Перейти к основному содержимому
Версия: 4.5.X

Организация совместной работы KOMRAD Enterprise SIEM и СОА Forpost 3.0 (Linux)

С помощью KOMRAD Enterprise SIEM можно получить информацию об алертах от СОА Forpost 3.0 (далее – СОА).

Предварительные условия:

Настройка отправки событий СОА Forpost 3.0 в KOMRAD Enterprise SIEM в формате CEF

Для отправки событий с СОА на KOMRAD Enterprise SIEM потребуется компонент ForpostExport. Для его инсталляции обратитесь к Руководству администратора (раздел 10 «УСТАНОВКА КОМПОНЕНТА «МОДУЛЬ ЭКСПОРТА»).

После установки указанного компонента необходимо произвести его предварительную настройку. Откройте конфигурационный файл СОА forpost.xml:

sudo nano /etc/forpost/forpost.xml

Откройте в файле фрагмент <Database>, представленный на скриншоте ниже:

ForpostExport

Настройте следующие поля:

  1. Драйвер подключения к СУБД. Если в качестве СУБД используется PostgreSQL, то укажите

    {PostgreSQL Unicode}

  2. IP-адрес машины с базой данных СОА (далее – БД)

  3. Порт для подключения к СУБД. Если в качестве СУБД используется PostgreSQL, то порт по умолчанию – 5432

  4. Имя БД. По умолчанию при инсталляции СОА - Forpost

  5. Имя пользователя для подключения к БД. По умолчанию при инсталляции СОА - forpost

  6. Пароль пользователя для подключения к БД. Не указан по умолчанию, задаётся администратором при инсталляции СОА

  7. и 8. Периодически производится запрос в БД на выполнение процедуры, в случае успеха возвращается набор записей, которые рассылаются по нужному транспорту на набор конечных адресов. Укажите 0 напротив тех процедур (SqlProcedure), события по которым хотели бы получать на KOMRAD Enterprise SIEM.

На скриншоте выше:

  • SqlProcedureExample – пример процедуры

  • Forpost_NS_Messages – события от сетевого датчика СОА в формате Syslog

  • Forpost_NS_Messages_CEF – события от сетевого датчика СОА в формате CEF

  • Forpost_SysMessages – системные события СОА в формате Syslog

  • Forpost_SysMessages_CEF – системные события СОА в формате CEF

Вы также можете менять формат отправляемой строки, формировать её как из статического текста, так и динамически, получая данные из записей, возвращаемых SQL-процедурой.

Более подробное описание параметров см. руководство «ForpostExport – Модуль интеграции с SIEM».

Если используется СУБД PostgreSQL, сама БД расположена на той же машине, где установлен ForpostExport, название БД – Forpost, пользователь – forpost с паролем pass, то строка подключения должна выглядеть следующим образом:

<ConnectionString>Driver={PostgreSQL Unicode};Servername=localhost;Port=5432;Database=Forpost;Username=forpost;Password=pass;ByteaAsLongVarBinary=1</ConnectionString>

Далее в этом же файле найдите фрагмент <Endpoint>.

UDP отправка

Укажите следующие настройки:

  1. Type - тип отправки на конечную точку. Укажите udp для дальнейшей отправки событий на Syslog-коллектор

  2. Name - имя для конечной точки, используемое для сохранения её состояния (можно оставить пустым)

  3. Ip - IP-адрес узла, куда будут отправляться данные. Укажите IP-адрес машины с установленным Syslog-коллектором

  4. Port – порт для отправки. Укажите используемый Syslog-коллектором UDP-порт (по умолчанию – 49050)

  5. SendInterval - интервал в миллисекундах между отсылкой датаграмм (по умолчанию 0 - записи отправляются без ожидания)

  6. ErrorInterval - интервал в миллисекундах между попытками отсылки датаграммы в случае ошибки посылки (по умолчанию 500)

  7. Codepage - идентификатор кодовой таблицы, в которой посылается датаграмма (по-умолчанию 65001, utf-8). Допускаются идентификаторы 0-16804, 65001 (utf-8), 20866 (koi8-r). Идентификаторы перечислены здесь.

  8. MaxLength - максимальная длина датаграммы в байтах. (В случае превышения строчка обрезается перед посылкой. По умолчанию 0 - датаграмма не обрезается)

  9. Disabled – игнорировать данную настройку. Укажите 0, чтобы использовать данную настройку для дальнейшей отправки событий на KOMRAD Enterprise SIEM

  10. Список процедур для выполнения. Рекомендуется указать процедуры, формирующие события в формате CEF для автоматической нормализации на KOMRAD Enterprise SIEM – Forpost_NS_Messages_CEF и/или Forpost_SysMessages_CEF.

Для отправки на syslog-коллектор, расположенный на узле с IP-адресом 10.0.10.15, системных событий и событий от сетевого датчика СОА в формате CEF по протоколу UDP и порту 49050 настройка будет выглядеть следующим образом:

<Endpoint Type="udp" Name="" Ip="10.0.10.15" Port="49050" SendInterval="0" ErrorInterval="500" Codepage="65001" MaxLength="0" Disabled="0">
<SqlProcedure Name="Forpost_NS_Messages_CEF"/>
<SqlProcedure Name="Forpost_SysMessages_CEF"/>
</Endpoint>

Сохраните внесённые изменения и перезагрузите службы Forpost Server и Forpost Export:

sudo systemctl restart forpostserverd.service
sudo systemctl restart forpostexportd.service

После перезагрузки сервисов, если все данные были корректно указаны, Вы получите некоторое количество событий на KOMRAD Enterprise SIEM.

События Forpost

подсказка

Фильтры (21 шт.) и директивы корреляции (12 шт.) под источник событий можно скачать в рамках расширенной технической поддержки.

к сведению

Для дополнительной нормализации событий от источника не забудьте включить плагин СОА Forpost на Syslog-коллекторе!

warning

Обратите внимание, что фильтры и директивы в пакете экспертиз созданы на основе вышеописанного шаблона отправки. Если в Вашем шаблоне отредактированы производитель (значение AOAVT) и/или название ПО (значение Forpost), то отредактируйте фильтры на основе Вашего шаблона отправки событий.

осторожно

По умолчанию из пакета экспертиз создаются инциденты только на сработавшие правила с уровнем критичности 5 и более. Если Вам необходим инцидент на кокретное правило СОА, либо на правило с меньшим уровнем критичности, отредактируйте соответствующий фильтр из пакета экспертиз, либо создайте свой и используйте его в директиве корреляции.