Организация совместной работы KOMRAD Enterprise SIEM и Secret Net Studio

С помощью KOMRAD Enterprise SIEM можно получить информацию из журнала тревог

Secret Net Studio (далее – SNS)

Предварительные условия:

• Подразумевается, что SNS настроен и развёрнут в сетевом варианте
• Наличие лицензии (разрешения) на использование SQL-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
• Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

Настройка доступа к БД SN7_SERVER_SCHEMA

Убедитесь, что для SQL Server включён протокол TCP/IP. Для этого на машине с БД SN7_SERVER_SCHEMA откройте программу SQL Server Configuration Manager, далее SQL Server Network Configuration (в русском варианте - "Сетевая конфигурация SQL Server"), Protocols for SQLEXPRESS (Протоколы для MSSQLSERVER), TCP/IP, нажмите правой кнопкой мыши и зайдите в "Свойства", укажите Enabled - Yes ("Включено" ⇒ "Да"):

Укажите Listen All Yes ("Прослушивать все" ⇒ "Да"), а на вкладке IP Adresses (IP-адреса) в подразделе IPAII укажите TCP Port - 1433:

Настройка сбора с базы данных SN7_SERVER_SCHEMA с помощью SQL-коллектора

Для настройки сбора с БД SN7_SERVER_SCHEMA воспользуйтесь инструкцией

Укажите следующие параметры добавления нового источника:

1. Тип БД – Microsoft SQL Server

2. Шаблон – оставьте поле пустым

3. Название – укажите на своё усмотрение

4. Строка подключения – укажите данные логин и пароль пользователя, имеющего доступ к БД SN7_SERVER_SCHEMA, а также IP-адрес машины с БД, название БД SN7_SERVER_SCHEMA (запись нечувствительна к регистру). В случае получения ошибки TLS Handshake failed — отключите TLS, дописав в конец строки подключения &encrypt=disable.

Пример строки подключения:

sqlserver://sqluser:P@ssw0rd@192.168.78.131?database=sn7_server_schema&encrypt=disable

В качестве инициализирующего запроса укажите следующее:

SELECT MAX([UaID])-1 as "ECS.Event.ID"
 FROM [SN7_SERVER_SCHEMA].[dbo].[SERVICEUALOG]

В качестве регулярного запроса укажите следующее:

SELECT TOP 1000
 UaID AS "ECS.Event.ID",
 TIMEGENERATED AS "ECS.Event.Created",
 TIMEWRITTEN AS "ECS.Event.Ingested",
 EVENTID AS "ECS.Event.Code",
 EVENTMESSAGE AS "ECS.Base.Message",
 TYPEDESCRIPTION AS "ECS.Rule.Description",
 COMPUTERNAME AS "ECS.Host.Name",
 USERNAME AS "ECS.User.Name",
 USERDOMAINNAME AS "ECS.User.Domain",
 THREATLEVEL AS "ECS.Event.Severity"
 FROM [SN7_SERVER_SCHEMA].[dbo].[SERVICEUALOG]
WHERE UaID > $1

Название поля-счётчика – ECS.Event.ID

Расписание запросов – укажите на своё усмотрение, например, каждую минуту.

Нажмите кнопку «Проверить», должно отобразиться первое событие из таблицы SERVICEUALOG, подходящее под написанный регулярный запрос:

Нажмите "Сохранить":

После сохранения в течение нескольких секунд придёт событие, отобразившееся ранее при нажатии "Проверки". Пример карточки события:

Из данной карточки можно создать фильтр, например, следующий:

На основе данного фильтра можно создать директиву:

После срабатывания директивы инцидент выглядит следующим образом:

подсказка

Фильтры (21) и директивы корреляции (18) под источник событий можно скачать в рамках расширенной технической поддержки