Организация совместной работы KOMRAD Enterprise SIEM и Secret Net LSP 1.12
С помощью KOMRAD Enterprise SIEM (далее - KOMRAD) можно получать события от источника Secret Net LSP (далее – SN LSP).
Программный продукт SN LSP предназначен для защиты от НСД к информационным ресурсам компьютеров, функционирующих под управлением дистрибутивов Linux.
Предварительные условия:
- Подразумевается, что
SN LSPнастроен и развёрнут в инфраструктуре - Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
- Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Настройка передачи событий в KOMRAD
Источник SN LSP поддерживает запись и отправку событий стандарта syslog. На источнике используется служба журналирования syslog-ng. Для отправки событий нужно настроить конфигурационный файл службы syslog-ng, указать в нем IP-адрес и tcp порт KOMRAD.
Чтобы настроить конфигурационный файл службы:
- Откройте конфигурационный файл на хосте, где установлен
SN LSP/opt/secretnet/etc/syslog-ng/syslog-ng.conf; - Укажите в конце файла следующее:
destination console_all { tcp("<IP-адрес KOMRAD>" port(49000)); };
log { source(src_main); destination(console_all); };
- Сохраните изменения и закройте файл.
- Перезапустите рабочую станцию, на которой установлен клиент
SN LSP. Конфигурационный файл службы настроен.
После выполнения перечисленных настроек на KOMRAD придут события:
Пример карточки события выглядит следующим образом:
Из данной карточки можно создать фильтр, например следующий:
На основе данного фильтра можно создать директиву:
После срабатывания директивы, инцидент выглядит следующим образом:
Фильтры (20 шт.) и директивы корреляции (20 шт.) под источник событий можно скачать в рамках расширенной технической поддержки