Настройка отправки инцидентов по протоколу Syslog в формате CEF
Для обеспечения возможности отправки инцидента по Syslog в формате CEF:
Откройте конфигурационный файл komrad-server.yaml:
nano /etc/echelon/komrad/komrad-server.yaml
осторожно
Мы отключили возможность отправки по протоколу UDP по причине отсутствия гарантий доставки инцидентов, но в конфигурационном файле данный параметр присутствует
Задайте параметры:
komrad-server.yaml
# Конфигурация отправки инцидентов по Syslog в формате CEF.
# Возможна отправка на протокол TCP. Возможно включение шифрования передачи данных TLS.
syslog-cef:
- name: syslog CEF # Имя почтового сервера, используется для отображения в визуальном интерфейсе
idle-timeout: 30s # Время, через которое соединение будет разорвано, в случае отсутствия активных сообщений
dial-timeout: 30s
disable: true # Указать false, чтобы включить передачу инцидента в формате CEF
recipient: tcp://127.0.0.1:49000
hostname: komrad-node
mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
tls:
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
ServerName: "" # Имя сервера используется для проверки имени хоста в возвращённых сертификатах
disable: true # Указать false, чтобы включить TLS при передаче CEF
system-pool: true
framing: delimiter
retroindexationsegment: 24h
eventfieldscache:
cacheexpiration: 1m
widgets:
byseverityinterval: 168h0m0s
bystatusinterval: 24h0m0s
requesttimeout: 5s
updateinterval: 1h0m0s
reconnecttimeout: 5s
jwt:
secret: komrad
token-expiration: 1m
подсказка
В файле komrad-server-notification-mapping-syslog-cef.yaml раскомментируйте или закомментируйте те поля событий, которые необходимо передавать в событии. Список полей с описанием представлен в следующей таблице
Таблица - Список полей файла komrad-server-notification-mapping-syslog-cef.yaml
| Название поля | CEF | Описание |
|---|---|---|
| incident.ID | ECS.Event.ID | Номер инцидента |
| incident.DirectiveID | ECS.Rule.ID | Номер директивы |
| incident.AssignedTo | ECS.Rule.Author | Ответственный за инцидент |
| incident.InitialTime | ECS.Event.Start | Время первого события, из числа всех событий выявленного инцидента |
| incident.Recommendations | ECS.Threat.TechniqueReference | Рекомендации из директивы |
| incident.TenantID | ECS.Organization.ID | Идентификатор места установки коллектора |
| incident.Assets | ECS.Related.IP | IP-адреса активов |
| incident.HasErrors | ECS.Error.Message | Возможно ложное срабатывание или неправильно написано правило корреляции |
| incident.DirectiveName | ECS.Rule.Name | Имя директивы |
| incident.GosSOPKAIncidentType | ECS.Rule.Category | Тип инцидента из справочника |
| incident.RegistrationTime | ECS.Event.Ingested | Время регистрации инцидента менеджером инцидентов |
| incident.CloseTime | ECS.Event.End | Время закрытия инцидента |
| incident.StatusReason – характерен для IRP-систем, в ECS нет подходящего поля | ECS.Event.Reason | Причина (пояснение) установки того или иного статуса |
| incident.Description | ECS.Rule.Description | Описание инцидента, задаётся пользователем |
| incident.EventKeys | ECS.Related.Hash | События, благодаря которым был сгенерирован инцидент |
к сведению
Если инциденты не приходят на принимающий источник, про�верьте, может ли он принимать сообщения с узла, где стоит komrad-server echo "sample syslog" | nc target-host target-tcp-port
Отправка на несколько источников
Вы можете настроить отправку на насколько источников:
syslog-cef:
- name: syslog CEF
idle-timeout: 30s
dial-timeout: 30s
disable: true
recipient: tcp://[ip]:[port]
hostname: komrad-node
mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
tls:
TrustedCA: /var/lib/echelon/komrad/certs2/ca.pem
Cert: /var/lib/echelon/komrad/certs2/client.pem
CertKey: /var/lib/echelon/komrad/certs2/client-key.pem
ServerName: ""
disable: false
system-pool: false
framing: delimiter
- name: no_tls
idle-timeout: 30s
dial-timeout: 30s
disable: true
recipient: tcp://[ip]:[port]
hostname: komrad-node
mapping: /etc/echelon/komrad/komrad-server-notification-mapping-syslog-cef.yaml
tls:
TrustedCA: /var/lib/echelon/komrad/certs2/ca.pem
Cert: /var/lib/echelon/komrad/certs2/client.pem
CertKey: /var/lib/echelon/komrad/certs2/client-key.pem
ServerName: ""
disable: true
system-pool: false
framing: delimiter