Интеграция с UserGate
Предварительные условия:
-
Межсетевой экран UserGate уже настроен и работает
-
Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор графического интерфейса → О программе → Информация о лицензии)
-
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Порядок настройки UserGate NGFW
Откройте веб-интерфейс UserGate NGFW. Перейдите во вкладку Журналы и отчеты → Экспорт журналов.
Порядок настройки в веб-интерфейсе UTM UserGate:
Перейдите в Журналы и отчеты → Журналы → Экспорт журналов. В открывшейся вкладке нажмите Добавить. В появившемся окне нужно включить новое правило экспорта, ввести его название и описание.
Перейдите во вкладку Удаленный сервер, в которой нужно выбрать Syslog в качестве типа сервера, ввести IP-address и порт машины KOMRAD (для TCP порт: 49000, для UDP порт: 49050), выбрать протокол, рекомендуется Syslog (RFC 5424).
Затем переходим во вкладку Журналы для экспорта, в которой выбираем журналы, которые будут отправлять на KOMRAD Enterprise SIEM и их формат, рекомендуем выбрать формат CEF.
| Обратите внимание на то, что если не отключить автосканирование активов из событий, то в список активов будут добавляться IP-адреса из всех журналов, в том числе и из журналов трафика и DNS. Чтобы IP-адреса не добавлялись в активы из событий, требуется отключить автосканирование активов из событий. Инструкцию, как это сделать, можно найти здесь |
После настройки можно проверить соединение с KOMRAD:
Теперь нажмите "Сохранить". После выполнения вышеуказанных действий Вы увидите приходящие события в KOMRAD (в качестве активного автоматического парсера Syslog-коллектора рекомендуется выбрать ArcSight CEF):
Например, фильтр, который отслеживает события добавления учетной записи администратора, может выглядеть так:
А директива, основанная на этом фильтре, может выглядеть так:
После создания учётной записи администратора в консоли UserGate, на KOMRAD Enterprise SIEM сработает директива ETECS.UserGate. Добавление учетной записи администратора.
| Фильтры (31 шт.) и директивы корреляции (31 шт.) под данный источник событий можно скачать в рамках расширенной технической поддержки |
Последнее изменение 12.07.2023