Интеграция с Сканером ВС 6.0

Отправка событий по протоколу Syslog в KOMRAD

Предварительные условия:

• Сканер-ВС уже установлен и настроен для работы
• Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
• Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

Порядок настройки в Сканер-ВС 6.0:

1. Откройте файл конфигурации Сканера

   sudo nano /etc/echelon/scanner/scanner.yml

2. В файле раскомментируйте следующие строки, а также укажите адрес KOMRAD:

   syslogger:
   
       - sink: "syslog:tcp://IP_KOMRAD:49000"
         levels:
             - all

3. Выполните перезапуск сервиса:

   sudo systemctl restart scanner

После выполнения вышеуказанных действий вы увидите приходящие события в KOMRAD.

подсказка

Также можно настроить Сканер-ВС 6.0 на отправку событий сразу в несколько развернутых KOMRAD. Для этого необходимо в секции syslogger конфигурационного файла scanner.yml дополнительно добавить необходимое количество указанных в шаге 2 блоков с указанием корректных IP-адресов, по которым доступны развернутые KOMRAD, например:

 syslogger:
  - sink: "syslog:tcp://FIRST_SIEM_IP:49000"
    levels:
        - all

  - sink: "syslog:tcp://SECOND_SIEM_IP:49000"
    levels:
        - all

Регулярное выражение для нормализации событий со Сканера:

json:ECS.Base.Message::all

Пример исходного события:

<134>1 2024-02-29T08:50:08.901315+03:00 localhost scanner 1837 - - {"log.level":"info","@timestamp":"2024-02-29T08:50:08.901+0300","log.logger":"vuln.vuln","message":"scanner vulnerability","service":{"name":"scanner","version":"(devel)"},"tags":["forwarded"],"event":{"kind":["event"],"category":["vulnerability"],"type":["info"],"outcome":"unknown","dataset":"scannervs.vuln","module":"scannervs","timezone":"MSK"},"host":{"hostname":"komrad-guide","name":"komrad-guide (10.0.12.73)","id":"60","ip":["10.0.12.73"],"mac":[""],"type":"unspecified"},"vulnerability":{"classification":"CVSS3","enumeration":"CVE","score.base":"9.800000","id":"CVE-2023-42299","scanner.vendor":"echelon/scanner-vs","severity":"critical","report_id":"135"},"ecs.version":"1.6.0"}

к сведению

Фильтры (16 шт.), директивы корреляции (12 шт.), пользовательские поля нормализации (7 шт.) и плагин под источник событий доступны в бесплатном пакете экспертиз

подсказка

Для корректной работы директив корреляции на Сканер-ВС 6 из бесплатного пакета экспертиз не забудьте включить плагин "Сканер-ВС 6" на Syslog-коллекторе!