Подключение Syslog-коллектора
Подключение нового Syslog-коллектора
Предварительные условия:
- Источник событий ИБ поддерживает передачу событий по протоколу Syslog
- Наличие лицензии (разрешения) на использование Syslog-коллектора (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о программе)
- Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Для установки Syslog-коллектора на определенный узел, необходимо:
-
На узле создать директорию, в которую необходимо переместить deb-пакет
komrad-syslog-collector*.debиз дистрибутива KOMRAD -
Установить из папки
syslog-collectorкомандой:sudo apt install ./komrad-syslog-collector*.deb -
Открыть файл
komrad-syslog-collector.yamlкомандой:sudo nano /etc/echelon/komrad/komrad-syslog-collector.yaml -
Отредактировать параметр
bus-url, задав IP-адрес сервера KOMRAD:bus:
servers:
- nats://IP_ KOMRAD:3490 -
Сохранить файл и перезагрузить
syslog-collectorкомандой:sudo systemctl restart komrad-syslog-collector.service -
Новый Syslog-коллектор отобразится в списке коллекторов в веб-интерфейсе
Для подключения источника нет необходимости устанавливать коллектор на источник, подробнее о подключении источников см. ниже
Подключение новых источников событий
Предварительные условия:
- убедиться, что существует возможность сетевого взаимодействия между KOMRAD Enterprise SIEM и источником событий
Настройка Syslog-коллектора
- manage ⇒ Настройки коллекторов ⇒ Коллекторы ⇒ Syslog
- Нажать иконку «Редактировать» ⇒ Настраиваем коллектор :
- При необходимости можно изменить имя коллектора
- Выбрать активные парсеры (также необходимо проверить совместимость)
- Указать необходимые порты
- Указать диапазоны сбора с указанием действия, применяемого к событиям с данных адресов
- При необходимости указать ограничение числа одновременных соединений (0 — не ограничено) и размера входящих сообщений (0 — не ограничено), а также выбрать временную зону и ввести разделитель строки
Определение страны или город�а у syslog-коллектора
У Syslog-коллектора есть возможность определять страну/город из полученного события. Вы можете использовать свой файл со списком соответствия адресов или использовать предоставленный АО "НПО" Эшелон".
Откройте файл komrad-syslog-collector.yaml командой:
sudo nano /etc/echelon/komrad/komrad-syslog-collector.yaml
Отредактируйте путь к файлу:
# Путь к базе данных GeoIP
geo-ip:
path: /var/lib/echelon/komrad/komrad-syslog-collector/geoip/db.mmdb
Уже заполненные файлы со списком соответствия адресов (для мира и отдельно для России) доступны по ссылке.
После перезапуска коллектора у событий, в которых будут определятся поля IP.Destination и другие, также будут появляться и дополнительные поля ECS.City или ECS.Country.
Для проверки базы maxmind db необходимо установить
sudo apt install libmaxminddb0 libmaxminddb-dev mmdb-bin
Проверить IP:
mmdblookup --file /usr/share/GeoIP/GeoIP2-Country.mmdb --ip 8.8.8.8
Результат:
{
"country":
{
"geoname_id":
6252001 <uint32>
"iso_code":
"US" <utf8_string>
"names":
{
"de":
"USA" <utf8_string>
"en":
"United States" <utf8_string>
}
}
}
Изменение порта Syslog-коллектора
Решение состоит в том, чтобы добавить в службу следующее (например, запустив systemctl edit inspircd.service):
[Обслуживание]
AmbientCapabilities=CAP_NET_BIND_SERVICE
Для систем со старой версией systemd возможно лучше пользоваться setcap:
setcap cap_net_bind_service=+ep
Ещё можно посмотреть на:
sudo sysctl -a | grep "net.ipv4.ip_unprivileged_port_start"
По умолчанию там 1024
Можно сделать
sudo sh -c "echo 442 > /proc/sys/net/ipv4/ip_unprivileged_port_start"
Удаление
Удалить Syslog-коллектор можно с помощью команды:
sudo dpkg -P komrad-syslog-collector