Интеграция с Континент TLS server
Отправка событий по протоколу Syslog в KOMRAD
Предварительные условия:
- Континент TLS server уже настроен для работы
- Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор графического интерфейса ⇒ О программе ⇒ Информация о лицензии)
- Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Порядок настройк и в Continent TLS server
Настройка выполняется через Континент TLS client.
После перехода в UI-интерфейса управления TLS сервером - в боковом меню слева переходим в
Уровень детализации журналов: выставляйте в соответствии с внутренним регламентом (для детектирования инцидентов достаточно и минимального)
Протокол: TCP
Внешний адрес: IP-адрес KOMRAD
Порт: 49050 – UDP порт KOMRAD
Количество попыток подключения: по умолчанию или в зависимости от внутреннего регламента
Количество хранимых сжатых журналов: по умолчанию или в зависимости от внутреннего регламента
Максимальный размер журналов: по умолчанию или в зависимости от внутреннего регламента
Дополнительная регистрация событий: по умолчанию или в зависимости от внутреннего регламента
После выставления всех настроек необходимо нажать Сохранить
.
Пример фильтра:
Пример директивы:
После срабатывания директивы инцидент выглядит следующим образом:
Отправка событий по протоколу SNMP в KOMRAD
При желании, Континент TLS имеет возможность отправки статистики по протоколу SNMP.
Предварительные условия:
- Континент TLS server уже настроен для работы
- Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор графического интерфейса ⇒ О программе ⇒ Информация о лицензии)
- Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Настройка в Континент TLS server
Настройка выполняется через Continent TLS client.
После перехода в UI-интерфейса управления TLS сервером - в боковом меню слева переходим в
Необходимо включить сам SNMP-сервер и выбрать необходимую версию.
Имя до мена SNMP: укажите имя домена SNMP и сеть (public является общедоступным)
Авторизованная сеть: ваша сеть
При включении версии SNMPv3 необходимо будет ввести имя пользователя и пароль. В области "Дополнительно" укажите месторасположение Сервера и e-mail администратора.
В настройках доступа проставьте все разделы статистики, которые необходимо собирать сервером.
После этого, в графическом интерфейсе KOMRAD необходимо перейти в
Включите коллектор переключением тумблера вкл./выкл., перейдите в его настройки и добавьте новый источник.
Импортируйте предварительно добавленный в ручном режиме или обнаруженный в автоматическом режиме актив с SNMP-сервером, выберите протокол UDP, порт 161 и выберите версию SNMP 3, после чего заполните поля с именем пользователя и паролем, заданными ранее на TLS сервере.
Если есть необходимость собирать статистику не целыми журналами, а отдельными пунктами, то в поля Get
и Walk
можно ввести интересующие Вас OID и настроить временной промежуток, при котором будет собираться статистика.
Для примера, рассмотрим ситуацию, где необходимо собирать только количество активных подключений к TLS-прокси, TLS-туннелю и количество неудачных TCP-соединений. Для этого введем 3 соответствующих OID.
Полный список доступных OID можно запросить у ООО «Код Безопасности».
Для использования значения полей, полученных методом сбора по SNMP в цикле поиска событий-получения инцидентов - необходимо в карточке события добавить Поле соответствующего OID как Пользовательское поле.
Фильтры (10 шт.) и директивы (10 шт.) корреляции под данный источник событий можно скачать в рамках расширенной технической поддержки