Версия: 4.5.X

Организация совместной работы KOMRAD Enterprise SIEM и системы "СКДПУ НТ Мониторинг и аналитика"

С помощью KOMRAD Enterprise SIEM можно получить информацию об инцидентах, зарегистрированных в СКДПУ НТ, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между системой контроля привилегированного доступа СКДПУ НТ и системой управления событиями информационной безопасности KOMRAD Enterprise SIEM.

Настройка передачи событий в KOMRAD Enterprise SIEM

Подразумевается, что системы СКДПУ НТ Мониторинг и аналитика и СКДПУ НТ Шлюз доступа развёрнуты и настроены на подконтрольных рабочих станциях, функционируют в полном объёме. Так как СКДПУ НТ Мониторинг и аналитика собирает информацию, транслируемую от СКДПУ НТ Шлюз доступа (далее СКДПУ) в Syslog, то необходимо подключить одну из машин СКДПУ к СКДПУ НТ Мониторинг и аналитика:

Для интеграции с СКДПУ НТ Мониторинг и аналитика нужно произвести настройку на СКДПУ
В СКДПУ заходим ⇒ Система ⇒ Интеграция с SIEM ⇒ Конфигурация Syslog
В поле "Доменное имя или IP" вводим ip-адрес "СКДПУ НТ Мониторинг и аналитика"
В поле "Протокол" вводим "tcp"
В поле "Порт" для СКДПУ 5.0.X вводим "514"
В поле "Порт" для СКДПУ выше 5ой версии вводим "515"
В поле "Формат времени" вводим "rfc3164"
В поле "Роутинг" вводим "Включено"
Нажимаем "+" и "Применить":

Далее производим стандартную для СКДПУ первичную настройку пользователя (если нет готовой инфраструктуры с СКДПУ и настроенными соединениями), ресурсов, групп и запуск сессий. Информация о проведенном тестировании в СКДПУ в режиме онлайн будет обновляться в "СКДПУ НТ Мониторинг и аналитика". По итогу у Вас должно получиться примерно следующее:

Для передачи событий на KOMRAD Enterprise SIEM необходимо перейти в раздел "Настройки" ⇒ "Конфигурация журналирования", указав "IP-адрес KOMRAD", "порт 49000", "протокол TCP", "формат RFC", нужный фильтр (authorization, audit, sessions, incidents) ⇒ "Применить настройки":