Работа с фильтрами и директивами от источников Syslog-коллектора на примере Dallas Lock 8.0 К
Эта страница была отправлена в архив, поскольку больше не является актуальной и была написана для KOMRAD Enterprise SIEM версии 4.1.33. |
Описание инфраструктуры
Первая машина - Сервер Безопасности Dallas Lock 8.0. K (далее - СБ).
Вторая машина - Клиент Dallas Lock 8.0. К (далее - Клиент).
Настройка KOMRAD Enterprise SIEM
В веб-интерфейсе перейти в Администрирование → Настройка коллекторов → Коллекторы → Syslog → Изменение настроек Syslog (значок карандаша) → Указать TCP-порт → Перезагрузить Syslog-коллектор (правый верхний угол, закругленная стрелочка).
Настройка выгрузки событий в KOMRAD Enterprise SIEM при помощи Сервера Безопасности
Существует несколько способов выгрузки событий из журналов Dallas Lock 8.0 в систему KOMRAD.
Способ 1
-
Для выгрузки журналов существует специальная политика «Выгрузка журналов». Чтобы ее настроить, необходимо запустить консоль СБ, перейти на вкладку «Параметры безопасности домена» → «Аудит», политика «Выгрузка журналов».

-
В окне настройки политики указать параметры KOMRAD, а также перечень журналов, которые необходимо выгружать, и периодичность выгрузки.

-
Далее нужно произвести синхронизацию Сервера безопасности и клиентов. После выполнения вышеуказанных настроек клиенты будут отправлять свои журналы в KOMRAD.
Способ 2
Хранение журналов СБ в базе данных MS SQL. В данном случае все журналы, которые СБ собирает с клиентов, будут выгружаться в базу SQL, т.е. потребуется установка MS SQL и создание БД для хранения журналов. Далее из этой базы KOMRAD может собирать данные.
Чтобы настроить хранение журналов в базе SQL, необходимо в «Параметры хранения журналов» указать данные SQL-сервера на СБ.


Далее KOMRAD можно настроить так, чтобы можно было забирать информацию из БД.
Работа с фильтрами и директивами
LEEF-формат
Неверно введенный пароль на Клиенте
Пример получаемого события
<11>Apr 20 12:25:02 DLCLIENT LEEF:2.0|Confident|Dallas Lock|8,0,710,0|Журнал входов::0 (Открытые данные)|sev=3 devTimeFormat=MMM dd yyyy HH:mm:ss devTime=Apr 20 2022 12:25:02 Пользователь_ОС=admin Источник=Вход в ОС EventNameField=Доступ Мандатная_метка=Без метки Результат=Указан неверный пароль. Неверный_пароль=2
Отслеживание сканирования портов
Настройка Сервера Безопасности
-
Включить Журнал событий ОС, Журнал трафика СОВ и Журнал контроля приложений СОВ
-
Настроить их отправку в «Выгрузка журналов»
-
Выполнить синхронизацию Сервера безопасности и клиентов
Пример события
<11>Apr 25 17:06:40 DLCLIENT LEEF:2.0|Confident|Dallas Lock|8,0,710,0|Журнал трафика МЭ::(детектор атак)|sev=3 devTimeFormat=MMM dd yyyy HH:mm:ss devTime=Apr 25 2022 17:06:40 Тип_атаки=Сканирование портов Адрес_источника=10.0.4.123 Порт_источника=37049 Внешнее_имя= Адрес_назначения=10.0.4.154 Порт_назначения=SSH (22 ) Протокол=TCP Пользователь= Процесс= PID= Комментарий=Детектор фиксированных атак Сообщение=Сканирование портов (554 TCP, 22 TCP, 113 TCP, 1720 TCP, 256 TCP, 23 TCP, 993 TCP, 110 TCP, 111 TCP, 443 TCP, 25 TCP, 5900 TCP, 3389 TCP, 80 TCP, 21 TCP, 587 TCP, 3306 TCP) ID_сигнатуры=(детектор атак) Результат=Доступ запрещен! EventNameField=Событие
Отслеживание срабатывания правила МЭ
Настройка Сервера Безопасности
-
Создать правило МЭ на блокирование исходящего соединения к www.google.com, www.google.ru
-
Включить журнал соединений МЭ в СБ Dallas Lock
-
Включить выгрузку журнала соединений МЭ в СБ Dallas Lock
-
Выполнить синхронизацию Сервера безопасности и клиентов
Пример события
<14>Apr 27 11:36:38 DLCLIENT LEEF:2.0|Confident|Dallas Lock|8,0,710,0|Журнал соединений МЭ::Закрытие исходящего соединения|sev=6 devTimeFormat=MMM dd yyyy HH:mm:ss devTime=Apr 27 2022 11:36:38 Локальный_адрес=10.0.4.154 Локальный_порт=51054 Внешний_адрес=64.233.162.106 Внешнее_имя=www.google.com Внешний_порт=HTTPS (443 ) IP_версия=IPv4 Протокол=TCP Пользователь=admin Доступ=0 (Открытые данные) Процесс=C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe PID=3408 EventNameField=Событие Отправлено=0 байт Получено=0 байт Правило=google Результат=Запрет
Отслеживание изменения правила МЭ
Настройка Сервера Безопасности
-
Включить журнал управления политиками безопасности в СБ Dallas Lock
-
Включить выгрузку журнала управления политиками безопасности в СБ Dallas Lock
-
Выполнить синхронизацию Сервера безопасности и клиентов
Пример события
<14>Apr 27 12:55:30 DLCLIENT LEEF:2.0|Confident|Dallas Lock|8,0,710,0|Журнал упр. политиками::Редактирование общего правила МЭ id = 7|sev=6 devTimeFormat=MMM dd yyyy HH:mm:ss devTime=Apr 27 2022 12:55:30 Пользователь_ОС=LOCAL_SYSTEM Компьютер= EventNameField=Параметр Комментарий="google": Направление действия: "Любое" -> "Исходящие соединения" Результат=OK