Организация совместной работы KOMRAD Enterprise SIEM и Dallas Lock 8.0-К
С помощью KOMRAD Enterprise SIEM можно получать информацию о событиях журналов Dallas Lock 8.0-К, но для этого должно быть настроено взаимодействие между сервером безопасности Dallas Lock и системой управления событиями информационной безопасности KOMRAD Enterprise SIEM.
Настройка передачи событий в KOMRAD Enterprise SIEM
-
Для выгрузки журналов существует специальная политика «Выгрузка журналов». Чтобы ее настроить, необходимо запустить консоль СБ, перейти на вкладку Параметры безопасности домена ⇒ Аудит, политика «Выгрузка журналов»:
-
В окне настройки политики указать параметры KOMRAD (IP-адрес KOMRAD, Порт 49000 и формат выгрузки CEF), а также перечень журналов, которые необходимо выгружать, и периодичность выгрузки:
-
Далее нужно произвести синхронизацию Сервера безопасности и клиентов. После выполнения вышеуказанных настроек клиенты будут отправлять свои журналы в SIEM-систему.
Пример создания правила корреляции Dallas Lock 8.0-К + KOMRAD Enterprise SIEM
События направленные на KOMRAD Enterprise SIEM:
Пример карточки события:
Из данной карточки можно создать фильтр, например, следующий:
На основе данного фильтра можно создать директиву:
После срабатывания директивы, инцидент выглядит следующим образом:
Фильтры (45 шт.) и директивы (30 шт.) корреляции под источник событий можно скачать в рамках расширенной технической поддержки