Подключение с помощью HTTP-коллектора

Подключение нового HTTP-коллектора

Предварительные условия:

источник событий ИБ поддерживает передачу событий по протоколу HTTP
наличие лицензии (разрешения) на использование HTTP-коллектора (см. Обзор графического интерфейса → О программе → Информация о программе)
отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером ПК «КОМРАД»

Для установки HTTP-коллектора на определенный узел, необходимо:

На узле создать директорию, в которую необходимо переместить deb-пакет komrad-http-collector*.deb из дистрибутива ПК «КОМРАД»;
Установить из папки HTTP-коллектор командой:
```
sudo dpkg -i ./komrad-http-collector*.deb
```
Открыть файл komrad-http-collector.yaml командой:
```
sudo nano /etc/echelon/komrad/komrad-http-collector.yaml
```
Отредактировать параметр bus-url, задав IP-адрес сервера ПК «КОМРАД»:
```
bus-url: nats://IP_ ПК «КОМРАД»:3490
```
Сохранить файл и перезагрузить HTTP-коллектор командой:
```
sudo systemctl restart komrad-http-collector.service
```
Новый HTTP-коллектор отобразится в списке коллекторов в веб-интерфейсе

Подключение новых источников событий

Предварительные условия:

убедиться, что существует возможность сетевого взаимодействия между KOMRAD SIEM и источником событий

Настройка HTTP-коллектора

Администрирование → Настройка коллекторов → Коллекторы → HTTP → Выбрать нужный HTTP-коллектор
Нажать иконку «Редактировать» → Настраиваем коллектор:
1. При необходимости можно изменить имя коллектора
2. Указать порт коллектора
3. Указать протокол
4. Указать фильтрацию входящих соединений по списку IP адресов. Значения списка необходимо разделять запятой, либо начинать с новой строки. Значения могут быть:
  - адрес IPv4, например 192.0.2.3
  - адрес IPv6, например 2001:db8::
  - интервал адресов IPv4, например 10.0.4.0/24
  - интервал адресов IPv4, например 10.0.4.2-10.0.4.28
  - интервал IPv6 адресов, например 2001:db8::/48
  - интервал IPv6 адресов, например 2001:db8::-2001:xe8::
  - тег сканера активов Сканер-ВС, например #office (актуальные адреса IP будут запрошены в Сканер-ВС)
5. Способ фильтрации по IP
6. Включить защиту BasicAuth:
  - Имя пользователя
  - Пароль
7. Строка ответа
8. URL
9. HTTP-методы - фильтрация поступающих запросов по HTTP методам
10. Извлекать заголовки - список заголовков HTTP, которые необходимо извлечь
11. Сохранять исходный текст запроса в поле Raw в карточке события

Пример:

Настройка HTTP-коллектора
Отправка HTTP запроса в KOMRAD

Где:
1. IP-адрес хоста, с которого идет отправка события
2. Curl запрос
  curl -X "POST" "http://10.0.5.90:48000/test" -u "komrad:komrad" -H 'Content-Type: application/json' -d '{"Event": "Привет, мир!"}' -v
3. Проверка BasicAuth и HTTP заголовки
4. Выходные данные
5. Строка ответа KOMRAD
Событие ИБ в KOMRAD

Удаление

Удалить http-коллектор можно с помощью команды:

sudo dpkg -P komrad-http-collector