Вопросы и ответы
Мы собираем часто задаваемые вопросы на support@npo-echelon.ru или в нашем чате в Telegram и ответы на них в данной статье.
Как получить пробную лицензию и скачать KOMRAD Enterprise SIEM 4?
Скачать дистрибутив и документацию здесь KOMRAD Enterprise SIEM 4.
Email для получения лицензии: getkomrad@npo-echelon.ru
Есть ли какие-то рекомендуемые требования для машин, на которые выносятся коллекторы?
Для коллектора нагрузки в разы меньше, мы рекомендуем использовать минимальные требования к аппаратной платформе, аналогично лицензии Base.
Как изменить период поиска по событиям?
Если при фильтрации у вас возникает ошибка "Слишком большой временной интервал. Установлен лимит в 240 часов, а запрошен в n часов, см параметр EventsSearchBackwardsTimeLimit. (time range is too large: yyyy-mm-dd hh:mm:ss +0000 UTC to yyyy-mm-dd hh:mm:ss +0000 UTC) Для увеличения интервала вам необходимо изменить значение EventsSearchBackwardsTimeLimit в конфигурационном файле Конфигурация сервера
# Ограничение периода поиска по событиям в прошлом
EventsSearchBackwardsTimeLimit: 240hПример:30 суток 720h
Данная настройка будет зависеть от ресурсов аппаратной платформы, значение 240h оптимально подходит для лицензии Base
|
После изменения конфигурационного файла сервис не стартует?
При изменении конфигурационного файла могла быть допущена ошибка (лишний пробел, запятая вместо точки). Вы с лёгкостью найдёте место ошибки с использованием утилиты journalctl при просмотре лога запуска сервиса выведется в какой строке конфигурационного файла ошибка.
Проверка регулярных выражений?
Проверить регулярное выражение можно не только в KOMRAD Enterprise SIEM 4, но и на различных ресурсах, например regex101.com, в пункте flavor необходимо указать Golang.
Как получить информацию о событии или активе из инцидента при формировании уведомления?
Вы можете выводить список активов и событий. Активы: incident.Assets
Извлечённые переменные корреляции: incident.Histories
Пример:
Активы подверженные атаке: {{ incident.Assets }}
События инцидента приведшие к инциденту {{ incident.Histories }}Вы получите все поля событий и активов по данной директиве.
Как делать информативные уведомления?
В инцидентах и событиях много избыточной информации, чтобы поменять порядок полей, убрать лишнее или добавить что-то в уведомление используется язык шаблонизации Liquid.
Не отображаются графики?
Проверьте настройки антивируса, часто такая проблема встречается при использовании продуктов компании Kaspersky.
Сколько весит одно событие в Komrad?
Благодаря использованию ClickHouse мы добились минимального веса события. События сильно разнятся, но среднее значение на наших стендах 50 байт на событие.
Сколько занимает база данных с событиями ?
Запрос в ClickHouse
SELECT 'komrad-event', table, formatReadableSize(sum(data_compressed_bytes) AS size) AS compressed, formatReadableSize(sum(data_uncompressed_bytes) AS usize) AS uncompressed, round(usize / size, 2) AS compr_rate, sum(rows) AS rows, count() AS part_count FROM system.parts WHERE (active = 1) AND (table LIKE '%') AND (database LIKE '%') GROUP BY database, table ORDER BY size DESC;или в консоли Linux
sudo du -sm /var/lib/clickhouse/Размер базы данных ClickHouse в мегабайтах.
Как записать выражение в поле директивы, которое связано логическими "И","ИЛИ" ?
В выражениях используется нотация Google CEL-Go
Failed to start: migrations: Dirty database version
Ошибка миграции - обычно происходит из-за медленного железа, сервис после установки не успевает провести миграцию и прерывает её. Для исправления ошибки необходимо переустановить базу "komrad-preferences"
sudo systemctl stop komrad-server.service komrad-server.socket komrad-processor pauth-server komrad-correlation-dispatcher
sudo systemctl restart postgresql
sudo su - postgres
dropdb "komrad-preferences";
exit
sudo systemctl restart postgresql
sudo su - postgres
createdb -O postgres komrad-preferences
exit
sudo systemctl start komrad-server.service komrad-server.socket komrad-processor pauth-server komrad-correlation-dispatcherНеудачная попытка подключения к "ГосСОПКА"?
При неудачной попытке подключения к "ГосСопка" вам не напишет детальной ошибки, для того чтобы найти причину нажмите F12 и вы увидите причину неуспешной проверки * 500 - вы ввели недопустимые значения для некоторых полей * 404 - вы указали неверный адрес для подключения * 502 - проблема с токеном.
Как проверить сколько байт занимают базы в оперативной памяти?
Выполните команду:
sudo ps -aux | grep -i clickhouse-server | awk '{print $5}'При создании директивы можно указывать значения "Время после предыдущего блока", какое конкретно время тут учитывается для блока типа "Событие?
Действительно в системе есть много атрибутов времени. Время записи события (WTime), время получения (GenerationTime), время создания (CTime), ECS.Base.Timestamp. Мы парсим событие и вытаскиваем из него значение, когда оно произошло, если такого значения нет, то поле заполнит коллектор и в том и в другом случае это будет поле (GenerationTime) время получения.
Как собирать события о действиях пользователей в Komrad?
Перейдите в Администрирование → Настройки коллекторов → SQL → Выберите коллектор → Добавьте источник → Выберите шаблон "Комрад - Сбор журнала аудита действий пользователей".
Замените hostname на localhost при варианте установки всех сервисов на одном хосте. Вместо port укажите 5432, а вместо dbname — komrad-preferences. Если коллектор расположен на другом хосте, то укажите IP-адрес машины, на которой находится Postgres с базой komrad-preferences.
Как регулировать сложности пароля?
В рамках повышения или понижения безопасности парольной политики в Komrad вы можете поменять значение в конфигурационном файле pauth-server.yaml
MinPasswordEntropyBits: 70Число 70 является энтропией битов введённого слова в поле пароль. Ниже приведена таблица отношения энтропии к количеству символов.
Энтропия |
Строчные буквы |
Заглавные + строчные + цифры |
заглавные + строчные + цифры + спецсимволы |
70 |
15 |
12 |
11 |
Полную таблицу соответствия вы можете посмотреть в разделе аутентификации
Как добавить редирект по ссылке из события?
События с источников могут приходить с полем ECS.Event.Reference или ECS.Event.URL это ссылка, мы даём возможность перейти по ней, но для безопасного перехода вы должны внести целевой ресурс в разрешённые.Сделать это можно в конфигурационном файле komrad-server.yaml.
Добавьте ваш источник, по аналогии с уже указанным в списке:
# Список FQDN от которых разрешены запросы, если список пустой - запросы со всех
# хостов будут приниматься. Можно использовать регулярные выражения.
AllowedHosts:
- dev-komrad.etecs.ru
- ваш источникКак распределить нагрузку по ядрам?
Чтобы не загружать одно ядро, вы можете сбалансировать нагрузку, распределив её по разным ядрам системы. Укажите число ядер вашей системы в конфигурационном файле komrad-processor.
Отредактируйте конфигурационный файл komrad-processor:
# Число параллельных обработчиков событий, число можно увеличивать в интервале 1 .. (4-8 x число ядер) для увеличения скорости обработки событий ИБ за счёт роста потребления ресурсов узла
# Рекомендуемое значение - 20
parallelconsumerscount: 1Пример: Количество ядер в системе 8 parallelconsumerscount: 8
Как соединить 2 Комрада?
Для отправки инцидента по директиве используйте отправку по Syslog в формате CEF в другой Комрад, подробная настройка
В качестве источника приёма событий используйте syslog-collector.
recipient:
- "tcp://ip_komrad:49000"
hostname: komrad-region
version: 1
devicevendor: NPOECHELON
deviceproduct: KOMRAD-SIEM
deviceversion: v4.3.45
deviceeventclassid: SIEM
name: Region
severity: 1Как работает валидация при создании сертификатов?
Сервер покажет ошибку валидации на языке пользователя, если загрузить сертификат или приватный ключ размером более 32 кб (или превысить размер по символам в случае, если прописывать их вручную). Примеры таких ошибок можно увидеть на картинках ниже.
Как выпускать сертификаты на более длительный срок?
При выпуске сертификатов добавьте флаг expire:
sudo komrad-cli certificates create ca --expire 24mПример:создание корневого сертификата со сроком действия 24 месяца.
Как увеличить срок хранения событий?
Вы можете установить необходимый вам параметр хранения событий в базе (TTL). Это можно сделать через консольную утилиту komrad-cli.
komrad-cli db clickhouse events-ttl --duration 3m --pass exampleПример: изменение срока хранения событий на 3 месяца.
TIP: флаг -h покажет доступные варианты для распределённых установок или нестандартного использования ClickHouse.
Как собрать логи при проблемах с СУБД ClickHouse?
При возникновении проблем с СУБД ClickHouse, имеет смысл выполнить следующую команду:
sudo clickhouse-diagnostics collect --host localhost --password pass -u komradГде вместо pass (пароль по умолчанию), необходимо указать ваш пароль от ClickHouse.
После выполнения указанной команды, вы увидите строчку по типу archive ready at: /home/iru/p/packaging/user/1665645734320.tar.gz, которая укажет на расположение созданного файла. Пожалуйста, предоставьте этот файл техподдержке KOMRAD. Это поможет при расследовании проблем, связанных с работой СУБД ClickHouse.
Каким образом мы сжимаем события и во сколько раз?
Согласно нашим внутренним исследованиям, степень сжатия событий оценивается в 200 раз. События сжимаются несколько раз, в том числе и на коллекторе, также оно сжимается в ClickHouse.
В ClickHouse мы используем сжатие zstd.
Не подключается к базе Касперского TLS Handshake failure?
Добавьте параметр использования сертификатов
sqlserver://username:password@host?database=db_name&encrypt=disable
| такой параметр необходимо принудительно указывать для баз ранее 2014 года выпуска и в версии Express |
При перезапуске сервисов появляются ошибки корреляции?
В случае, если после перезапуска всех сервисов вы столкнулись с ошибками корреляции (как показано на скриншоте ниже), но директивы при этом работают, то просто проигнорируйте их, это служебная ошибка.
Эти ошибки происходят при старте диспетчера корреляции и на работу директив не влияют.
Директива не включается, появляется ошибка "Ошибка: exit status 12 (error_connection_to_db)"
Возможно, у Комрада нет связи с БД Postgresql. Проверьте доступность БД. Поскольку при включении директивы создаётся новое соединение с БД, возможно, исчерпан лимит max_connections. Отредактируйте максимальное число подключений к БД в строке max_connections = 150 в файле postgresql.conf:
sudo nano /etc/postgresql/"номер_версии"/main/postgresql.confТип поля map
Тип данных поля map является экспериментальным, но присутствует на UI.
Рекомендации не использовать данный вид поля
Не включается Syslog-коллектор?
Если вы получаете следующую ошибку при попытке включения Syslog-коллектора:
finished with error: failed to run in interactive mode: can't start collector: can't create wal log at path /var/lib/echelon/komrad/komrad-syslog-collector/.wal : can't load wal data: can't read segment data: wal is corrupt
То введите в терминал:
rm -rf /var/lib/echelon/komrad/komrad-syslog-collector/*
systemctl restart komrad-syslog-collectorМожет ли коллектор собирать файлы с папки?
Комрад может собирать конечные файлы из папки, но с учётом указания конкретного файла. В случае, если каждый день создаётся новый лог-файл, вы не сможете автоматически с него собирать логи.
Освобождение места на диске
В случае, если вы столкнулись с критической нехваткой места на диске, вы можете удалить файл под названием ballast_file, который расположен в /home/username/komrad и освободить примерно 1 Гб. Например, это можно сделать так:
sudo rm -i /home/имя_пользователя/komrad/ballast_fileСоздается новый коллектор при рестарте коллектора?
Если машина, на которой установлен коллектор, обладает слабыми техническими характеристиками, коллектор, установленный на ней, может зависать при попытке рестарта, а рядом будет создаваться новый.
В таком случае необходимо перенести настройки старого коллектора (со статусом "не определён") в новый коллектор (со статусом "в работе").
Тёмная тема
На данный момент в Komrad нет возможности включения тёмной темы, однако планируется её добавить в дальнейшем, в следующих версиях программного комплекса.
Сейчас вы можете использовать расширение для браузера. Например, Dark Reader.
Он доступен для Google Chrome / Mozilla Firefox / Safari / Microsoft Edge. У плагина имеется довольно гибкая система настроек, которая позволит вам пользоваться им так, как вы захотите.
Dark Reader не встраивает рекламу и не собирает пользовательские данные, а исходный код плагина является открытым.
Проверить свои знания по Комрад
Проверить свои знания по продукту,можнео пройдя Тест