Организация совместной работы KOMRAD Enterprise SIEM и Dallas Lock 8.0-К

С помощью KOMRAD Enterprise SIEM можно получать информацию о событиях журналов Dallas Lock 8.0-К, но для этого должно быть настроено взаимодействие между сервером безопасности Dallas Lock и системой управления событиями информационной безопасности KOMRAD Enterprise SIEM.

Настройка передачи событий в KOMRAD Enterprise SIEM

  1. Для выгрузки журналов существует специальная политика «Выгрузка журналов». Чтобы ее настроить, необходимо запустить консоль СБ, перейти на вкладку «Параметры безопасности домена» ⇒ «Аудит», политика «Выгрузка журналов»:

dallas 4

  1. В окне настройки политики указать параметры KOMRAD (IP-адрес KOMRAD, Порт 49000 и формат выгрузки CEF), а также перечень журналов, которые необходимо выгружать, и периодичность выгрузки:

dallas 5

  1. Далее нужно произвести синхронизацию Сервера безопасности и клиентов. После выполнения вышеуказанных настроек клиенты будут отправлять свои журналы в SIEM-систему.

Пример создания правила корреляции Dallas Lock 8.0-К + KOMRAD Enterprise SIEM

События направленные на KOMRAD Enterprise SIEM:

dallas 2

Пример карточки события:

dallas 6

Из данной карточки можно создать фильтр, например, следующий:

dallas 3

На основе данного фильтра можно создать директиву:

dallas 8

После срабатывания директивы, инцидент выглядит следующим образом:

dallas 7
Фильтры (45 шт.) и директивы (30 шт.) корреляции под источник событий можно скачать в рамках расширенной технической поддержки.

Последнее изменение 27.10.2023