Работа с фильтрами и директивами от источников SQL-коллектора на примере Dr.Web

Эта страница была отправлена в архив, поскольку больше не является актуальной и была написана для KOMRAD Enterprise SIEM версии 4.1.33.

Настройка источника сбора

Настройка Dr.Web 13 Esuite Server (далее - «Сервер»)

Создать БД MySQL. Добавить пользователя и настроить доступ по логину/паролю
Установить Сервер на Windows Server 2012 R2

Настройка агента Dr.Web (далее - «Агент»)

Установить Агент на Windows 10, в процессе установки ввести IP-адрес сервера
Далее на Сервере подтвердить установку Агента. Антивирусная сеть → Status → Newbies → Подтвердить

Обнаружение вредоносного файла

Настройка KOMRAD Enterprise SIEM

В графическом интерфейсе KOMRAD перейти во вкладку Администрирование → Настройка коллекторов → Коллекторы → SQL
Кликнуть на «Название» нужного SQL-коллектора
Создать источник, нажав на кнопку «+»
Выберите «Тип БД»
Выбрать шаблон Dr.Web – «Сбор оповещений антивирусной сети»
В блоке «Строка подключения» указать логин:пароль к БД MySQL и название БД MySQL
Нажать кнопку «Проверить». В случае вывода ошибки – исправить
Нажать кнопку «Сохранить».

Пример получаемого события

{"Admin":"Yzk2ODdmNzMtZDIxZC1iMjExLWE3OTctODU0MTljNDZmMGU2","AlertName":"SW5mZWN0aW9uIGRldGVjdGVk","Body":"Станция: DESKTOP-0TFD84M@WIN-AE53J0ICCI8 (IP-адрес: ssl://10.0.4.84:49785, MAC-адрес: 00:0c:29:b0:67:74, SID: S-1-5-21-3128303462-220326732-3719005607, описание: отсутствует)\r\nВремя: 2022-03-29 09:55:22.376\r\nИсточник: Dr.Web Agent Scanner for Windows (NT AUTHORITY\\СИСТЕМА)\r\nОбъект: C:\\Users\\admin\\Downloads\\比特币病毒-WannaCry.No Run! (неизвестно)\r\nТип: инфицирован\r\nУгроза: Trojan.Encoder.11432\r\nДействие: удален\r\n","CTime":20220329095431814,"EventID":20220329095431814,"ID":"M2IzZTQxNzAtYWY0Ni0xMWVjLTU0MDEtYTg1NmY4ZTBlNmY1","IDAlert":7,"IRead":0,"ReadUntil":20220330095431814,"SQLSource":"drweb-alerts","Station":"YjBlY2VlYjktZDExZC1iMjExLTgwMjktODQxNGViMmNhOTAz","Subject":"Внимание! Обнаружена угроза безопасности на станции DESKTOP-0TFD84M@WIN-AE53J0ICCI8"}

Добавление поля «Subject» в Пользовательские поля

Перейти во вкладку Администрирование → Настройка коллекторов → Поля событий → Пользовательские поля → Добавить поле
Тип данных поля: string

Добавление нового Пользовательского поля

Перезапуск komrad-server или ожидание 5 минут

sudo systemctl restart komrad-server

Повторная генерация событие

Получить следующий результат:

Результат добавления поля «Subject» в пользовательские поля

Создание фильтра для поиска события об обнаружении вредоносного файла

Фильтр для поиска события об обнаружении вредоносного файла

Создание директивы для выявления инцидента по фильтру «Обнаружен вредоносный файл в результате антивирусного сканирования»

Директива для выявления инцидента по фильтру «Обнаружен вредоносный файл»

Вход в графический интерфейс Сервера

Настройка SQL-шаблона в KOMRAD Enterprise SIEM

В графическом интерфейсе KOMRAD перейти во вкладку Администрирование → Настройка коллекторов → Коллекторы → SQL
Кликнуть на «Название» нужного SQL-коллектора
Создать источник, нажав на кнопку «+»
Выберите «Тип БД» Microsoft SQL
Выбрать шаблон Dr.Web – «Сбор журнала аудита административных действий admin_activity»
В блоке «Строка подключения» указать логин:пароль к БД MySQL и название БД MySQL
В блоке «Регулярный запрос» изменить значение «WHERE createtime» на «> ?»
Нажать кнопку «Проверить». В случае вывода ошибки – исправить
Нажать кнопку «Сохранить».

Пример получаемого события

{"Address":"https://[::1]:50135","CTime":20220329123631726,"EventID":20220329123631726,"Login":"YWRtaW4=","ObjectID":"","Operation":10100,"Record":"ZGNjMzZlMTAtYWY1Yy0xMWVjLTU1NDEtYTg1NmY4ZTBlNmY1","Status":1,"Subsys":1}

*Вход в графический интерфейс Сервера *

Нормализация события с Dr.Web из коробки

Добавление поля «Operation» в Пользовательские поля

Перейти во вкладку Администрирование → Настройка коллекторов → Поля событий → Пользовательские поля
Тип данных поля: unit32

Добавление поля «Status» в Пользовательские поля

Перезапуск komrad-server или ожидание 5 минут

sudo systemctl restart komrad-server

Повторная генерация событие

Получить следующий результат:

Результат добавления полей «Operation» и «Status»

Создание фильтра для поиска события о входе в графический интерфейс Сервера

Фильтр для поиска события о входе в графический интерфейс Сервера

Создание директивы для выявления инцидента по фильтру «Вход в графический интерфейс Сервера»

Директива для выявления инцидента по фильтру «Вход в графический интерфейс Сервера»

Выход из графического интерфейса Сервера

Настройка SQL-шаблона в KOMRAD Enterprise SIEM

В графическом интерфейсе KOMRAD перейти во вкладку Администрирование → Настройка коллекторов → Коллекторы → SQL
Кликнуть на «Название» нужного SQL-коллектора
Создать источник, нажав на кнопку «+»
Выберите «Тип БД» «MySQL»
Выбрать шаблон Dr.Web – «Сбор журнала аудита административных действий admin_activity»
В блоке «Строка подключения» указать логин:пароль к БД MySQL и название БД MySQL
В блоке «Регулярный запрос» изменить значение «WHERE createtime» на «> ?»
Нажать кнопку «Проверить». В случае вывода ошибки – исправить
Нажать кнопку «Сохранить».

Пример получаемого события

{"Address":"https://[::1]:49461","CTime":20220330132016559,"EventID":20220330132016559,"Login":"YWRtaW4=","ObjectID":"","Operation":10101,"Record":"MjNiMzVlNTAtYjAyYy0xMWVjLTZjNzgtNjAzMjMxOTZhYjJl","Status":1,"Subsys":1}

Выйти из графического интерфейса сервера

Добавление полей «Operation» и «Status»

Перейти к
[Добавить поле «Operation» в Пользовательские поля]
[Добавить поле «Status» в Пользовательские поля]

Если данные Пользовательские поля уже добавлены, то данный пункт можно пропустить.

Создание фильтра для поиска события о выходе из графического интерфейса Сервера

Фильтр для поиска события о выходе с графического интерфейса Сервера

Создание директивы для выявления инцидента по фильтру «Выход из графического интерфейса Сервера»

Директива для выявления инцидента по фильтру «Выход из графического интерфейса Сервера»

Неверный ввод пароля при входе в графический интерфейс Сервера

Настройка SQL-шаблона в KOMRAD Enterprise SIEM

В графическом интерфейсе KOMRAD перейти во вкладку Администрирование → Настройка коллекторов → Коллекторы → SQL
Кликнуть на «Название» нужного SQL-коллектора
Создать источник, нажав на кнопку «+»
Выберите «Тип БД»
Выбрать шаблон Dr.Web – «Сбор журнала аудита административных действий admin_activity»
В блоке «Строка подключения» указать логин:пароль к БД MySQL и название БД MySQL
В блоке «Регулярный запрос» изменить значение «WHERE createtime» на «> ?»
Нажать кнопку «Проверить». В случае вывода ошибки – исправить
Нажать кнопку «Сохранить».

Пример получаемого события

{"Address":"https://[::1]:49473","CTime":20220330134829052,"EventID":20220330134829052,"Login":"YWRtaW4=","ObjectID":"","Operation":10100,"Record":"MTQ4MTc1MzAtYjAzMC0xMWVjLTZjOWYtNjAzMjMxOTZhYjJl","Status":2,"Subsys":1}

Ввести неверный пароль при входе в графический интерфейс Сервера

Результат добавления полей «Operation» и «Status» при неверном пароле

Добавление полей «Operation» и «Status»

Перейти к
[Добавить поле «Operation» в Пользовательские поля]
[Добавить поле «Status» в Пользовательские поля]

Если данные Пользовательские поля уже добавлены, то данный пункт можно пропустить.

Создание фильтра для поиска события о неверно введенном пароле при входе в графический интерфейс Сервера

Фильтр для поиска события о неправильном вводе пароля при входе в графический интерфейс Сервера

Создание директивы для выявления инцидента по фильтру «Неправильный ввод пароля при входе в графический интерфейс Сервера»

Директива для выявления инцидента по фильтру «Неправильный ввод пароля при входе в графический интерфейс Сервера»