MongoDB extension

Dans IBM Cloud Logs, vous pouvez utiliser l'extension MongoDB pour obtenir des informations sur la sécurité en utilisant les journaux générés dans un compte IBM Cloud.

MongoDB est un programme de base de données orienté documents, disponible à la source et multiplateforme. Classé comme produit de base de données NoSQL, MongoDB utilise des documents de type JSON avec des schémas optionnels.

Ce que cette extension déploie

Cette extension comprend un ou plusieurs éléments.

Éléments inclus dans le déploiement de l'extension
Inclut Nombre
Alertes 8
tableaux de bord 5
Enrichissements 0
Événements à mesurer 5
Rules 1
Vues 0

Avant de déployer cette extension, assurez-vous que le déploiement de l'extension ne vous fera pas dépasser les limites de votre instance IBM Cloud Logs. Si le déploiement de l'extension entraîne un dépassement des limites, le déploiement échouera.

Déploiement de l'extension

Vous pouvez déployer cette extension dans n'importe quelle instance de IBM Cloud Logs qui collecte les journaux de MongoDB. L'extension MongoDB comprend des alertes de sécurité et des tableaux de bord personnalisés qui donnent un aperçu des différents composants de MongoDB.

Pour plus d'informations sur le déploiement de l'extension, voir Déploiement, gestion et suppression des extensions IBM Cloud Logs.

Après le déploiement, vérifiez que la configuration de l'extension traite les données d'une manière qui correspond à la configuration du TCO de votre instance IBM Cloud Logs. Les alertes, les tableaux de bord et les événements relatifs aux mesures sont des fonctions disponibles pour les données traitées par les pipelines de données Analyser et alerter et Informations de priorité. Après avoir déployé l'extension, assurez-vous que la configuration répond à vos besoins. Par exemple, si vous avez des politiques TCO envoyant des données au pipeline Analyser et alerter, vous devrez modifier le tableau de bord configuré par cette extension pour utiliser les données Analyze and Alert au lieu de Informations de priorité.

Tableau de bord

Cinq tableaux de bord fournissent des données sur les journaux MongoDB.

MongoDB- Présentation des métadonnées du client

Ce tableau de bord donne un aperçu des métadonnées du client MongoDB. Le tableau de bord comprend

  • Connexions aux métadonnées du client dans le temps et par contexte
  • Nombre total de connexions uniques aux métadonnées du client
  • Dernière activité
  • Principales adresses IP sources
  • Répartition par pays d'origine
  • Principaux noms d'applications
  • Noms et versions des pilotes
  • Distribution de la plate-forme
  • Distribution de l'architecture du système d'exploitation

MongoDB- Vue d'ensemble de l'accès

Ce tableau de bord fournit une vue d'ensemble du composant d'accès, de l'authentification et de l'activité d'autorisation sur MongoDB. Le tableau de bord comprend

  • Activité d'accès au fil du temps par message
  • Authentification réussie
  • Échec de l'authentification
  • Échec de l'autorisation
  • Authentification Distribution de la base de données
  • Distribution du mécanisme d'authentification
  • Distribution spéculative de l'état d'authentification
  • Derniers événements d'authentification réussis
  • Derniers événements d'échec d'authentification

MongoDB- Vue d'ensemble

Ce tableau de bord fournit une vue d'ensemble de l'activité de MongoDB pour tous les composants. Ce tableau de bord comprend

  • Événements par composants
  • Dernière activité
  • Top-10 messages
  • Principales adresses IP sources
  • Répartition des pays d'origine
  • Répartition des événements par composante

MongoDB- Aperçu du réseau

Ce tableau de bord fournit une vue d'ensemble de l'activité des composants du réseau. Le tableau de bord comprend

  • Les événements du réseau au fil du temps
  • Nombre de connexions au fil du temps
  • Nombre de connexions
  • Répartition par pays d'origine
  • Dernière activité
  • Principales adresses IP sources
  • Top-10 messages

MongoDB- Vue d'ensemble des autres composants

Ce tableau de bord donne un aperçu des composants SHARDING, STORAGE, et CONTROL MongoDB. Le tableau de bord comprend

  • Évènements dans le temps par composant
  • SHARDING événements par contexte
  • Derniers messages SHARDING
  • Top SHARDING messages
  • STORAGE événements par contexte
  • Derniers messages STORAGE
  • Top STORAGE messages
  • CONTROL événements par contexte
  • Derniers messages CONTROL
  • Top CONTROL messages

Alertes

Vous pouvez déployer l'une des alertes suivantes :

  • MongoDB - Possible Brute Force Detected: Cette alerte se déclenche à la réception d'un journal MongoDB ACCESS indiquant une série de tentatives d'authentification échouées provenant de différents utilisateurs dans un court laps de temps.

  • MongoDB - Authentication Succeeded for Same User from different IPs: Cette alerte se déclenche à la réception d'un journal MongoDB ACCESS indiquant qu'une authentification réussie a été effectuée pour le même utilisateur à partir de différentes adresses IP dans un court laps de temps (scénario du voyageur impossible).

  • MongoDB - Authentication Succeeded from Public IP: Cette alerte se déclenche lors de la réception d'un journal MongoDB ACCESS indiquant une authentification réussie à partir d'une IP publique.

  • MongoDB - Authentication Failed: Cette alerte se déclenche à la réception d'un journal MongoDB ACCESS indiquant l'échec d'une tentative d'authentification.

  • MongoDB - Checking Authorization Failed: Cette alerte se déclenche lorsqu'un journal MongoDB ACCESS indiquant qu'un contrôle d'autorisation a échoué est détecté.

  • MongoDB - Fatal Event Detected: Cette alerte se déclenche lorsqu'un journal MongoDB avec un Severity level de Fatal est détecté. Voir la documentation MongoDB pour plus d'informations sur les niveaux de sévérité du journal MongoDB.

  • MongoDB - Error Event Detected: Cette alerte se déclenche lorsqu'un journal MongoDB avec un Severity level de Error est détecté. Voir la documentation MongoDB pour plus d'informations sur les niveaux de sévérité du journal MongoDB.

  • MongoDB - Warning Event Detected: Cette alerte se déclenche lorsqu'un journal MongoDB avec un Severity level de Warning est détecté. Voir la documentation MongoDB pour plus d'informations sur les niveaux de sévérité du journal MongoDB.

Rules

Une règle permet d'extraire les informations relatives à l'IP et au port du message du journal.

Événements à mesurer

Vous pouvez déployer l'un des événements suivants dans les configurations de métriques. Pour plus de détails sur les mesures créées, voir les définitions des événements et des mesures.

Ces événements vers les configurations de métriques sont utilisés par les tableaux de bord de l'extension. Si un tableau de bord manque de données, assurez-vous que la configuration des événements et des mesures est déployée et fonctionne correctement dans votre environnement.

  • MongoDB_Access_Metrics
  • MongoDB_General_Metrics
  • MongoDB_Client_Metadata_Metrics
  • MongoDB_Network_Metrics
  • MongoDB_Other_Component_Metrics