Организация совместной работы KOMRAD Enterprise SIEM и САЗ RedCheck
С помощью KOMRAD Enterprise SIEM можно получить информацию о работе САЗ RedCheck (далее – RedCheck).
Предварительные условия:
-
Подразумевается, что
RedCheck
настроен и развёрнут в варинтеDesktop
, либо в вариантеWeb
-
Наличие лицензии (разрешения) на использование SQL-коллектора в KOMRAD (см. Обзор пользовательского интерфейса О программе ⇒ Информация о лицензии)
-
Отсутствую т какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Настройка доступа к БД RedCheck с Microsoft SQL Server
Убедитесь, что для SQL Server
включён протокол TCP/IP. Для этого на машине с БД RedCheck откройте программу SQL Server Configuration Manager, далее SQL Server Network Configuration (в русском варианте - "Сетевая конфигурация SQL Server"), Protocols for SQLEXPRESS (Протоколы для MSSQLSERVER), TCP/IP, нажмите правой кнопкой мыши и зайдите в "Свойства", укажите Enabled - Yes ("Включено" ⇒ "Да"):
Укажите Listen All Yes ("Прослушивать все" ⇒ "Да"), а на вкладке IP Adresses (IP-адреса) в подразделе IPAII укажите TCP Port - 1433:
Настройка доступа к БД RedCheck с PostgreSQL
Для сбора SQL-коллектором событий с БД RedCheck
настройте параметры подключения к PostgreSQL с другой машины. В файле postgresql.conf (стандартное расположение C:\Program Files\PostgreSQL\"номер_версии"\data
) раскомментируйте строку, содержащую listen_addresses = localhost
. Укажите listen_addresses = '*'
, либо укажите 2 IP адреса – машины с RedCheck и машины с KOMRAD Enterprise SIEM:
Сохраните файл и закройте его. В файле pg_hba.conf (стандартное расположение
C:\Program Files\PostgreSQL\"номер_версии"\data
) после последней строки файла с новой строки добавить:host all postgres `IP-адрес_KOMRAD`/32 md5
Сохраните файл и закройте его, после чего перезапустите службу postgresql-"номер_версии"
скриптом
C:\Program Files\PostgreSQL\"номер_версии"\scripts\restart
, либо через Диспетчер задач
, вкладка Службы
:Настройка сбора с базы данных RedCheck с помощью SQL-кол лектора
Для настройки сбора с БД RedCheck воспользуйтесь инструкцией.
Укажите следующие параметры добавления нового источника:
-
Тип БД – Microsoft SQL Server либо PostgreSQL в зависимости от выбранного типа БД на этапе установки RedCheck
-
Шаблон – оставьте поле пустым
-
Название – укажите на своё усмотрение
-
Строка подключения – укажите логин и пароль пользователя, имеющего доступ к БД
RedCheck
, а также IP-адрес машины с БД, название БД RedCheck (для PostgreSQL запись чувствительна к регистру)
Пример строки подключения:
sqlserver://sqluser:sqlpassword@192.168.78.140?database=RedCheck
или:
postgres://postgres:pass@192.168.15.25/RedCheck