Подключение Syslog-коллектора
Подключение нового Syslog-коллектора
Предварительные условия:
-
Источник событий ИБ поддерживает передачу событий по протоколу Syslog
-
Наличие лицензии (разрешения) на использование Syslog-коллектора (см. Обзор графического интерфейса → О программе → Информация о программе)
-
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Для установки Syslog-коллектора на определенный узел, необходимо:
-
На узле создать директорию, в которую необходимо переместить deb-пакет
komrad-syslog-collector*.debиз дистрибутива KOMRAD -
Установить из папки syslog-collector командой:
sudo apt install ./komrad-syslog-collector*.deb -
Открыть файл
komrad-syslog-collector.yamlкомандой:sudo nano /etc/echelon/komrad/komrad-syslog-collector.yaml -
Отредактировать параметр bus-url, задав IP-адрес сервера KOMRAD:
bus: servers: - nats://IP_ KOMRAD:3490
-
Сохранить файл и перезагрузить syslog-collector командой:
sudo systemctl restart komrad-syslog-collector.service -
Новый Syslog-коллектор отобразится в списке коллекторов в веб-интерфейсе
| Для подключения источника нет необходимости устанавливать коллектор на источник, подробнее о подключении источников см. ниже |
Подключение новых источников событий
Предварительные условия:
-
убедиться, что существует возможность сетевого взаимодействия между KOMRAD Enterprise SIEM и источником событий
Настройка Syslog-коллектора
-
Администрирование → Настройки коллекторов → Коллекторы → Syslog
-
Нажать иконку «Редактировать» → Настраиваем коллектор :
-
При необходимости можно изменить имя коллектора
-
Выбрать активные парсеры (также необходимо проверить совместимость)
-
Указать необходимые порты
-
Указать диапазоны сбора с указанием действия, применяемого к событиям с данных адресов
-
При необходимости указать ограничение числа одновременных соединений (0 — не ограничено) и размера входящих сообщений (0 — не ограничено), а также выбрать временную зону и ввести разделитель строки.
-
Определение страны или города у syslog-коллектора
У syslog-коллектора есть возможность определять страну/город из полученного события. Вы можете использовать свой файл со списком соответствия адресов или использовать предоставленный АО "НПО" Эшелон".
Откройте файл komrad-syslog-collector.yaml командой:
sudo nano /etc/echelon/komrad/komrad-syslog-collector.yamlОтредактируйте путь к файлу:
# Путь к базе данных GeoIP
geo-ip:
path: /var/lib/echelon/komrad/komrad-syslog-collector/geoip/db.mmdbУже заполненные файлы со списком соответствия адресов (для мира и отдельно для России) доступны по ссылке.
После перезапуска коллектора у событий, в которых будут определятся поля IP.Destination и другие, также будут появляться и дополнительные поля ECS.City или ECS.Country.
Для проверки базы maxmind db необходимо установить
sudo apt install libmaxminddb0 libmaxminddb-dev mmdb-binПроверить IP:
mmdblookup --file /usr/share/GeoIP/GeoIP2-Country.mmdb --ip 8.8.8.8Результат:
{
"country":
{
"geoname_id":
6252001 <uint32>
"iso_code":
"US" <utf8_string>
"names":
{
"de":
"USA" <utf8_string>
"en":
"United States" <utf8_string>
}
}
}
Изменение порта syslog-коллектора
Решение состоит в том, чтобы добавить в службу следующее (например, запустив systemctl edit inspircd.service):
[Обслуживание] AmbientCapabilities=CAP_NET_BIND_SERVICE Для систем со старой версией systemd возможно лучше пользоваться setcap: setcap cap_net_bind_service=+ep Ещё можно посмотреть на: sudo sysctl -a | grep "net.ipv4.ip_unprivileged_port_start" По умолчанию там 1024 Можно сделать sudo sh -c "echo 442 > /proc/sys/net/ipv4/ip_unprivileged_port_start"