Настройка отправки инцидентов по протоколу Syslog в формате CEF
Для обеспечения возможности отправки инцидента по Syslog в формате CEF:
Откройте конфигурационный файл komrad-server.yaml
:
nano /etc/echelon/komrad/komrad-server.yaml
Мы отключили возможность отправки по протоколу UDP по причине отсутствия гарантий доставки инцидентов, но в конфигурационном файле данный параметр присутствует |
Задайте параметры:
# Конфигурация отправки инцидентов по Syslog в формате CEF.
# Возможна отправка на протокол TCP. Возможно включение шифрования передачи данных TLS.
syslog-cef:
- name: syslog CEF # Имя почтового сервера, используется для отображения в визуальном интерфейсе
idle-timeout: 30s # Время, через которое соединение будет разорвано, в случае отсутствия активных сообщений
dial-timeout: 30s
disable: true # Указать false, чтобы включить передачу инцидента в формате CEF
recipient: tcp://127.0.0.1:49000
hostname: komrad-node
mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
tls:
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
ServerName: "" # Имя сервера используется для проверки имени хоста в возвращённых сертификатах
disable: true # Указать false, чтобы включить TLS при передаче CEF
system-pool: true
framing: delimiter
retroindexationsegment: 24h
eventfieldscache:
cacheexpiration: 1m
widgets:
byseverityinterval: 168h0m0s
bystatusinterval: 24h0m0s
requesttimeout: 5s
updateinterval: 1h0m0s
reconnecttimeout: 5s
jwt:
secret: komrad
token-expiration: 1m
В файле komrad-server-notification-mapping-syslog-cef.yaml раскомментируйте или закомментируйте те поля событий, которые необходимо передавать в событии. Список полей с описанием представлен в следующей таблице
|
Название поля | CEF | Описание |
---|---|---|
incident.ID |
ECS.Event.ID |
Номер инцидента |
incident.DirectiveID |
ECS.Rule.ID |
Номер директивы |
incident.AssignedTo |
ECS.Rule.Author |
Ответственный за инцидент |
incident.InitialTime |
ECS.Event.Start |
Время первого события, из числа всех событий выявленного инцидента |
incident.Recommendations |
ECS.Threat.TechniqueReference |
Рекомендации из директивы |
incident.TenantID |
ECS.Organization.ID |
Идентификатор места установки коллектора |
incident.Assets |
ECS.Related.IP |
IP-адреса активов |
incident.HasErrors |
ECS.Error.Message |
Возможно ложное срабатывание или неправильно написано правило корреляции |
incident.DirectiveName |
ECS.Rule.Name |
Имя директивы |
incident.GosSOPKAIncidentType |
ECS.Rule.Category |
Тип инцидента из справочника |
incident.RegistrationTime |
ECS.Event.Ingested |
Время регистрации инцидента менеджером инцидентов |
incident.CloseTime |
ECS.Event.End |
Время закрытия инцидента |
incident.StatusReason – характерен для IRP систем, в ECS нет подходящего поля |
ECS.Event.Reason |
Причина (пояснение) установки того или иного статуса |
incident.Description |
ECS.Rule.Description |
Описание инцидента, задаётся пользователем |
incident.EventKeys |
ECS.Related.Hash |
События, благодаря которым был сгенерирован инцидент |
Если инциденты не приходят на принимающий источник, проверьте, может ли он принимать сообщения с узла, где стоит komrad-server echo "sample syslog" | nc target-host target-tcp-port
|
Отправка на несколько источников
Вы можете настроить отправку на насколько источников:
syslog-cef:
- name: syslog CEF
idle-timeout: 30s
dial-timeout: 30s
disable: true
recipient: tcp://[ip]:[port]
hostname: komrad-node
mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
tls:
TrustedCA: /var/lib/echelon/komrad/certs2/ca.pem
Cert: /var/lib/echelon/komrad/certs2/client.pem
CertKey: /var/lib/echelon/komrad/certs2/client-key.pem
ServerName: ""
disable: false
system-pool: false
framing: delimiter
- name: no_tls
idle-timeout: 30s
dial-timeout: 30s
disable: true
recipient: tcp://[ip]:[port]
hostname: komrad-node
mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
tls:
TrustedCA: /var/lib/echelon/komrad/certs2/ca.pem
Cert: /var/lib/echelon/komrad/certs2/client.pem
CertKey: /var/lib/echelon/komrad/certs2/client-key.pem
ServerName: ""
disable: true
system-pool: false
framing: delimiter
При отправке инцидентов в событии CEF сразу на два источника, при недоступности одного источника, на второй источник они тоже не будут отправлены |