Подключение с помощью xFlow-коллектора
Протоколы: NetFlow, sFlow, IPFIX.
Подключение нового xFlow-коллектора
Предварительные условия:
-
Источник событий ИБ поддерживает передачу событий по протоколам NetFlow (v5/v9), sFlow, IPFIX
-
Наличие лицензии (разрешения) на использование xFlow-коллектора (см. Обзор графического интерфейса → О программе → Информация о программе)
-
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Для установки xFlow-коллектора на определенный узел, необходимо:
-
На узле создать директорию, в которую необходимо переместить deb-пакет
xflow-collector*.debиз дистрибутива KOMRAD -
Установить из папки xflow-collector командой:
sudo dpkg -i ./xflow-collector*.deb -
Открыть файл
komrad-xflow-collector.yamlкомандой:sudo nano /etc/echelon/komrad/komrad-xflow-collector.yaml -
Отредактировать параметр bus-url, задав IP-адрес сервера KOMRAD:
bus: servers: - nats://IP_ KOMRAD:3490
-
Сохранить файл и перезагрузить xflow-collector командой:
sudo systemctl restart komrad-xflow-collector.service -
Новый xFlow-коллектор отобразится в списке коллекторов в веб-интерфейсе
Подключение новых источников событий
Предварительные условия:
-
Убедиться, что существует возможность сетевого взаимодействия между KOMRAD Enterprise SIEM и источником событий (можно воспользоваться командой «ping»)
Расположение: Администрирование → Настройки коллекторов → Коллекторы → xFlow (sFlow, NetFlow v5/v9).
Действия:
-
Кликнуть на коллектор
-
При необходимости изменить следующие параметры:
-
Название коллектора
-
SFLOW-порт – UDP-порт приема sFlow событий
-
NETFLOWv5 порт – UDP-порт приема событий NetFlow версии 5
-
NETFLOWv9 порт – UDP-порт приема событий NetFlow версии 9
-
IPFIX-порт – UDP-порт приема событий NetFlow версии 10
-
Лимит скорости входящего трафика - при превышении лимита будут создаваться события ИБ
-
Лимит скорости исходящего трафика - при превышении лимита будут создаваться события ИБ
-
Включить мониторинг mac-адресов - при выборе этой опции включается мониторинг событий смены mac-адреса
-
Время мониторинга mac-адреса (секунды) - временное окно для выявления событий смены mac-адреса
-
Мониторинг лимита скорости - при выборе этой опции включается ограничение входящего/исходящего трафика
-
Создавать события с ежедневной статистикой - при выборе этой опции будет создаваться статистика по подключениям в сети
-
Добавить адреса исключения - при выборе этой опции будут создаваться события при появлении в сети IP адресов, добавленных в «черный список»
-
-
Включите коллектор, если он был выключен или перезагрузите, если он был включен
При изменении одного порта в xFlow-коллекторе, по другим портам в логах могут появиться ошибки "error listening","flow_type":"sflow5","error":"listen udp 0.0.0.0:2057: bind: address already in use"
|