Подключение с помощью HTTP-коллектора
Подключение нового HTTP-коллектора
Предварительные условия:
-
источник событий ИБ поддерживает передачу событий по протоколу HTTP
-
наличие лицензии (разрешения) на использование HTTP-коллектора (см. Обзор графического интерфейса → О программе → Информация о программе)
-
отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером ПК «КОМРАД»
Для установки HTTP-коллектора на определенный узел, необходимо:
-
На узле создать директорию, в которую необходимо переместить deb-пакет
komrad-http-collector*.deb
из дистрибутива ПК «КОМРАД»; -
Установить из папки HTTP-коллектор командой:
sudo dpkg -i ./komrad-http-collector*.deb
-
Открыть файл
komrad-http-collector.yaml
командой:sudo nano /etc/echelon/komrad/komrad-http-collector.yaml
-
Отредактировать параметр bus-url, задав IP-адрес сервера ПК «КОМРАД»:
bus-url: nats://IP_ ПК «КОМРАД»:3490
-
Сохранить файл и перезагрузить HTTP-коллектор командой:
sudo systemctl restart komrad-http-collector.service
-
Новый HTTP-коллектор отобразится в списке коллекторов в веб-интерфейсе
Подключение новых источников событий
Предварительные условия:
-
убедиться, что существует возможность сетевого взаимодействия между KOMRAD SIEM и источником событий
Настройка HTTP-коллектора
-
Администрирование → Настройка коллекторов → Коллекторы → HTTP → Выбрать нужный HTTP-коллектор
-
Нажать иконку «Редактировать» → Настраиваем коллектор:
-
При необходимости можно изменить имя коллектора
-
Указать порт коллектора
-
Указать протокол
-
Указать фильтрацию входящих соединений по списку IP адресов. Значения списка необходимо разделять запятой, либо начинать с новой строки. Значения могут быть:
-
адрес IPv4, например 192.0.2.3
-
адрес IPv6, например 2001:db8::
-
интервал адресов IPv4, например 10.0.4.0/24
-
интервал адресов IPv4, например 10.0.4.2-10.0.4.28
-
интервал IPv6 адресов, например 2001:db8::/48
-
интервал IPv6 адресов, например 2001:db8::-2001:xe8::
-
тег сканера активов Сканер-ВС, например #office (актуальные адреса IP будут запрошены в Сканер-ВС)
-
-
Способ фильтрации по IP
-
Включить защиту BasicAuth:
-
Имя пользователя
-
Пароль
-
-
Строка ответа
-
URL
-
HTTP-методы - фильтрация поступающих запросов по HTTP методам
-
Извлекать заголовки - список заголовков HTTP, которые необходимо извлечь
-
Сохранять исходный текст запроса в поле Raw в карточке события
-
Пример:
-
Настройка HTTP-коллектора
-
Отправка HTTP запроса в KOMRAD
Где:
-
IP-адрес хоста, с которого идет отправка события
-
Curl запрос
curl -X "POST" "http://10.0.5.90:48000/test" -u "komrad:komrad" -H 'Content-Type: application/json' -d '{"Event": "Привет, мир!"}' -v
-
Проверка BasicAuth и HTTP заголовки
-
Выходные данные
-
Строка ответа KOMRAD
-
-
Событие ИБ в KOMRAD

