Интеграция с Сканером ВС 6.0
Отправка событий по протоколу Syslog в KOMRAD
Предварительные условия:
- Сканер ВС уже установлен и настроен для работы
- Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
- Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Порядок настройки в сканер ВС 6.0:
-
Откройте файл конфигурации Сканера
sudo nano /etc/echelon/scanner/scanner.yaml -
В файле раскомментируйте следующие строки, а также укажите адрес KOMRAD:
syslogger:
- sink: "syslog:tcp://IP_KOMRAD:49000"
levels:
- all -
Выполните перезапуск сервиса:
sudo systemctl restart scanner
После выполнения вышеуказанных действий вы увидите приходящие события в KOMRAD.
Регулярное выражение для нормализации событий со Сканера:
json:ECS.Base.Message::all
Пример исходного события:
<134>1 2024-02-29T08:50:08.901315+03:00 localhost scanner 1837 - - {"log.level":"info","@timestamp":"2024-02-29T08:50:08.901+0300","log.logger":"vuln.vuln","message":"scanner vulnerability","service":{"name":"scanner","version":"(devel)"},"tags":["forwarded"],"event":{"kind":["event"],"category":["vulnerability"],"type":["info"],"outcome":"unknown","dataset":"scannervs.vuln","module":"scannervs","timezone":"MSK"},"host":{"hostname":"komrad-guide","name":"komrad-guide (10.0.12.73)","id":"60","ip":["10.0.12.73"],"mac":[""],"type":"unspecified"},"vulnerability":{"classification":"CVSS3","enumeration":"CVE","score.base":"9.800000","id":"CVE-2023-42299","scanner.vendor":"echelon/scanner-vs","severity":"critical","report_id":"135"},"ecs.version":"1.6.0"}
к сведению
Фильтры (16 шт.), директивы корреляции (12 шт.), пользовательские поля нормализации (7 шт.) и плагин под источник событий доступны в бесплатном пакете экспертиз
подсказка
Для корректной работы директив корреляции на Сканер-ВС 6 из бесплатного пакета экспертиз не забудьте включить плагин "Сканер-ВС 6" на Syslog-коллекторе!