Auteur: Ilyaaz Noerkhan
20-03-2024, Alkmaar
In dit artikel neemt Ilyaaz Noerkhan je mee in de oplossing om 1Password te koppelen aan InsightConnect met de kracht van InsightIDR van Rapid7.
Op het moment dat dit artikel is opgesteld wordt 1Password nog niet ondersteund in InsightIDR als logbron. Zodoende kan er geen directe koppeling worden gemaakt om de 1Password activiteiten centraal op te slaan in InsightIDR. Daarnaast zullen authenticatiegedragingen binnen 1Password ook niet worden meegenomen in het alarmeringsmodel van InsightIDR.
Waarom is dit normaal een issue?
Dit is een probleem omdat je dan inzichten en alerts kan missen in InsightIDR over het informatiesysteem.
Hoe lossen we dit op?
We kunnen dit oplossen met de Universal Event Format functionaliteit van InsightIDR.
Wat is het resultaat?
Het resultaat is dat je hiermee een logbron wat niet wordt ondersteund door Rapid7 InsightIDR, ondersteund hebt gemaakt middels UEF en InsightConnect. Met als gevolg dat je geen zelfgemaakte alert regels hoeft te maken.
Toegevoegde waarde
Hieronder vallen o.a. aanmeldpoging events.
Door deze informatie naar InsightIDR te brengen kunnen we deze aanmeldpogingen centraal opslaan. Hierdoor is er in het geval van een incident m.b.t een gebruikersaccount een centrale plek waar de log data kan worden opgezocht. Daarnaast zijn er ook mogelijkheden om op basis van deze datastromen dashboards te configureren in InsightIDR voor rapportagedoeleindes. Hiermee wordt het mogelijk om bijvoorbeeld trends inzichtelijk te maken.
Naast het centraliseren van de authenticatie logs kunnen we ook de aanmeldpogingen combineren met de authenticaties van andere logbronnen. Denk hierbij bijvoorbeeld aan de authenticaties van een andere cloud provider zoals Azure of een VPN- oplossing. Dit is te realiseren met de Universal Event Formats (UEF) functionaliteit waarmee een log in een vastgesteld formaat uitgestuurd dwordt, zodat InsightIDR de aanmeldpoging kan interpreteren en mee kan nemen in het user behavior analytics model (UBA – User Behavior Analytics (UBA) Solution – Rapid7). Door de 1Password inlogpogingen te versturen in het UEF-formaat helpen we InsightIDR de log te kunnen begrijpen.
Hierdoor wordt deze ook daadwerkelijk herkend als een authenticatiepoging op een applicatie. Door 1Password op deze manier aan te sluiten zijn de logs ook in staat om op ingebouwde UBA-alarmen toegepast te worden. In dit geval zullen het alarmen zijn die kijken naar het authenticatiegedrag van een gebruiker over meerdere authenticatie logbronnen heen. We moeten hiervoor wel zelf de 1Password aanmeldpogingen van de API ophalen, transformeren naar UEF en doorsturen naar InsightIDR. Voor deze blog blijven we binnen het portfolio van Rapid7 en zullen we het automatiseringsplatform InsightConnect gebruiken. Vanzelfsprekend is dit ook te realiseren op een andere manier.
Diagram automatiseringsplatform
Het automatiseringsplatform InsightConnect & InsightIDR van Rapid7.
Transformatie
Binnen InsightConnect kunnen we op basis van de beschikbare plugins een workflow automatisering bouwen, welke de data ophaalt van de 1Password API, vervolgens transformeert naar UEF en verstuurt naar InsightIDR.
Binnen InsightConnect wordt de data omgebouwd naar UEF. Binnen dit formaat moet alles volgens een vastgestelde structuur worden ingevuld. Het custom_data veld is een veld dat niet van belang is voor het UEF. Hier zouden we dus de rest van de 1Password API datavelden kunnen plaatsen.
Het resultaat
Als dit eenmaal draait en binnen komt zullen we zien dat er UBA alerts kunnen worden aangemaakt op basis van de log activiteit vanuit 1Password.
Dit artikel is geschreven als opvolging van: Haal meer uit InsightIDR met het Universal Event Format
