Работа с фильтрами и директивами от источников Syslog-коллектора на примере Dallas Lock 8.0 К

Эта страница была отправлена в архив, поскольку больше не является актуальной и была написана для KOMRAD Enterprise SIEM версии 4.1.33.

Описание инфраструктуры

Первая машина - Сервер Безопасности Dallas Lock 8.0. K (далее - СБ).
Вторая машина - Клиент Dallas Lock 8.0. К (далее - Клиент).

Настройка KOMRAD Enterprise SIEM

В веб-интерфейсе перейти в Администрирование → Настройка коллекторов → Коллекторы → Syslog → Изменение настроек Syslog (значок карандаша) → Указать TCP-порт → Перезагрузить Syslog-коллектор (правый верхний угол, закругленная стрелочка).

Настройка выгрузки событий в KOMRAD Enterprise SIEM при помощи Сервера Безопасности

Существует несколько способов выгрузки событий из журналов Dallas Lock 8.0 в систему KOMRAD.

Способ 1

Для выгрузки журналов существует специальная политика «Выгрузка журналов». Чтобы ее настроить, необходимо запустить консоль СБ, перейти на вкладку «Параметры безопасности домена» → «Аудит», политика «Выгрузка журналов».

В окне настройки политики указать параметры KOMRAD, а также перечень журналов, которые необходимо выгружать, и периодичность выгрузки.

Далее нужно произвести синхронизацию Сервера безопасности и клиентов. После выполнения вышеуказанных настроек клиенты будут отправлять свои журналы в KOMRAD.

Способ 2

Хранение журналов СБ в базе данных MS SQL. В данном случае все журналы, которые СБ собирает с клиентов, будут выгружаться в базу SQL, т.е. потребуется установка MS SQL и создание БД для хранения журналов. Далее из этой базы KOMRAD может собирать данные.

Чтобы настроить хранение журналов в базе SQL, необходимо в «Параметры хранения журналов» указать данные SQL-сервера на СБ.

Далее KOMRAD можно настроить так, чтобы можно было забирать информацию из БД.

Работа с фильтрами и директивами

Syslog-формат

Неверно введенный пароль на Клиенте

Пример получаемого события

<11>Apr 20 12:21:35 DLCLIENT ������ ������: Пользователь ОС: admin; Источник: Вход в ОС; Доступ: 0 (Открытые данные); Мандатная метка: Без метки; Результат: Указан неверный пароль.; Неверный пароль: 2;

Ввод неверного пароля на Клиенте

LEEF-формат

Неверно введенный пароль на Клиенте

Пример получаемого события

<11>Apr 20 12:25:02 DLCLIENT LEEF:2.0|Confident|Dallas Lock|8,0,710,0|Журнал входов::0 (Открытые данные)|sev=3 devTimeFormat=MMM dd yyyy HH:mm:ss devTime=Apr 20 2022 12:25:02 Пользователь_ОС=admin Источник=Вход в ОС EventNameField=Доступ Мандатная_метка=Без метки Результат=Указан неверный пароль. Неверный_пароль=2

Ввод неверного пароля на Клиенте

Создание фильтра для поиска события о неверном вводе пароля

Создание директивы для выявления инцидента по фильтру «Неправильный ввод пароля»

Отслеживание сканирования портов

Настройка Сервера Безопасности

Включить Журнал событий ОС, Журнал трафика СОВ и Журнал контроля приложений СОВ
Настроить их отправку в «Выгрузка журналов»
Выполнить синхронизацию Сервера безопасности и клиентов

Пример события

<11>Apr 25 17:06:40 DLCLIENT LEEF:2.0|Confident|Dallas Lock|8,0,710,0|Журнал трафика МЭ::(детектор атак)|sev=3 devTimeFormat=MMM dd yyyy HH:mm:ss devTime=Apr 25 2022 17:06:40 Тип_атаки=Сканирование портов Адрес_источника=10.0.4.123 Порт_источника=37049 Внешнее_имя= Адрес_назначения=10.0.4.154 Порт_назначения=SSH (22 ) Протокол=TCP Пользователь= Процесс= PID= Комментарий=Детектор фиксированных атак Сообщение=Сканирование портов (554 TCP, 22 TCP, 113 TCP, 1720 TCP, 256 TCP, 23 TCP, 993 TCP, 110 TCP, 111 TCP, 443 TCP, 25 TCP, 5900 TCP, 3389 TCP, 80 TCP, 21 TCP, 587 TCP, 3306 TCP) ID_сигнатуры=(детектор атак) Результат=Доступ запрещен! EventNameField=Событие

Запуск сканирования портов Клиента

Создание фильтра для поиска события о сканировании портов

Создание директивы для выявления инцидента по фильтру «Сканирование портов»

Отслеживание срабатывания правила МЭ

Настройка Сервера Безопасности

Создать правило МЭ на блокирование исходящего соединения к www.google.com, www.google.ru
Включить журнал соединений МЭ в СБ Dallas Lock
Включить выгрузку журнала соединений МЭ в СБ Dallas Lock
Выполнить синхронизацию Сервера безопасности и клиентов

Пример события

<14>Apr 27 11:36:38 DLCLIENT LEEF:2.0|Confident|Dallas Lock|8,0,710,0|Журнал соединений МЭ::Закрытие исходящего соединения|sev=6	devTimeFormat=MMM dd yyyy HH:mm:ss	devTime=Apr 27 2022 11:36:38	Локальный_адрес=10.0.4.154	 Локальный_порт=51054	 Внешний_адрес=64.233.162.106	 Внешнее_имя=www.google.com	 Внешний_порт=HTTPS (443 )	 IP_версия=IPv4	 Протокол=TCP	 Пользователь=admin	 Доступ=0 (Открытые данные)	 Процесс=C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe	 PID=3408	 EventNameField=Событие	 Отправлено=0 байт	 Получено=0 байт	 Правило=google	 Результат=Запрет

Инициирование срабатывания правила МЭ

Создание фильтра для поиска событий о срабатывании правила МЭ

Отслеживание изменения правила МЭ

Настройка Сервера Безопасности

Включить журнал управления политиками безопасности в СБ Dallas Lock
Включить выгрузку журнала управления политиками безопасности в СБ Dallas Lock
Выполнить синхронизацию Сервера безопасности и клиентов

Пример события

<14>Apr 27 12:55:30 DLCLIENT LEEF:2.0|Confident|Dallas Lock|8,0,710,0|Журнал упр. политиками::Редактирование общего правила МЭ id = 7|sev=6 devTimeFormat=MMM dd yyyy HH:mm:ss devTime=Apr 27 2022 12:55:30 Пользователь_ОС=LOCAL_SYSTEM Компьютер= EventNameField=Параметр Комментарий="google": Направление действия: "Любое" -> "Исходящие соединения" Результат=OK

Изменение правила МЭ на Сервере Безопасности

Создание фильтра для поиска событий об изменении правила МЭ

Создание директивы для выявления инцидента по фильтру «Изменение правила МЭ»