Организация совместной работы KOMRAD Enterprise SIEM и системы "СКДПУ НТ Мониторинг и аналитика"

С помощью KOMRAD Enterprise SIEM можно получить информацию об инцидентах, зарегистрированных в СКДПУ НТ, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между системой контроля привилегированного доступа СКДПУ НТ и системой управления событиями информационной безопасности KOMRAD Enterprise SIEM.

Настройка передачи событий в KOMRAD Enterprise SIEM

Подразумевается, что системы "СКДПУ НТ Мониторинг и аналитика" и "СКДПУ НТ Шлюз доступа" развёрнуты и настроены на подконтрольных рабочих станциях, функционируют в полном объёме. Так как "СКДПУ НТ Мониторинг и аналитика" собирает информацию, транслируемую от "СКДПУ НТ Шлюз доступа" (далее СКДПУ) в Syslog, то необходимо подключить одну из машин СКДПУ к "СКДПУ НТ Мониторинг и аналитика":

Для интеграции с "СКДПУ НТ Мониторинг и аналитика" нужно произвести настройку на СКДПУ
В СКДПУ заходим ⇒ Система ⇒ Интеграция с SIEM ⇒ Конфигурация Syslog
В поле "Доменное имя или IP" вводим ip-адрес "СКДПУ НТ Мониторинг и аналитика"
В поле "Протокол" вводим "tcp"
В поле "Порт" для СКДПУ 5.0.X вводим "514"
В поле "Порт" для СКДПУ выше 5ой версии вводим "515"
В поле "Формат времени" вводим "rfc3164"
В поле "Роутинг" вводим "Включено"
Нажимаем "+" и "Применить":

Далее производим стандартную для СКДПУ первичную настройку пользователя (если нет готовой инфраструктуры с СКДПУ и настроенными соединениями), ресурсов, групп и запуск сессий. Информация о проведенном тестировании в СКДПУ в режиме онлайн будет обновляться в "СКДПУ НТ Мониторинг и аналитика". По итогу у Вас должно получиться примерно следующее:

Для передачи событий на KOMRAD Enterprise SIEM необходимо перейти в раздел "Настройки" ⇒ "Конфигурация журналирования", указав "IP-адрес KOMRAD", "порт 49000", "протокол TCP", "формат RFC", нужный фильтр (authorization, audit, sessions, incidents) ⇒ "Применить настройки":