifikationer er en vigtig del af overvågning. Vigtige alarmer kræver notifikationer, sådan at drift personale hurtigt kan reagere på drift udfordringer og ændringer i infrastrukturen. Dette er en vigtig funktion i Neosec, da det hurtigt og effektivt kan notificere de brugere der har med den overvågede services at gøre.

Notifikationer tilknyttes for hver monitor hvor man har konfigureret en tærskel værdi. Notifikationer konfigureres globalt og kan nemt tilrettes pr. bruger af systemet.

Med integration til Microsoft Teams og Slack sikrer man, at ens Mail indbakke ikke fyldes med alarmer.

Følgende indbyggede notifikationer er tilgængelige

E-Mail (SMTP)
Microsoft Teams
Slack
SMS

^E-Mail

Her benyttes traditionel SMTP kommunikation for afsendelse af mail notifikationer. Som standard benyttes port tcp/25 for kommunikation mod SMTP server. E-Mail afsendes med afsender adresse som man selv kan vælge. Modtageren udvælges fra de konfigurerede bruger i Neosec.

^{Microsoft Teams}

Notifikationer kan sendes til en Microsoft Teams Kanal. Kanalen skal oprettes med webhook integration. Alle medlemmer af kanallen vil modtage de afsendte notifikationer.

Dette fungerer både ved modtagelse i web, mobil samt i desktop Microsoft Teams klient.

Klik her for vejledning for konfiguration af Notifikationer til Microsoft Teams.

^Slack

Neosec integrere med Slack, sådan at notifikationer kan sendes til en udvalgt Slack kanal. Integrationen benyttes via Slack webhook, som konfigureres for den enkelte Slack kanal. Man kan derfor nemt sende notifikationer til de rette modtagere i stedet for at sende alt til en Slack kanal.

Dette fungerer både ved modtagelse i web, mobil samt i desktop Slack klient.

Klik her for vejledning for konfiguration af Notifikationer til Slack Kanaler.

^SMS

Neosec har en integreret SMS notifikations tjeneste via egenudviklet SMS service som kommunikere med SMS Modem via Seriel kommunikation. Udover det er der indbygget integration til SMSNOW hvor man benytter HTTP kommunikation mod SMSNOW Servicen. Via den indbyggede bruger administration, benyttes det indtastede mobilnummer for brugeren for modtagelse af SMS beskeder.

Overvågnings protokoller

Neosec Security server, benytter følgende protokoller til overvågning.

ICMP – Internet Control Message Protocol i daglig tale ping.

ICMP benyttes til at tjekke om de overvågede enheder er i live. Der sendes 3 x ping ud til hver enkelt enhed hvor Neosec Security Server afventer et svar. Ved hvert ping indhentes svartiden sådan at man kan beregne den gennemsnitlige svartid.

Udover dette benyttes ICMP også til at måle pakke tab. Hvis der ikke kommer 3 svar tilbage men kun 1, kan det skyldes at der er pakke tab til enheden eller at enheden er for belastet til at kunne svare.

Hvis de 3 ping besvares, ses enheden som oppe. Hvis de 3 ping ikke besvares ses enheden som nede.

Neosec Security Server benytter ICMP til at måle pakke tab og oppetid.

WMI – Windows Management Instrumentation, dette er Microsofts framework for monitorering af deres operativ systemer.

WMI benyttes til monitorering af Windows server og arbejdspladser. Men WMI kan også benyttes til at udtrække informationer omkring hardware og software på de enkelte servere og arbejdsstationer.

SNMP – Simple Network Management Protocol, en old school protokol der i høj grad benyttes til monitorering og overvågning af netværks enheder og servere. SNMP er en protokol der er understøttet på tværs af rigtig mange platforme. Den benyttes i dag på mange type netværks enheder, såsom switche, firewall, routere, arbejdsstationer og servere. Alle enheder har en SNMP agent som man spørger til.

Man benytter et Community navn for at kunne kommunikere med SNMP agenten. Dette er et slags brugernavn. Der kan på alle enheder sættes en Læse Community, nogle enheder understøtter også en skrive Community som kan benyttes til at sende kommandoer tilbage til SNMP Agenten for konfiguration af den enkelte enhed.

SNMP findes i 3 versioner, de adskiller sig på forskellige måder.

Version 1, den første version af SNMP protokollen. Begrænsningen er her 32 bit tællere.

Version 2, en nyere version der understøtter 64 bit tællere, samt nogle nye typer OID.

Version 3, har de samme funktioner som verision 2, men her er der en sikkerheds model hvor man kan kommunikere med SNMP agenten via en krypteret forbindelse, samt brugernavn og password.

Standard i dag er at man benytter Version 2.

Information

Oversigt over kendte kommunikations protokoller.

Nyttige Link

MIB Depot http://www.mibdepot.com er et godt sted hvor man kan finde SNMP værdier for overvågning.

iReasoning MIB Browser, http://www.ireasoning.com en rigtig god SNMP MIB browser til check på enheder man ikke har overvåget før. I Neosec Securiy Server er der også en mulighed for at lave en SNMP Walk af alle MIB værdier på de enheder der overvåges.

Overvågning med PowerShell

PowerShell er Microsofts integrerede scripting værktøj som giver mulighed for automatisering af processer og administration af windows servere og windows klienter. Det giver adgang til en kommando shell hvor man kan udføre enkelt kommandoer eller scripts. PowerShell er en erstatning af VB Script.

PowerShell 2.0 indgik i ServicePacks til Windows XP, Vista og server 2003/2008. PowerShell version 3.0 er integreret i Windows Server 2012 samt 2012R2. PowerShell kan opgraderes på Windows 8.0 og 8.1. samt Windows 7 via en ServicePack. Det samme er gældende for Windows Server 2008 og 2008R2.

Microsoft udvikler løbende tools bestående af en række cmdlets, kommandoer til at konfigurere og administrere Windows funktioner med PowerShell.

I Neosec Security Server, giver vi mulighed for at kunne køre PowerShell cmdlets og scripts på de overvågede servere. Neosec Security Server benytter også PowerShell for Windows server monitorering. Neosec Security server understøtter ver. 3.0 og nyere.

Følgende monitore benytter PowerShell

windows DHCP Server 2012, 2012R2

Klargøring af Neosec Security Server og PowerShell

Før man kan benytte PowerShell via Neosec Security server, skal de rigtige versioner installeres.

På windows Server 2008 er version 2.0 installeret. Denne skal opgraderes til version 3.0 for at udnytte de nye features.

Følgende skal installeres før version 3.0 kan installeres.

WinRm 2.0 : Windows Management Framework Core for Windows server 2008
BITS 4.0 : Windows Management Framework BITS for Windows server 2008

Download Windows Management Framework 3.0

Server 2008 SP2

Windows6.0-KB2506146-x86.msu
Windows6.0-KB2506146-x64.msu

Windows 7 Service Pack 1

Windows6.0-KB2506143-x86.msu
Windows6.0-KB2506143-x64.msu

Windows 2008R2 SP1

Windows6.0-KB2506143-x64.msu

Windows 2012 og 2012R2

Her er version 3.0 allerede installeret

Powershell kommunikation

Lokalt

Kørsel af PowerShell scripts lokalt benyttes den konto man er logget ind med. Man kan også angive brugernavn og password for lokal kørsel af script via -Credential parameter.

Kørsel af PowerShell scripts lokalt er normalt tilladt og kan kører uden ekstra konfiguration.

Remote

Når man vil udføre et Powershell script på en remote maskine, kan man benytte parameteren -ComputerName. Her kan man angive den server man vil udføre scriptet på som NETBIOS navn eller FQDN. Den cmdlet eller script der skal udføres er placeret på den maskine hvor man kører Powershell scriptet fra. Det vil sige hvis man vil udføre opgaver på en server fra en Windows 8.x maskine, så skal cmdlets og script være installeret på Windows 8.x maskinen.

PowerShell benytter HTTP og SOAP for remote kommunikation. Portene tcp/5985 og tcp/5986 benyttes ved kommunikationen.

Hvis man ikke har cmdlets samt Scrips lokalt, så kan man udføre scriptet remote ved at oprette en Powershell session til den server man vil udføre scriptet på.

En af udfordringerne med remote management med Powershell er at WinRM kræver at man benytter server navnet på serveren når man forbinder sig med den. Man kan ikke benytte IP adresse eller DNS Alias. Hvis man vil benytte sig af IP adresse og DNS alias, så skal man tilføje den server man vil kommunikere med i TrustedHosts.

Følgende kommando skal køres i en PowerShell kommando prompt med Administrator rettigheder.

Set-Item WSMan:\localhost\Client\TrustedHosts -value *

For at slette informationen i TrustedHosts skal følgende kommando udføres.

Clear-Item WSMan:\localhost\Client\TrustedHosts

For at verificere at man har konfigureret TrustedHosts skal følgende kommando udføres.

Get-Item WSMan:\localhost\Client\TrustedHosts

Hvis man skal forbinde sig til en Windows Server 2008 eller 2008R2, så skal man først aktivere WinRM, dette er ikke automatisk startet. På Windows Server 2012 og 2012R2 er WINrm automatisk startet.

Via Windows PowerShell skrives følgende kommando

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -force

Via Windows PowerShell skrives herefter følgende kommando som aktivere alle de firewall regler der skal være for at kommunikere med serveren via WINrm. Udover dette konfigureres der også en HTTP service som acceptere WS-Man forbindelser, som er det vi benytterin ved remote kommunikation.

Configure-SMRemoting.ps1 -force -enable

PowerShell Query og login

Krypteret forbindelse, her udføres kommando og validering via Kerberous. Man skal kalde serveren med FQDN i det at certifikatet der kryptere forbindelse bliver valideret.

Ukrypteret forbindelse, her udføres kommando og validering ved Basic authentication uden kryptering. Her kan man benytte IP addresse eller FQDN for servernavnet.

Nyttige links

Wikipedia for PowerShell

Nyttige kommandoer
Get-Module -ListAvailable -all
Viser hvilke cmdlets og moduler der er installeret.
Import-Module -name <modulename>
installere moduler der endnu ikke er installeret.

Logkonsolidering

I Neosec Security server er der indbygget central logkonsolidering. Neosec security server fungerer som syslog server for netværks udstyr og unix baserede systemer. Neosec Security server håndtere også windows eventlogs, der opsamles agentløst via WMI eller via den agent baserede Windows Agent.

For at få det bedste ud af logkonsolidering, bør man følge disse punkter.

NTP

NTP, Network Time Protocol. For at få det bedste ud af central loggnin er at man har samme tid på alle enheder.

NTP sikrer at alle log events på tværs af systemer er synkroniseret. Dette gør at man bedre kan fejlfinde på tværs af enheder når de har samme tid.

Ved Neosec, bliver tiden sat centralt i Neosec serveren. Neosec benytter ikke tiden fra log filerne. Det vil sige at når der komme en event til Neosec bliver den stemplet med den tid der er når den ankommer. Dette sikrer på samme måde med NTP at tiden er synkron ved fejlfinding.

Data Retention

Hvor længe vil du beholde data. Data fylder meget hvis man beholder alle log data.

En god regel er at holde minimum 365 dages log, hvis der er krav til at man skal holde det længere kan man benytte sig af log arkivering. I Neosec er log arkivering automatisk sat til at arkivere logfilerne hver dag. De bliver ZIPet og sendt til den oprettede arkiv folder.

Data i databasen bliver håndteret af Data Retention perioden. Som standard er den sat til at gemme data i databasen i 365 dage. Herefter slettes data.

Der kører et job hver dag som sletter data.

Event Filtre

Med event filtre kan man definere hvad man gerne vil gemme i databasen. Som standard gemmes alle data i rå logfiler som efterfølgende bliver arkiveret. Men det er kun udvalgte events der bliver gemt i databasen.

Backup

Sørg for at der er defineret en backup strategi for din log løsning. Som standard bør man lave inkremmental backup hver dag. Som standard bør man have en offsite kopi af backuppen.

Sikkerhedspolitik

Da man nu ligger inde med en masse data centralt, bør man lave en sikkerheds politik der gør at det kun er udvalgte der kan tilgå overvågning data og logs. I Neosec Security Server skal man have et brugernavn og password for at benytte systemet. Der er audit på de personer der har adgang til systemet via klienterne. Sørg for at selve serveren hvor Neosec Security server er installeret, er beskyttet mod uvedkommende.

Netværksovervågning

Hvad skal man overvåge på et netværk, hvordan skal man overvåge et netværk dette er tit spørgsmål som systemadministratorer stiller sig.

Med Neosec Security Server har vi stillet et værktøj til rådighed som kan hjælpe med at træffe de rigtige valg.

Man skal overvåge det der er nødvendigt for at få et overblik over den generelle status på netværket. For at komme langsomme forbindelser i forkøbet, bør man overvåge båndbredde forbruget på de centrale Internet forbindelser og knudepunkter. Dette gør at man løbende kan se om forbruget er stigende eller normalt. Man kan også hurtigt finde ud af om at langsom kommunikation mellem lokaliteter er pga. at båndbredde forbruget er for højt.

Alle Switch Trunks og Router porte bør overvåges. Det er disse port typer der binder hele netværksinfrastrukturen sammen.

Man bør overvåge følgende parametre på knudepunkter.

Båndbredde
Errors
Discards
Interface Status

Ved overvågning af netværksinterfaces i Neosec Security Server, bliver ovenstående informationer automatisk opsamlet og gemt.

Udover overvågning af forbindelser, er det en god ide at overvåge strømforsyninger og blæsere. Især hvis det er på enheder med redundante strømforsyninger. Her kan man proaktivt sørge for at få udskiftet den defekte strømforsyning inden hele switchen eller routeren stopper med at fungere.

Netværks porte på routere der er i brug, bør aldrig være nede, derfor er det vigtigt at overvåge dem.

Det samme er gældende for Switch porte der binder andre switche sammen disse bør ikke være nede, de skal altid være oppe.

Hvis der måles mange discards, kan det være at porten er belastet. InDiscards kan tit betyde at der er VLANs som switch porten ikke kender til, men den modtager pakker for det enkelte VLAN.

Errors på Netværks porte skyldes tit forkert Hastighed og Duplex konfiguration. I nogle tilfælde kan det også give udfald ved dårlige kabler samt brud på fiberkabel.

Ved netværksovervågning benyttes en række protokoller til at teste og indsamle statistik data. I Neosec Security server benyttes ICMP, TCP, og SNMP til opsamling og test af netværksudstyr. ICMP benyttes ved ping, denne protokol benyttes til at se om en enhed er i live. TCP benyttes til at forbinde sig til en netværks service. Hvis man får en svar fra netværksservicen tilbyder enheden denne type service. Dette kunne være en service ala FTP, Web server, Telnet m.m. SNMP står for Simple Network Management Protocol, denne protokol benyttes til at indsamle statistikker fra netværks enheder. Vi benytter den i stor grad til opsamling af statistik for netværks interfaces, System ressourcer m.m. både på netværks enheder og servere.

Information

Overvågnings protokoller der benyttes i Neosec Security Server

Windows Services Monitor

Windows Services er processer der bliver installeret i forbindelse med server software eller mindre applikationer. For at kunne dokumentere installation m.m. af disse services kan man benytte Windows Services Monitor.

Funktioner

Monitorere Windows Service Installation og Afinstallation Status.
Notifikation ved Installation eller Afinstallation.
Rapportering af Installation Status.

Der kan kun konfigureres en Windows Services Monitor pr. Server/Workstation.

Windows Service Install State

Installed
Uninstalled
Installed/Uninstalled

Konfiguration af Windows Services Monitor

Denne monitor er en Global Monitor, det vil sige den monitorere alle services der Installeres eller Afinstalleres på enheden. Der er ikke nogen rigtig konfiguration andet end Notifikationer samt ekskludering af navngivne Windows Services som man ikke vil have notifikationer på.

Der kan sættes notifikationer op sådan at man får besked når en Windows Service Installeres og Afinstalleres.

Rapportering

Device Type : Windows
Agent Type : WMI
Neosec Agent : Ja

Data der gemmes

Windows Services Install State
Windows Services Monitor Response time
Windows Services Monitor Availability

Windows Service Monitor

Windows Services er kritiske processer der kører på en Server eller Workstation. Det er derfor vigtigt at overvåge de vigtigste Windows Services. De mest kendte Windows Services er dem der sørger for at funktioner som Active Directory, E-mail, DNS, DHCP. Hvis vigtige Windows Services fejler kan det give problemer i hele IT infrastrukturen.

Windows Service Monitor tjekker den enkelte Windows Service Status for at se om den kører eller er stoppet. Hvis den er Stoppet sendes en event hvor der kan tilknyttes Alarm og notifikation til.

Funktioner

Monitorere Windows Service Status er (Service State).
Notifikation ved at Windows Service Stopper samt ved Genstart.
Rapportering af nedetid for den enkelte service.
Oppetid rapportering.

Man kan lave lige så mange Windows Service monitore som der er Windows Services på den enkelte Server eller Workstation.

Service State

Stopped/Not Installed/Start Pending/Stop Pending/Continue Pending/Pause Pending/Paused (Standard Threshold)
Running
Stopped
Start Pending
Stop Pending
Continue Pending
Pause Pending
Paused

Konfiguration af Windows Service Monitor

Der kan sættes notifikationer op sådan at man får besked når en Service fejler og starter igen.

Rapportering

Windows Service Monitors Downtime

Device Type : Windows
Agent Type : WMI
Neosec Agent : Ja
Neosec Agentless : Ja

Data der gemmes

Windows Service State
Windows Service Monitor Response time
Windows Service Monitor Availability

Overblik

Neosec Security Server består af flere moduler:

Administration

Administrations interfacet til Neosec Security Server består af en administrations klient, samt en rapport klient. Administrations klienten benyttes til at konfigurere Neosec Security Server, samt de overvågede enheder. Via administrations klienten, kan man analysere de indsamlede data samt for et samlet status overblik over de overvågede enheder.

Storage

Neosec Security Server benytter Microsoft SQL Server for lagring af konfigurations informationer samt de opsamlede performance data og events. Neosec Security Server benytter lokal disk, til lagring af rå logdata, samt arkivering af logs.

Alerting

For afsendelse af alarmer udenfor systemet, benytter Neosec Security Server E-mail, SMS samt Instant Messaging, Microsoft Teams, #Slack. Alarmeringen fungerer ved at der oprettes notifications profiler som tilføjes de enkelte monitorer. For SMS afsendelse kan man benytte lokal SMS modem via Neosec SMS Server, eller via SMS Now integration.

Microsoft Windows-monitorering

Windows understøtter flere forskellige protokoller for monitorering. Som standard benytter Neosec Security Server WMI. WMI giver de mest nøjagtige målinger. Ved WMI kan man få fat i alle Windows Performance Counters der er tilgængelig på den overvågede enhed.

WMI benyttes til at overvåge servere uden at der skal installeres en agent. WMI benyttes også til opsamling af Windows Eventlogs, disse gemmes centralt på Neosec Security Serveren.

Neosec Security Server har også en Agent som kan benyttes til overvågning af servere decentralt. Agenten er opbygget som en autonom agent der automatisk forbinder sig til Security Serveren og overfører de opsamlede data. Agenten er opbygget med 2 vejs kommunikation, sådan at man kan udføre handlinger på den overvågede server. Agenten benyttes i miljøer hvor Security serverne ikke kan kommunikere direkte med Windows serveren, f.eks ved at den sider bag en firewall.

Standard Monitorering :

Availability
CPU
Memory
Pagefile
Harddisk plads
Services der er sat som Auto start, men er stoppet

Optioner :

Service Monitorering
Services Installation/Afinstallation
Process Monitorering
Process Count
Alle Performance Countere der er tilgængelige på den enkelte server/workstation
Windows Eventlog
DHCP Server Scopes

Der kan også benyttes SNMP for monitorering men det er ikke alt der kan monitoreres på denne måde samt at det ikke er lige så nøjagtigt som ved WMI.

Der er dog nogle funktioner der ikke kan monitoreres med WMI.

DHCP Server status kan ikke måles via WMI, her skal man benytte SNMP.