Перейти к основному содержимому
Версия: 4.5.X

Организация совместной работы KOMRAD Enterprise SIEM и системы "СКДПУ НТ Мониторинг и аналитика"

С помощью KOMRAD Enterprise SIEM можно получить информацию об инцидентах, зарегистрированных в СКДПУ НТ, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между системой контроля привилегированного доступа СКДПУ НТ и системой управления событиями информационной безопасности KOMRAD Enterprise SIEM.

Настройка передачи событий в KOMRAD Enterprise SIEM

Подразумевается, что системы СКДПУ НТ Мониторинг и аналитика и СКДПУ НТ Шлюз доступа развёрнуты и настроены на подконтрольных рабочих станциях, функционируют в полном объёме. Так как СКДПУ НТ Мониторинг и аналитика собирает информацию, транслируемую от СКДПУ НТ Шлюз доступа (далее СКДПУ) в Syslog, то необходимо подключить одну из машин СКДПУ к СКДПУ НТ Мониторинг и аналитика:

  1. Для интеграции с СКДПУ НТ Мониторинг и аналитика нужно произвести настройку на СКДПУ
  2. В СКДПУ заходим ⇒ Система ⇒ Интеграция с SIEM ⇒ Конфигурация Syslog
  3. В поле "Доменное имя или IP" вводим ip-адрес "СКДПУ НТ Мониторинг и аналитика"
  4. В поле "Протокол" вводим "tcp"
  5. В поле "Порт" для СКДПУ 5.0.X вводим "514"
  6. В поле "Порт" для СКДПУ выше 5ой версии вводим "515"
  7. В поле "Формат времени" вводим "rfc3164"
  8. В поле "Роутинг" вводим "Включено"
  9. Нажимаем "+" и "Применить":

1

Далее производим стандартную для СКДПУ первичную настройку пользователя (если нет готовой инфраструктуры с СКДПУ и настроенными соединениями), ресурсов, групп и запуск сессий. Информация о проведенном тестировании в СКДПУ в режиме онлайн будет обновляться в "СКДПУ НТ Мониторинг и аналитика". По итогу у Вас должно получиться примерно следующее:

2

Для передачи событий на KOMRAD Enterprise SIEM необходимо перейти в раздел "Настройки" ⇒ "Конфигурация журналирования", указав "IP-адрес KOMRAD", "порт 49000", "протокол TCP", "формат RFC", нужный фильтр (authorization, audit, sessions, incidents) ⇒ "Применить настройки":

3

После выполнения перечисленных настроек на KOMRAD Enterprise SIEM придут события:

4

Пример карточки события выглядит следующим образом:

5 6

Из данной карточки можно создать фильтр, например следующий:

7

На основе данного фильтра можно создать директиву:

8

После срабатывания директивы, инцидент выглядит следующим образом:

9

подсказка

Фильтры (30 шт.) и директивы корреляции (30 шт.) под источник событий можно скачать в рамках расширенной технической поддержки