Организация совместной работы KOMRAD Enterprise SIEM и Континент 4
Предварительные условия:
- Многофункциональный межсетевой экран (NGFW/UTM) с поддержкой алгоритмов ГОСТ Континент 4 уже настроен и работает
- Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
- Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Порядок настройки Континент 4
Откройте интерфейс менеджера конфигурации, затем подключитесь к ЦУСу (центр управления сетью). Перейдите во вкладку "Структура" и выберите узел безопасности, который будет отправлять логи. Далее перейдите в настройки узла безопасности, в окне выберите "Узел безопасности" ⇒ "Журналирование и оповещение". В открывшимся окне нажмите на кнопку "Добавить" и выберите состояние "Вкл", введите IP-адрес и порт машины KOMRAD
49000, для UDP порт: 49050), выберите протокол, рекомендуется SYSLOG (TCP). В поле "Детализация" можно выбрать нужный уровень детализации журналов, рекомендуем выбрать Высокий.
После этого нажимаем OK и устанавливаем политику на узлы, которые были выбраны для мониторинга. Для этого в верхнем левом углу выбираем Файл ⇒ Установить (или сочетание клавиш Ctrl+i). Выбираем нужные узлы безопасности и нажимаем OK.
После выполнения вышеуказанных действий Вы увидите приходящие события в KOMRAD:
Например, фильтр, который отслеживает события, информирующие о блокировке Dos-атаки или предупреждение о ней, может выглядеть так:
А директива, основанная на этом фильтре, может выглядеть так:
После срабатывания правила СОВ, которое относится к обнаружению или предотвращению Dos-атак, на узле безопасности, в KOMRAD Enterprise SIEM сработает директива
ETECS.Continent4.Обнаружена Dos-атака
Фильтры (37 шт.) и директивы корреляции (34 шт.) под источник событий можно скачать в рамках расширенной технической поддержки