Перейти к основному содержимому
Версия: 4.3.58

Организация совместной работы KOMRAD Enterprise SIEM и Secret Net LSP 1.12

С помощью KOMRAD Enterprise SIEM (далее - KOMRAD) можно получать события от источника Secret Net LSP (далее – SN LSP).

Программный продукт SN LSP предназначен для защиты от НСД к информационным ресурсам компьютеров, функционирующих под управлением дистрибутивов Linux.

Предварительные условия:

Настройка передачи событий в KOMRAD

Источник SN LSP поддерживает запись и отправку событий стандарта syslog. На источнике используется служба журналирования syslog-ng. Для отправки событий нужно настроить конфигурационный файл службы syslog-ng, указать в нем IP-адрес и tcp порт KOMRAD. Чтобы настроить конфигурационный файл службы:

  1. Откройте конфигурационный файл на хосте, где установлен SN LSP /opt/secretnet/etc/syslog-ng/syslog-ng.conf;
  2. Укажите в конце файла следующее:
destination console_all { tcp("<IP-адрес KOMRAD>" port(49000)); };
log { source(src_main); destination(console_all); };

1

  1. Сохраните изменения и закройте файл.
  2. Перезапустите рабочую станцию, на которой установлен клиент SN LSP. Конфигурационный файл службы настроен.

После выполнения перечисленных настроек на KOMRAD придут события:

2

Пример карточки события выглядит следующим образом:

3

4

5

Из данной карточки можно создать фильтр, например следующий:

6

На основе данного фильтра можно создать директиву:

7

После срабатывания директивы, инцидент выглядит следующим образом:

8

подсказка

Фильтры (20 шт.) и директивы корреляции (20 шт.) под источник событий можно скачать в рамках расширенной технической поддержки