Интеграция со StaffCop Enterprise

С помощью KOMRAD Enterprise SIEM можно получить информацию об инцидентах, зарегистрированных в StaffCop Enterprise, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между StaffCop Enterprise и KOMRAD Enterprise SIEM.

Предварительные условия:

  • Подразумевается, что сервер StaffCop Enterprise настроен, развёрнут и функционирует в полном объёме, соответствующие политики для поиска инцидентов настроены

  • Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор графического интерфейса → О программе → Информация о лицензии)

  • Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

Настройка сервера для передачи информации о событиях KOMRAD Enterprise SIEM

Порядок настройки в StaffCop Enterprise:

1) Введите логин и пароль для входа в интерфейс командной строки сервера StaffCop Enterprise

2) Передача информации на сервер KOMRAD Enterprise SIEM выполняется сервисом rsyslog. Нужно убедиться, что сервис установлен и запущен (активен). Это делается с помощью команды:

service rsyslog status

Если сервис был установлен и запущен, то строка «active running» должна быть зелёного цвета.

staff

3) Создадим конфигурационный файл /etc/rsyslog.d/50-siem.conf от имени суперпользователя:

sudo nano /etc/rsyslog.d/50-siem.conf

и добавим в пустой файл строчку:

$RepeatedMsgReduction off
If $programname==’staffcop’ then @@<1>:(2)

где <1> — IP-адрес хоста с Syslog-коллектором, на который нужно посылать события; <2> — порт хоста с коллектором, на который нужно посылать события.

staff2

4) После этого шага необходимо перезапустить сервис rsyslog командой:

sudo service rsyslog restart

Если команда не выведет ничего и сервер выдаст приглашение командной строки, значит, всё настроено правильно.

После завершения настройки сервера для передачи информации о событиях в KOMRAD Enterprise SIEM необходимо убедиться, что системная политика Syslog-коннектор (находится во вкладке «Фильтры - Политики - Системные политики») активна, и был выбран формат передачи логов: CEF.

staff3

Настроим политику «Приложения для удалённого доступа» ("Политики" – "Категории приложений") в Staffcop Enterprise для передачи инцидента в KOMRAD Enterprise SIEM. Для этого необходимо в разделе «категория» выбрать пункт «Инцидент» и активировать политику.

staff4

Сгенерируем инцидент на ПК агента, запустив приложение AnyDesk. Это событие должно отобразиться в StaffCop Enterprise в интерфейсе веб-консоли.

staff5

На KOMRAD Enterprise SIEM сработает директива «ETECS.Staffcop Enterprise.Работа программ для удалённого доступа».

staff6
Фильтры (15 шт.) и директивы корреляции (12 шт.) под источник событий можно скачать в рамках расширенной технической поддержки

Последнее изменение 12.07.2023