Организация совместной работы KOMRAD Enterprise SIEM и Киберпротект Кибер Бэкап

Кибер Бэкап — российская система резервного копирования и восстановления данных с защитой от вирусов-шифровальщиков.

С помощью KOMRAD Enterprise SIEM можно получить информацию об инцидентах, зарегистрированных в Кибер Бэкап, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между агентом Кибер Бэкап и KOMRAD Enterprise SIEM.

Настройка агента Кибер Бэкап для передачи информации в KOMRAD Enterprise SIEM

Подразумевается, что агенты Кибер Бэкап развёрнуты на подконтрольных рабочих станциях и функционируют в полном объёме, соответствующие политики настроены.

Убедитесь, что установлен Агент журнала событий Windows (WMI), включён и настроен WMI-коллектор в KOMRAD Enterprise SIEM, включён журнал Application и максимальный уровень логирования:

Настройка WMI для отправки событий в KOMRAD Enterprise SIEM

Для того, чтобы включить отправку событий, необходимо внести следующие изменения в Кибер Бэкап:

1) В разделе Настройки агента → Настройки системы → Параметры резервного копирования по умолчанию → Журнал событий Windows необходимо включить и выбрать тип событий для записи в журнал Windows:

В данном разделе указаны настройки по умолчанию, действующие на все вновь создаваемые планы. Здесь настройка Журнал событий Windows аналогична такой же настройке в любом из планов резервного копирования — записывает в журнал событий приложений Windows события, происходящие при выполнении плана резервного копирования, в котором она активирована.

По умолчанию настройка Журнал событий Windows отключена. Если в разделе Настройки → Настройки системы → Параметры резервного копирования Вы активируете настройку Журнал событий Windows, то это будет действовать на все вновь создаваемые планы, но в ранее созданных планах данная настройка не применится, необходимо активировать её вручную. Для активации необходимо перейти в раздел Планы → Защита → Параметры резервного копирования → Журнал событий Windows:

2) Настройка Журнал событий Windows относится только к плану резервного копирования и к событиям, которые происходят при выполнении плана резервного копирования. Любые иные события, которые видны в разделе Панель мониторинга → Действия данная настройка не записывает в журнал событий приложений Windows. Соответственно, только следующие события могут отображаться в журнале просмотра событий: