Перейти к основному содержимому
Версия: 4.3.58

Настройка отправки инцидентов по протоколу Syslog в формате CEF

Для обеспечения возможности отправки инцидента по Syslog в формате CEF:

Откройте конфигурационный файл komrad-server.yaml:

nano /etc/echelon/komrad/komrad-server.yaml
осторожно

Мы отключили возможность отправки по протоколу UDP по причине отсутствия гарантий доставки инцидентов, но в конфигурационном файле данный параметр присутствует

Задайте параметры:

komrad-server.yaml

  # Конфигурация отправки инцидентов по Syslog в формате CEF.
# Возможна отправка на протокол TCP. Возможно включение шифрования передачи данных TLS.
syslog-cef:
- name: syslog CEF # Имя почтового сервера, используется для отображения в визуальном интерфейсе
idle-timeout: 30s # Время, через которое соединение будет разорвано, в случае отсутствия активных сообщений
dial-timeout: 30s
disable: true # Указать false, чтобы включить передачу инцидента в формате CEF
recipient: tcp://127.0.0.1:49000
hostname: komrad-node
mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
tls:
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
ServerName: "" # Имя сервера используется для проверки имени хоста в возвращённых сертификатах
disable: true # Указать false, чтобы включить TLS при передаче CEF
system-pool: true
framing: delimiter
retroindexationsegment: 24h
eventfieldscache:
cacheexpiration: 1m
widgets:
byseverityinterval: 168h0m0s
bystatusinterval: 24h0m0s
requesttimeout: 5s
updateinterval: 1h0m0s
reconnecttimeout: 5s
jwt:
secret: komrad
token-expiration: 1m
подсказка

В файле komrad-server-notification-mapping-syslog-cef.yaml раскомментируйте или закомментируйте те поля событий, которые необходимо передавать в событии. Список полей с описанием представлен в следующей таблице

Таблица - Список полей файла komrad-server-notification-mapping-syslog-cef.yaml

Название поляCEFОписание
incident.IDECS.Event.IDНомер инцидента
incident.DirectiveIDECS.Rule.IDНомер директивы
incident.AssignedToECS.Rule.AuthorОтветственный за инцидент
incident.InitialTimeECS.Event.StartВремя первого события, из числа всех событий выявленного инцидента
incident.RecommendationsECS.Threat.TechniqueReferenceРекомендации из директивы
incident.TenantIDECS.Organization.IDИдентификатор места установки коллектора
incident.AssetsECS.Related.IPIP-адреса активов
incident.HasErrorsECS.Error.MessageВозможно ложное срабатывание или неправильно написано правило корреляции
incident.DirectiveNameECS.Rule.NameИмя директивы
incident.GosSOPKAIncidentTypeECS.Rule.CategoryТип инцидента из справочника
incident.RegistrationTimeECS.Event.IngestedВремя регистрации инцидента менеджером инцидентов
incident.CloseTimeECS.Event.EndВремя закрытия инцидента
incident.StatusReason – характерен для IRP-систем, в ECS нет подходящего поляECS.Event.ReasonПричина (пояснение) установки того или иного статуса
incident.DescriptionECS.Rule.DescriptionОписание инцидента, задаётся пользователем
incident.EventKeysECS.Related.HashСобытия, благодаря которым был сгенерирован инцидент
к сведению

Если инциденты не приходят на принимающий источник, проверьте, может ли он принимать сообщения с узла, где стоит komrad-server echo "sample syslog" | nc target-host target-tcp-port

Отправка на несколько источников

Вы можете настроить отправку на насколько источников:

 syslog-cef:
- name: syslog CEF
idle-timeout: 30s
dial-timeout: 30s
disable: true
recipient: tcp://[ip]:[port]
hostname: komrad-node
mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
tls:
TrustedCA: /var/lib/echelon/komrad/certs2/ca.pem
Cert: /var/lib/echelon/komrad/certs2/client.pem
CertKey: /var/lib/echelon/komrad/certs2/client-key.pem
ServerName: ""
disable: false
system-pool: false
framing: delimiter
- name: no_tls
idle-timeout: 30s
dial-timeout: 30s
disable: true
recipient: tcp://[ip]:[port]
hostname: komrad-node
mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
tls:
TrustedCA: /var/lib/echelon/komrad/certs2/ca.pem
Cert: /var/lib/echelon/komrad/certs2/client.pem
CertKey: /var/lib/echelon/komrad/certs2/client-key.pem
ServerName: ""
disable: true
system-pool: false
framing: delimiter
осторожно

При отправке инцидентов в событии CEF сразу на два источника, при недоступности одного источника, на второй источник они тоже не будут отправлены