Организация совместной работы KOMRAD Enterprise SIEM и СОА Forpost 3.0 (Linux)
С помощью KOMRAD Enterprise SIEM можно получить информацию об алертах от СОА Forpost 3.0 (далее – СОА).
Предварительные условия:
-
Подразумевается, что СОА развёрнута на ОС Linux, настроены соответствующие правила
-
Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
-
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Настройка отправки событий СОА Forpost 3.0 в KOMRAD Enterprise SIEM в формате CEF
Для отправки событий с СОА на KOMRAD Enterprise SIEM потребуется компонент ForpostExport. Для его инсталляции обратитесь к Руководству администратора (раздел 10 «УСТАНОВКА КОМПОНЕНТА «МОДУЛЬ ЭКСПОРТА»).
После установки указанного компонента необходимо произвести его предварительную настройку.
Откройте конфигурационный файл СОА forpost.xml
:
sudo nano /etc/forpost/forpost.xml
Откройте в файле фрагмент <Database>
, представленный на скриншоте ниже:
Настройте следующие поля:
-
Драйвер подключения к СУБД. Если в качестве СУБД используется PostgreSQL, то укажите
{PostgreSQL Unicode}
-
IP-адрес машины с базой данных СОА (далее – БД)
-
Порт для подключения к СУБД. Если в качестве СУБД используется PostgreSQL, то порт по умолчанию –
5432
-
Имя БД. По умолчанию при инсталляции СОА -
Forpost
-
Имя пользователя для подключения к БД. По умолчанию при инсталляции СОА -
forpost
-
Пароль пользователя для подключения к БД. Не указан по умолчанию, задаётся администратором при инсталляции СОА
-
и 8. Периодически производится запрос в БД на выполнение процедуры, в случае успеха возвращается набор записей, которые рассылаются по нужному транспорту на набор конечных адресов. Укажите
0
напротив тех процедур (SqlProcedure
), события по которым хотели бы получать на KOMRAD Enterprise SIEM.
На скриншоте выше:
-
SqlProcedureExample – пример процедуры
-
Forpost_NS_Messages – события от сетевого датчика СОА в формате Syslog
-
Forpost_NS_Messages_CEF – события от сетевого датчика СОА в формате CEF
-
Forpost_SysMessages – системные события СОА в формате Syslog
-
Forpost_SysMessages_CEF – системные события СОА в формате CEF
Вы также можете менять формат отправляемой строки, формировать её как из статического текста, так и динамически, получая данные из записей, возвращаемых SQL-процедурой.
Более подробное описание параметров см. руководство «ForpostExport – Модуль интеграции с SIEM».
Если используется СУБД PostgreSQL, сама БД расположена на той же машине, где установлен ForpostExport, название БД – Forpost, пользователь – forpost с паролем pass, то строка подключения должна выглядеть сл едующим образом:
<ConnectionString>Driver={PostgreSQL Unicode};Servername=localhost;Port=5432;Database=Forpost;Username=forpost;Password=pass;ByteaAsLongVarBinary=1</ConnectionString>
Далее в этом же файле найдите фрагмент <Endpoint>
.
Укажите следующие настройки:
-
Type - тип отправки на конечную точку. Укажите
udp
для дальнейшей отправки событий на Syslog-коллектор -
Name - имя для конечной точки, используемое для сохранения её состояния (можно оставить пустым)
-
Ip - IP-адрес узла, куда будут отправляться данные. Укажите IP-адрес машины с установленным Syslog-коллектором
-
Port – порт для отправки. Укажите используемый Syslog-коллектором UDP-порт (по умолчанию –
49050
) -
SendInterval - интервал в миллисекундах между отсылкой датаграмм (по умолчанию 0 - записи отправляются без ожидания)
-
ErrorInterval - интервал в миллисекундах между попытками отсылки датаграммы в случае ошибки посылки (по умолчанию
500
) -
Codepage - идентификатор кодовой таблицы, в которой посылается датаграмма (по-умолчанию 65001, utf-8). Допускаются идентификаторы 0-16804, 65001 (utf-8), 20866 (koi8-r). Идентификаторы перечислены здесь.
-
MaxLength - максимальная длина датаграммы в байтах. (В случае превышения строчка обрезается перед посылкой. По умолчанию
0
- датаграмма не обрезается) -
Disabled – игнорировать данную настройку. Укажите
0
, чтобы использовать данную настройку для дальнейшей отправки событий на KOMRAD Enterprise SIEM -
Список процедур для выполнения. Рекомендуется указать процедуры, формирующие события в формате CEF для автоматической нормализации на KOMRAD Enterprise SIEM –
Forpost_NS_Messages_CEF
и/илиForpost_SysMessages_CEF
.
Для отправки на syslog-коллектор, расположенный на узле с IP-адресом 10.0.10.15, системных событий и событий от сетевого датчика СОА в формате CEF по протоколу UDP и порту 49050 настройка будет выглядеть следующим образом:
<Endpoint Type="udp" Name="" Ip="10.0.10.15" Port="49050" SendInterval="0" ErrorInterval="500" Codepage="65001" MaxLength="0" Disabled="0">
<SqlProcedure Name="Forpost_NS_Messages_CEF"/>
<SqlProcedure Name="Forpost_SysMessages_CEF"/>
</Endpoint>
Сохраните внесённые изменения и перезагрузите службы Forpost Server
и Forpost Export
:
sudo systemctl restart forpostserverd.service
sudo systemctl restart forpostexportd.service
После перезагрузки сервисов, если все данные были корректно указаны, Вы получите некоторое количество событий на KOMRAD Enterprise SIEM.
Фильтры (21 шт.) и директивы корреляции (12 шт.) под источник событий можно скачать в рамках расширенной технической поддержки.
Для дополнительной нормализации событий от источника не забудьте включить плагин СОА Forpost
на Syslog-коллекторе!
Обратите внимание, что фильтры и директивы в пакете экспертиз созданы на основе вышеописанного шаблона отправки. Если в Вашем шаблоне отредактированы производитель (значение AOAVT
) и/или название ПО (значение Forpost
), то отредактируйте фильтры на основе Вашего шаблона отправки событий.
По умолчанию из пакета экспертиз создаются инциденты только на сработавшие правила с уровнем критичности 5
и более. Если Вам необходим инцидент на кокретное правило СОА, либо на правило с меньшим уровнем критичности, отредактируйте соответствующий фильтр из пакета экспертиз, либо создайте свой и используйте его в директиве коррел яции.