Организация совместной работы KOMRAD Enterprise SIEM и Континент 4

Предварительные условия:

Многофункциональный межсетевой экран (NGFW/UTM) с поддержкой алгоритмов ГОСТ Континент 4 уже настроен и работает
Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор графического интерфейса → О программе → Информация о лицензии)
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

Порядок настройки Континент 4

Откройте интерфейс менеджера конфигурации, затем подключитесь к ЦУСу (центр управления сетью). Перейдите во вкладку “Структура” и выберите узел безопасности, который будет отправлять логи. Далее перейдите в настройки узла безопасности, в окне выберите “Узел безопасности” → “Журналирование и оповещение”. В открывшимся окне нажмите на кнопку “Добавить” и выберите состояние "Вкл", введите IP-адрес и порт машины KOMRAD (для TCP порт: 49000, для UDP порт: 49050), выберите протокол, рекомендуется SYSLOG (TCP). В поле “Детализация” можно выбрать нужный уровень детализации журналов, рекомендуем выбрать Высокий.

После этого нажимаем OK и устанавливаем политику на узлы, которые были выбраны для мониторинга. Для этого в верхнем левом углу выбираем Файл → Установить (или сочетание клавиш Ctrl+i). Выбираем нужные узлы безопасности и нажимаем OK.

После выполнения вышеуказанных действий вы увидите приходящие события в KOMRAD:

Например, фильтр, который отслеживает события, информирующие о блокировке Dos-атаки или предупреждение о ней, может выглядеть так:

А директива, основанная на этом фильтре, может выглядеть так:

После срабатывания правила СОВ, которое относится к обнаружению или предотвращению Dos-атак, на узле безопасности, в KOMRAD Enterprise SIEM сработает директива ETECS.Continent4.Обнаружена Dos-атака.

Фильтры (37 шт.) и директивы корреляции (34 шт.) под источник событий можно скачать в рамках расширенной технической поддержки

Последнее изменение 13.07.2023