Перейти к основному содержимому
Версия: 4.5.X

Организация совместной работы KOMRAD Enterprise SIEM и Dr.Web Enterprise Security Suite 13

С помощью KOMRAD Enterprise SIEM можно получить информацию об обнаруженном Dr.Web Enterprise Security Suite 13 (далее - Dr.Web) вредоносном ПО на хосте.

Предварительные условия:

Настройка доступа к БД Dr.Web

Создайте пользователя, от имени которого в дальнейшем будете собирать события с БД Dr.Web. Данный пользователь обязательно должен иметь права Select_priv для успешного выполнения запросов SQL-коллектором:

CREATE USER 'username'@'host' IDENTIFIED BY 'password';

где username - имя пользователя, host - IP-адрес машины с KOMRAD SIEM (можно указать % для разрешения данному пользователю подключаться с любого IP-адреса), password - пароль пользователя.

Дайте указанному пользователю права на выполнение запросов SELECT с помощью команды:

UPDATE db SET Select_priv = 'Y' WHERE user = 'username';

где username - имя пользователя.

Либо воспользуйтесь командой:

GRANT SELECT ON database.* TO 'username'@'host';

где database - имя базы данных Dr.Web (по умолчанию drwcs), username - имя пользователя, host - IP-адрес машины с KOMRAD SIEM.

Для обновления выданных привилегий перезагрузите службу MySQL, либо выполните команду:

FLUSH PRIVILEGES;

Настройка сбора с базы данных Dr.Web с помощью SQL-коллектора

Для настройки сбора с БД Dr.Web воспользуйтесь инструкцией.

Укажите следующие параметры добавления нового источника:

  • Тип БД – MySQL

  • Шаблон – выберите любой из имеющихся типов шаблонов, имеющих в конце запись (MySQL)

подсказка

Для работы пакета экспертиз под Dr.Web требуется только шаблон "Dr. Web — Сбор оповещений антивирусной сети (MySQL)"

  • Название – оставьте название шаблона, либо укажите любое другое на своё усмотрение

  • Строка подключения – укажите логин и пароль пользователя, имеющего доступ к БД Dr.Web, а также IP-адрес машины с БД, название БД Dr.Web

Пример строки подключения:

siem:komradpass@tcp(11.11.11.12:3306)/drwcs
  • Название поля-счётчика – gen_time_counter

  • Расписание запросов – укажите на своё усмотрение, например, каждую минуту

  • Нажмите кнопку "Проверить", должно отобразиться первое событие, подходящее под написанный регулярный запрос:

Alt text

  • Нажмите "Сохранить":

Alt text

После сохранения в течение нескольких секунд придёт событие, отобразившееся ранее при нажатии "Проверки". Пример карточки события:

Alt text

Для включения возможности использовать дополнительные поля из карточки события в конструкторе фильтров, необходимо добавить их в KOMRAD, нажав на символ + в квадрате. Укажите полю любое название для отображения. Пример:

Alt text

Из данной карточки можно создать фильтр, например, следующий:

Alt text

На основе данного фильтра можно создать директиву:

Alt text

После срабатывания директивы инцидент выглядит следующим образом:

Alt text Alt text

подсказка

Для корректной работы директив корреляции из пакета экспертиз Dr.Web не забудьте включить плагин "Dr.Web" на SQL-коллекторе!

Alt text

подсказка

Фильтры (33), директивы корреляции (30), набор пользовательских полей нормализации (3) и плагин (1) под источник событий можно скачать в рамках расширенной технической поддержки