Настройка отправки инцидентов по протоколу Syslog в формате CEF

Для обеспечения возможности отправки инцидента по Syslog в формате CEF:

Откройте конфигурационный файл komrad-server.yaml:

nano /etc/echelon/komrad/komrad-server.yaml
Мы отключили возможность отправки по протоколу UDP по причине отсутствия гарантий доставки инцидентов, но в конфигурационном файле данный параметр присутствует.

И задайте параметры:

komrad-server.yaml
  # Конфигурация отправки инцидентов по Syslog в формате CEF.
  # Возможна отправка на протокол TCP. Возможно включение шифрования передачи данных TLS.
  syslog-cef:
  - name: syslog CEF       # Имя почтового сервера, используется для отображения в визуальном интерфейсе
    idle-timeout: 30s      # Время, через которое соединение будет разорвано, в случае отсутствия активных сообщений
    dial-timeout: 30s
    disable: true          # Указать false, чтобы включить передачу инцидента в формате CEF
    recipient: tcp://127.0.0.1:49000
    hostname: komrad-node
    mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
    tls:
      TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
      Cert: /var/lib/echelon/komrad/certs/client.pem
      CertKey: /var/lib/echelon/komrad/certs/client-key.pem
      ServerName: ""        # Имя сервера используется для проверки имени хоста в возвращённых сертификатах
      disable: true       # Указать false, чтобы включить TLS при передаче CEF
      system-pool: true
    framing: delimiter
retroindexationsegment: 24h
eventfieldscache:
  cacheexpiration: 1m
widgets:
  byseverityinterval: 168h0m0s
  bystatusinterval: 24h0m0s
  requesttimeout: 5s
  updateinterval: 1h0m0s
  reconnecttimeout: 5s
jwt:
  secret: komrad
  token-expiration: 1m
В файле komrad-server-notification-mapping-syslog-cef.yaml раскомментируйте или закомментируйте те поля событий, которые необходимо передавать в событии. Список полей с описанием представлен в след. таблице.
Table 1. Список полей файла komrad-server-notification-mapping-syslog-cef.yaml
Название поля CEF Описание

incident.ID

ECS.Event.ID

Номер инцидента

incident.DirectiveID

ECS.Rule.ID

Номер директивы

incident.AssignedTo

ECS.Rule.Author

Ответственный за инцидент

incident.InitialTime

ECS.Event.Start

Время первого события, из числа всех событий выявленного инцидента

incident.Recommendations

ECS.Threat.TechniqueReference

Рекомендации из директивы

incident.TenantID

ECS.Organization.ID

Идентификатор места установки коллектора

incident.Assets

ECS.Related.IP

IP-адреса активов

incident.HasErrors

ECS.Error.Message

Возможно ложное срабатывание или неправильно написано правило корреляции

incident.DirectiveName

ECS.Rule.Name

Имя директивы

incident.GosSOPKAIncidentType

ECS.Rule.Category

Тип инцидента из справочника

incident.RegistrationTime

ECS.Event.Ingested

Время регистрации инцидента менеджером инцидентов

incident.CloseTime

ECS.Event.End

Время закрытия инцидента

incident.StatusReason – характерен для IRP систем, в ECS нет подходящего поля

ECS.Event.Reason

Причина (пояснение) установки того или иного статуса

incident.Description

ECS.Rule.Description

Описание инцидента, задаётся пользователем

incident.EventKeys

ECS.Related.Hash

События, благодаря которым был сгенерирован инцидент
Если инциденты не приходят на принимающий источник, проверьте, может ли он принимать сообщения с узла, где стоит komrad-server echo "sample syslog" | nc target-host target-tcp-port

Отправка на несколько источников

Вы можете настроить отправку на насколько источников:

 syslog-cef:
  - name: syslog CEF
    idle-timeout: 30s
    dial-timeout: 30s
    disable: true
    recipient: tcp://[ip]:[port]
    hostname: komrad-node
    mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
    tls:
      TrustedCA: /var/lib/echelon/komrad/certs2/ca.pem
      Cert: /var/lib/echelon/komrad/certs2/client.pem
      CertKey: /var/lib/echelon/komrad/certs2/client-key.pem
      ServerName: ""
      disable: false
      system-pool: false
    framing: delimiter
  - name: no_tls
    idle-timeout: 30s
    dial-timeout: 30s
    disable: true
    recipient:  tcp://[ip]:[port]
    hostname: komrad-node
    mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
    tls:
      TrustedCA: /var/lib/echelon/komrad/certs2/ca.pem
      Cert: /var/lib/echelon/komrad/certs2/client.pem
      CertKey: /var/lib/echelon/komrad/certs2/client-key.pem
      ServerName: ""
      disable: true
      system-pool: false
    framing: delimiter
При отправке инцидентов в событии CEF сразу на два источника, при недоступности одного источника, на второй источник они тоже не будут отправлены.