Организация совместной работы KOMRAD Enterprise SIEM и САЗ RedCheck
С помощью KOMRAD Enterprise SIEM можно получить информацию о работе САЗ RedCheck (далее – RedCheck).
Предварительные условия:
- Подразумевается, что
RedCheckнастроен и развёрнут - Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Способы настройки передачи событий
Передача событий из RedCheck в KOMRAD SIEM может быть осуществлена одним из следующих способов:
- Способ 1 — посредством встроенных настроек RedCheck;
- Способ 2 — с использованием программного средства
syslog-ng.
Способ 1. Настройка передачи событий через интерфейс RedCheck
В главном меню RedCheck последовательно выбрать пункты: Инструменты → Настройки → Логирование
Заполните IP-адрес сервера KOMRAD и порт (стандартный для UDP – 49050). Выставите нужный уровень логирования.
При необходимости уровень логирования может быть настроен для каждого компонента RedCheck отдельно.
Способ 2. Настройка передачи событий с помощью syslog-ng
Откройте для редактирования файл конфигурации syslog-ng:
nano /etc/syslog-ng/conf.d/redcheck.conf
Внесите в указанный файл следующее содержимое:
@version: 3.38
source s_redcheck_api { file("/var/opt/redcheck-api/log/*.log" program-override("redcheck-api")); };
source s_redcheck_cleanup { file("/var/opt/redcheck-cleanup-service/log/*.log" program-override("redcheck-cleanup")); };
source s_redcheck_client { file("/var/opt/redcheck-client/log/*.log" program-override("redcheck-client")); };
source s_redcheck_common { file("/var/opt/redcheck-common/log/*.log" program-override("redcheck-common")); };
source s_redcheck_scan { file("/var/opt/redcheck-scan-service/log/*.log" program-override("redcheck-scan")); };
source s_redcheck_sync { file("/var/opt/redcheck-sync-service/log/*.log" program-override("redcheck-sync")); };
destination d_remote { network("10.0.0.1" port(49000) transport("tcp"));};
log {
source(s_redcheck_api);
source(s_redcheck_cleanup);
source(s_redcheck_client);
source(s_redcheck_common);
source(s_redcheck_scan);
source(s_redcheck_sync);
destination(d_remote);
};
В параметре network необходимо указать фактический IP-адрес сервера KOMRAD, а в параметре port — соответствующий порт приёма событий.
Сохраните внесённые изменения и закройте файл.
Перезапустить службу syslog-ng для применения конфигурации:
systemctl restart syslog-ng
Настройка для пакета экспертиз ETECS.RedCheck
Для корректной работы пакета экспертиз ETECS.RedCheck достаточно обеспечить сбор событий из журнала /var/opt/redcheck-api/log.
Настройка может быть выполнена одним из следующих способов.
Через веб-интерфейс RedCheck:
Через настройку syslog-ng:
В файле /etc/syslog-ng/conf.d/redcheck.conf
Добавьте строки:
@version: 3.38
source s_redcheck_api { file("/var/opt/redcheck-api/log/*.log" program-override("redcheck-api")); };
destination d_remote { network("10.0.0.1" port(49000) transport("tcp"));};
log { source(s_redcheck_api); destination(d_remote); };
Пакет экспертиз под источник событий можно скачать в рамках расширенной технической поддержки