Подключение с помощью HTTP-коллектора

Подключение нового HTTP-коллектора

Предварительные условия:

Для установки HTTP-коллектора на определенный узел, необходимо:

  1. На узле создать директорию, в которую необходимо переместить deb-пакет komrad-http-collector*.deb из дистрибутива ПК «КОМРАД»;

  2. Установить из папки HTTP-коллектор командой:

    sudo dpkg -i ./komrad-http-collector*.deb
  3. Открыть файл komrad-http-collector.yaml командой:

    sudo nano /etc/echelon/komrad/komrad-http-collector.yaml
  4. Отредактировать параметр bus-url, задав IP-адрес сервера ПК «КОМРАД»:

    bus-url: nats://IP_ ПК «КОМРАД»:3490
  5. Сохранить файл и перезагрузить HTTP-коллектор командой:

    sudo systemctl restart komrad-http-collector.service
  6. Новый HTTP-коллектор отобразится в списке коллекторов в веб-интерфейсе

Подключение новых источников событий

Предварительные условия:

  • убедиться, что существует возможность сетевого взаимодействия между KOMRAD SIEM и источником событий

Настройка HTTP-коллектора

  1. Администрирование → Настройка коллекторов → Коллекторы → HTTP → Выбрать нужный HTTP-коллектор

  2. Нажать иконку «Редактировать» → Настраиваем коллектор:

    1. При необходимости можно изменить имя коллектора

    2. Указать порт коллектора

    3. Указать протокол

    4. Указать фильтрацию входящих соединений по списку IP адресов. Значения списка необходимо разделять запятой, либо начинать с новой строки. Значения могут быть:

      • адрес IPv4, например 192.0.2.3

      • адрес IPv6, например 2001:db8::

      • интервал адресов IPv4, например 10.0.4.0/24

      • интервал адресов IPv4, например 10.0.4.2-10.0.4.28

      • интервал IPv6 адресов, например 2001:db8::/48

      • интервал IPv6 адресов, например 2001:db8::-2001:xe8::

      • тег сканера активов Сканер-ВС, например #office (актуальные адреса IP будут запрошены в Сканер-ВС)

    5. Способ фильтрации по IP

    6. Включить защиту BasicAuth:

      • Имя пользователя

      • Пароль

    7. Строка ответа

    8. URL

    9. HTTP-методы - фильтрация поступающих запросов по HTTP методам

    10. Извлекать заголовки - список заголовков HTTP, которые необходимо извлечь

    11. Сохранять исходный текст запроса в поле Raw в карточке события

Пример:

  • Настройка HTTP-коллектора

    Настройка HTTP-коллектора
  • Отправка HTTP запроса в KOMRAD

    Отправка HTTP запроса в KOMRAD

    Где:

    1. IP-адрес хоста, с которого идет отправка события

    2. Curl запрос

      curl -X "POST" "http://10.0.5.90:48000/test" -u "komrad:komrad"  -H 'Content-Type: application/json' -d '{"Event": "Привет, мир!"}' -v
    3. Проверка BasicAuth и HTTP заголовки

    4. Выходные данные

    5. Строка ответа KOMRAD

  • Событие ИБ в KOMRAD

Событие ИБ
Событие ИБ продолжение

Удаление

Удалить http-коллектор можно с помощью команды:

sudo dpkg -P komrad-http-collector