Организация совместной работы KOMRAD Enterprise SIEM и StaffCop Enterprise
С помощью KOMRAD Enterprise SIEM можно получить информацию об инцидентах, зарегистрированных в StaffCop Enterprise, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между StaffCop Enterprise и KOMRAD Enterprise SIEM.
Настройка сервера StaffCop Enterprise для передачи информации в KOMRAD Enterprise SIEM
-
Подразумевается, что сервер StaffCop Enterprise настроен, развёрнут и функционирует в полном объёме, соответствующие политики для поиска инцидентов настроены. Убедитесь, пожалуйста, что была включена политика Syslog-коннектор, а также, что Вы включили и настроили Syslog-коллектор в KOMRAD Enterprise SIEM.
-
Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского ин�терфейса ⇒ О системе ⇒ Информация о лицензии)
-
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Настройка сервера для передачи информации о событиях KOMRAD Enterprise SIEM
Порядок настройки в StaffCop Enterprise:
-
Введите логин и пароль для входа в интерфейс командной строки сервера StaffCop Enterprise
-
Передача информации на сервер KOMRAD Enterprise SIEM выполняется сервисом
rsyslog. Нужно убедиться, что сервис установлен и запущен (активен). Это делается с помощью команды:service rsyslog statusЕсли сервис был установлен и запущен, то строка
active runningдолжна быть зелёного цвета.
-
Создадим конфигурационный файл
/etc/rsyslog.d/50-siem.confот имени суперпользователя:sudo nano /etc/rsyslog.d/50-siem.confи добавим в пустой файл строчку:
$RepeatedMsgReduction off
If $programname==’staffcop’ then @@<1>:<2>где <1> — IP-адрес хоста с Syslog-коллектором, на который нужно посылать события;
<2> — порт хоста с коллектором, на который нужно посылать события.
-
После этого шага необходимо перезапустить сервис
rsyslogкомандой:sudo service rsyslog restartЕсли команда не выведет ничего и сервер выдаст приглашение командной строки, значит, всё настроено правильно.
Пример интеграции Staffcop Enterprise и KOMRAD Enterprise SIEM
-
После завершения настройки сервера для передачи информации о событиях в KOMRAD Enterprise SIEM необходимо убедиться, что системная политика Syslog-коннектор (находится во вкладке Фильтры ⇒ Политики ⇒ Системные политики) активна, и был выбран формат передачи логов:
CEF.
На вкладке "Фильтр" настройте данные, которые будут передаваться в syslog-файл.
После этого, при обработке событий и этой политики один раз в 5 минут в файл
/var/log/syslogбудут помещаться события вида:support@ubuntu:~$ grep -i staffcop /var/log/syslog
Jan 29 12:53:44 ubuntu staffcop: time="Jan 29 09:53:09" event="InterceptedFile" computer="NB0202" user="user" app="None" data="Clipboard.png"
Jan 29 12:57:52 ubuntu staffcop: time="Jan 29 09:57:28" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"CEF-формат логов
Чтобы выгружать события в syslog-коннектор в формате
CEF, на вкладке "Свойства" установите галочку в разделе "Формат логов":CEF.По умолчанию, для выгрузки задан формат
CEF24.Чтобы выгружать данные в формате
CEF0:-
Откройте конфигурационный файл
etc/staffcop/config -
Добавьте строку
CEF_VERSION = '0'
Если строка
CEF_VERSION =уже существует, приведите её к вышеуказанному виду. -
-
Настроим политику «Приложения для удалённого доступа» (Политики ⇒ Категории приложений) в Staffcop Enterprise для передачи инцидента в KOMRAD Enterprise SIEM. Для этого необходимо в разделе «Категория» выбрать пункт «Инцидент» и активировать политику.
-
Сгенерируем инцидент на ПК агента, запустив приложение
AnyDesk. Это событие должно отобразиться в StaffCop Enterprise в интерфейсе веб-консоли.
-
На KOMRAD Enterprise SIEM сработает директива
ETECS.Staffcop Enterprise.Работа программ для удалённого доступа
Фильтры (15 шт.) и директивы корреляции (12 шт.) под источник событий можно скачать в рамках расширенной технической поддержки