Организация совместной работы KOMRAD Enterprise SIEM и СОА Forpost 3.0 (Linux)
С помощью KOMRAD Enterprise SIEM можно получить информацию об алертах от СОА Forpost 3.0 (далее – СОА).
Предварительные условия:
-
Подразумевается, что СОА развёрнута на ОС Linux, настроены соответствующие правила
-
Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
-
Отсутствуют �какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Настройка отправки событий СОА Forpost 3.0 в KOMRAD Enterprise SIEM в формате CEF
Для отправки событий с СОА на KOMRAD Enterprise SIEM потребуется компонент ForpostExport. Для его инсталляции обратитесь к Руководству администратора (раздел 10 «УСТАНОВКА КОМПОНЕНТА «МОДУЛЬ ЭКСПОРТА»).
После установки указанного компонента необходимо произвести его предварительную настройку.
Откройте конфигурационный файл СОА forpost.xml:
sudo nano /etc/forpost/forpost.xml
Откройте в файле фрагмент <Database>, представленный на скриншоте ниже:
Настройте следующие поля:
-
Драйвер подключения к СУБД. Если в качестве СУБД используется PostgreSQL, то укажите
{PostgreSQL Unicode} -
IP-адрес машины с базой данных СОА (далее – БД)
-
Порт для подключения к СУБД. Если в качестве СУБД используется PostgreSQL, то порт по умолчанию –
5432 -
Имя БД. По умолчанию при инсталляции СОА -
Forpost -
Имя пользователя для подключения к БД. По умолчанию при инсталляции СОА -
forpost -
Пароль пользователя для подключения к БД. Не указан по умолчанию, задаётся администратором при инсталляции СОА
-
и 8. Периодически производится запрос в БД на выполнение процедуры, в случае успеха возвращается набор записей, которые рассылаются по нужному транспорту на набор конечных адресов. Укажите
0напротив тех процедур (SqlProcedure), события по которым хотели бы получать на KOMRAD Enterprise SIEM.
На скриншоте выше:
-
SqlProcedureExample – пример процедуры
-
Forpost_NS_Messages – события от сетевого датчика СОА в формате Syslog
-
Forpost_NS_Messages_CEF – события от сетевого датчика СОА в формате CEF
-
Forpost_SysMessages – системные события СОА в формате Syslog
-
Forpost_SysMessages_CEF – системные события СОА в формате CEF
Вы также можете менять формат отправляемой строки, формировать её как из статического текста, так и динамически, получая данные из записей, возвращаемых SQL-процедурой.
Более подробное описание параметров см. руководство «ForpostExport – Модуль интеграции с SIEM».
Если используется СУБД PostgreSQL, сама БД расположена на той же машине, где установлен ForpostExport, название БД – Forpost, пользователь – forpost с паролем pass, то строка подключения должна выглядеть следующим образом:
<ConnectionString>Driver={PostgreSQL Unicode};Servername=localhost;Port=5432;Database=Forpost;Username=forpost;Password=pass;ByteaAsLongVarBinary=1</ConnectionString>
Далее в этом же файле найдите фрагмент <Endpoint>.
Укажите следующие настройки:
-
Type - тип отправки на конечную точку. Укажите
udpдля дальнейшей отправки событий на Syslog-коллектор -
Name - имя для конечной точки, используемое для сохранения её состояния (можно оставить пустым)
-
Ip - IP-адрес узла, куда будут отправляться данные. Укажите IP-адрес машины с установленным Syslog-коллектором
-
Port – порт для отправки. Укажите используемый Syslog-коллектором UDP-порт (по умолчанию –
49050) -
SendInterval - интервал в миллисекундах между отсылкой датаграмм (по умолчанию 0 - записи отправляются без ожидания)
-
ErrorInterval - интервал в миллисекундах между попытками отсылки датаграммы в случае ошибки посылки (по умолчанию
500) -
Codepage - идентификатор кодовой таблицы, в которой посылается датаграмма (по-умолчанию 65001, utf-8). Допускаются идентификаторы 0-16804, 65001 (utf-8), 20866 (koi8-r). Идентификаторы перечислены здесь.
-
MaxLength - максимальная длина датаграммы в байтах. (В случае превышения строчка обрезается перед посылкой. По умолчанию
0- датаграмма не обрезается) -
Disabled – игнорировать данную настройку. Укажите
0, чтобы использовать данную настройку для дальнейшей отправки событий на KOMRAD Enterprise SIEM -
Список процедур для выполнения. Рекомендуется указать процедуры, формирующие события в формате CEF для автоматической нормализации на KOMRAD Enterprise SIEM –
Forpost_NS_Messages_CEFи/илиForpost_SysMessages_CEF.
Для отправки на syslog-коллектор, расположенный на узле с IP-адресом 10.0.10.15, системных событий и событий от сетевого датчика СОА в формате CEF по протоколу UDP и порту 49050 настройка будет выглядеть следующим образом:
<Endpoint Type="udp" Name="" Ip="10.0.10.15" Port="49050" SendInterval="0" ErrorInterval="500" Codepage="65001" MaxLength="0" Disabled="0">
<SqlProcedure Name="Forpost_NS_Messages_CEF"/>
<SqlProcedure Name="Forpost_SysMessages_CEF"/>
</Endpoint>
Сохраните внесённые изменения и перезагрузите службы Forpost Server и Forpost Export:
sudo systemctl restart forpostserverd.service
sudo systemctl restart forpostexportd.service
После перезагрузки сервисов, если все данные были корректно указаны, Вы получите некоторое количество событий на KOMRAD Enterprise SIEM.
Фильтры (21 шт.) и директивы корреляции (12 шт.) под источник событий можно скачать в рамках расширенной технической поддержки.
Для дополнительной нормализации событий от источника не забудьте включить плагин СОА Forpost на Syslog-коллекторе!
Обратите внимание, что фильтры и директивы в пакете экспертиз созданы на основе вышеописанного шаблона отправки. Если в Вашем шаблоне отредактированы производитель (значение AOAVT) и/или название ПО (значение Forpost), то отредактируйте фильтры на основе Вашего шаблона отправки событий.
По умолчанию из пакета экспертиз создаются инциденты только на сработавшие правила с уровнем критичности 5 и более. Если Вам необходим инцидент на кокретное правило СОА, либо на правило с меньшим уровнем критичности, отредактируй�те соответствующий фильтр из пакета экспертиз, либо создайте свой и используйте его в директиве корреляции.