Организация совместной работы KOMRAD Enterprise SIEM и Программного комплекса «Стахановец»
С помощью KOMRAD Enterprise SIEM можно получить информацию из журналов событий информационной безопасности, регистрируемых программным комплексом «Стахановец» версии 10 (далее - DLP «Стахановец»).
Для этого необходимо настроить взаимодействие KOMRAD Enterprise SIEM и DLP «Стахановец».
Предварительные условия
-
Подразумевается, что DLP «Стахановец» настроен и развёрнут в сетевом варианте
-
Наличие лицензии (разрешения) на использование SQL-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
-
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Настройка сбора с базы данных DLP «Стахановец» с помощью SQL-коллектора
Для настройки сбора необходимо выполнить следующие действия:
-
Настроить сбор с БД в соответствии с инструкцией
-
Указать следующие параметры добавления нового источника:
-
Тип БД -
Microsoft SQL Server
-
Шаблон - Оставить поле пустым
-
Название -
Пользовательское название
-
Строка подключения - необходимо указать
логин и пароль
пользователя, имеющего доступ к БД DLP «Стахановец», а такжеIP-адрес
узла, на котором функционирует БД DLP «Стахановец» иНазвание БД DLP «Стахановец»
предупреждениеПараметр
Название БД DLP «Стахановец»
нечувствителен к региструподсказкаПример строки подключения:
sqlserver://Boss:boss@10.0.12.86?database=stkh
В качестве инициализирующего запроса необходимо указать следующую конструкцию:
SELECT MAX(row_auto_increment)-1 AS "ECS.Event.ID"
FROM TReportUserEventsВ качестве регулярного запроса необходимо указать следующую конструкцию:
SELECT TOP 1000
row_auto_increment AS "ECS.Event.ID",
event_type
FROM TReportUserEvents
WHERE row_auto_increment > $1 -
Название поля-счетчика -
ECS.Event.ID
-
Расписание запросов -
Пользовательское значение
, например,Каждую минуту
- Нажать кнопку
Проверить
, после чего должно отобразиться первое событие из таблицыTReportUserEvents
, подходящее под написанный регулярный запрос:
- Нажать кнопку
Сохранить
Поскольку в процессе функционирования DLP «Стахановец» различные события информационной безопасности распределяются в две таблицы, то необходимо добавить еще один источник в KOMRAD. Для добавления второго источника необходимо проделать те же действия, используя при этом следующие инициализирующий:
SELECT MAX(row_auto_increment)-1 AS "ECS.Event.ID"
FROM TReportCompEvents
и регулярный запросы:
SELECT TOP 1000
row_auto_increment AS "ECS.Event.ID",
event_type
FROM TReportCompEvents
WHERE row_auto_increment > $1
После сохраненеия новые источники событий информационной безопасности должны отображаться во вкладке Источникики
:
После сохраненеия новых источников событий информационной безопасности в течение нескольких секунд должно отобразиться событие, аналогичное отобразившемуся при нажатии на кнопку Проверить
. Пример карточки события:
В карточке события можно создать фильтр, например, следующий:
На основе фильтра можно создать директиву, например:
При срабатывании директивы отображается всплывающее сообщение об обнаруженном инциденте:
Карточка инцидента выглядит следующим образом:
Под все типы событий DLP «Стахановец» составлены фильтры и директивы, после установки пакета рекомендуем включать только то, что необходимо. Фильтры и директивы корреляции под источник событий можно скачать в рамках расширенной технической поддержки