Организация совместной работы KOMRAD Enterprise SIEM и системы "СКДПУ НТ Мониторинг и аналитика"
С помощью KOMRAD Enterprise SIEM можно получить информацию об инцидентах, зарегистрированных в СКДПУ НТ, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между системой контроля привилегированного доступа СКДПУ НТ и системой управления событиями информационной безопасности KOMRAD Enterprise SIEM.
Настройка передачи событий в KOMRAD Enterprise SIEM
Подразумевается, что системы СКДПУ НТ Мониторинг и аналитика и СКДПУ НТ Шлюз доступа развёрнуты и настроены на подконтрольных рабочих станциях, функционируют в полном объёме. Так как СКДПУ НТ Мониторинг и аналитика собирает информацию, транслируемую от СКДПУ НТ Шлюз доступа (далее СКДПУ) в Syslog, то необходимо подключить одну из машин СКДПУ к СКДПУ НТ Мониторинг и аналитика:
- Для интеграции с
СКДПУ НТ Мониторинг и аналитиканужно произвести настройку на СКДПУ - В СКДПУ заходим ⇒ Система ⇒ Интеграция с SIEM ⇒ Конфигурация Syslog
- В поле "Доменное имя или IP" вводим ip-адрес "СКДПУ НТ Мониторинг и аналитика"
- В поле "Протокол" вводим "tcp"
- В поле "Порт" для СКДПУ 5.0.X вводим "514"
- В поле "Порт" для СКДПУ выше 5ой версии вводим "515"
- В поле "Формат времени" вводим "rfc3164"
- В поле "Роутинг" вводим "Включено"
- Нажимаем "+" и "Применить":
-83a569db489e72af160620d3a1e62406.jpg)
Далее производим стандартную для СКДПУ первичную настройку пользователя (если нет готовой инфраструктуры с СКДПУ и настроенными соединениями), ресурсов, групп и запуск сессий. Информация о проведенном тестировании в СКДПУ в режиме онлайн будет обновляться в "СКДПУ НТ Мониторинг и аналитика". По итогу у Вас должно получиться примерно следующее:
-13ed309b64d028be7daec39f83b29118.jpg)
Для передачи событий на KOMRAD Enterprise SIEM необходимо перейти в раздел "Настройки" ⇒ "Конфигурация журналирования", указав "IP-адрес KOMRAD", "порт 49000", "протокол TCP", "формат RFC", нужный фильтр (authorization, audit, sessions, incidents) ⇒ "Применить настройки":
-8ce51bc65daad1602f73a4f49fc23878.jpg)
После выполнения перечисленных настроек на KOMRAD Enterprise SIEM придут события:
-e9b2e007a3e7b88175e1344977f1e51c.jpg)
Пример карточки события выглядит следующим образом:
-bb0f96741570ef7c0c1c862e20e1f17d.jpg)
-8477f64e1f57d984bf709e1369ed6469.jpg)
Из данной карточки можно создать фильтр, например следующий:
-4df8d5fcb40eec86029c544052e5c08d.png)
На основе данного фильтра можно создать директиву:
-c292c143fe27979c97d90bf8f728afbf.jpg)
После срабатывания директивы, инцидент выглядит следующим образом:
-a035b8dbf2932e80f0ae9ffa9c63b097.jpg)
Фильтры (30 шт.) и директивы корреляции (30 шт.) под источник событий можно скачать в рамках расширенной технической поддержки