Организация совместной работы KOMRAD Enterprise SIEM и Киберпротект Кибер Бэкап

Кибер Бэкап — российская система резервного копирования и восстановления данных с защитой от вирусов-шифровальщиков.

С помощью KOMRAD Enterprise SIEM можно получить информацию об инцидентах, зарегистрированных в Кибер Бэкап, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между агентом Кибер Бэкап и KOMRAD Enterprise SIEM.

Настройка агента Кибер Бэкап для передачи информации в KOMRAD Enterprise SIEM

Подразумевается, что агенты Кибер Бэкап развёрнуты на подконтрольных рабочих станциях и функционируют в полном объёме, соответствующие политики настроены.

к сведению

Убедитесь, что установлен Агент журнала событий Windows (WMI), включён и настроен WMI-коллектор в KOMRAD Enterprise SIEM, включён журнал Application и максимальный уровень логирования:

Настройка WMI для отправки событий в KOMRAD Enterprise SIEM

Для того, чтобы включить отправку событий, необходимо внести следующие изменения в Кибер Бэкап:

1. В разделе "Настройки агента" ⇒ "Настройки системы" ⇒ "Параметры резервного копирования по умолчанию" ⇒ "Журнал событий Windows" необходимо включить и выбрать тип событий для записи в журнал Windows:

   

   В данном разделе указаны настройки по умолчанию, действующие на все вновь создаваемые планы. Здесь настройка Журнал событий Windows аналогична такой же настройке в любом из планов резервного копирования — записывает в журнал событий приложений Windows события, происходящие при выполнении плана резервного копирования, в котором она активирована.

   По умолчанию настройка Журнал событий Windows отключена. Если в разделе "Настройки" ⇒ "Настройки системы" ⇒ "Параметры резервного копирования" Вы активируете настройку Журнал событий Windows, то это будет действовать на все вновь создаваемые планы, но в ранее созданных планах данная настройка не применится, необходимо активировать её вручную. Для активации необходимо перейти в раздел "Планы" ⇒ "Защита" ⇒ "Параметры резервного копирования" ⇒ "Журнал событий Windows":

   

2. Настройка Журнал событий Windows относится только к плану резервного копирования и к событиям, которые происходят при выполнении плана резервного копирования. Любые иные события, которые видны в разделе "Панель мониторинга" ⇒ "Действия" данная настройка не записывает в журнал событий приложений Windows. Соответственно, только следующие события могут отображаться в журнале просмотра событий:

   

3. После включения журнала Application на KOMRAD Enterprise SIEM данные события придут на SIEM:

   

   Пример карточки события выглядит следующим образом:

   

   Из данной карточки можно создать, например, следующий фильтр:

   

   На основе данного фильтра можно создать директиву:

   

   После срабатывания директивы, инцидент будет выглядеть следующим образом: