Перейти к основному содержимому
Версия: 4.3.58

Интеграция с Сканером ВС 6.0

Отправка событий по протоколу Syslog в KOMRAD

Предварительные условия:

Порядок настройки в сканер ВС 6.0:

  1. Откройте файл конфигурации Сканера

    sudo nano /etc/echelon/scanner/scanner.yml
  2. В файле раскомментируйте следующие строки, а также укажите адрес KOMRAD:

    syslogger:

    - sink: "syslog:tcp://IP_KOMRAD:49000"
    levels:
    - all
  3. Выполните перезапуск сервиса:

    sudo systemctl restart scanner

После выполнения вышеуказанных действий вы увидите приходящие события в KOMRAD.

Регулярное выражение для нормализации событий со Сканера:

json:ECS.Base.Message::all

Пример исходного события:

<134>1 2024-02-29T08:50:08.901315+03:00 localhost scanner 1837 - - {"log.level":"info","@timestamp":"2024-02-29T08:50:08.901+0300","log.logger":"vuln.vuln","message":"scanner vulnerability","service":{"name":"scanner","version":"(devel)"},"tags":["forwarded"],"event":{"kind":["event"],"category":["vulnerability"],"type":["info"],"outcome":"unknown","dataset":"scannervs.vuln","module":"scannervs","timezone":"MSK"},"host":{"hostname":"komrad-guide","name":"komrad-guide (10.0.12.73)","id":"60","ip":["10.0.12.73"],"mac":[""],"type":"unspecified"},"vulnerability":{"classification":"CVSS3","enumeration":"CVE","score.base":"9.800000","id":"CVE-2023-42299","scanner.vendor":"echelon/scanner-vs","severity":"critical","report_id":"135"},"ecs.version":"1.6.0"}
к сведению

Фильтры (16 шт.), директивы корреляции (12 шт.), пользовательские поля нормализации (7 шт.) и плагин под источник событий доступны в бесплатном пакете экспертиз

подсказка

Для корректной работы директив корреляции на Сканер-ВС 6 из бесплатного пакета экспертиз не забудьте включить плагин "Сканер-ВС 6" на Syslog-коллекторе!