Перейти к основному содержимому
Версия: 4.5.X

Организация совместной работы KOMRAD Enterprise SIEM и Континент 4

Предварительные условия:

  • Многофункциональный межсетевой экран (NGFW/UTM) с поддержкой алгоритмов ГОСТ Континент 4 уже настроен и работает
  • Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
  • Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

Порядок настройки Континент 4

Откройте интерфейс менеджера конфигурации, затем подключитесь к ЦУСу (центр управления сетью). Перейдите во вкладку "Структура" и выберите узел безопасности, который будет отправлять логи. Далее перейдите в настройки узла безопасности, в окне выберите "Узел безопасности" ⇒ "Журналирование и оповещение". В открывшимся окне нажмите на кнопку "Добавить" и выберите состояние "Вкл", введите IP-адрес и порт машины KOMRAD

(для TCP порт: 49000, для UDP порт: 49050), выберите протокол, рекомендуется SYSLOG (TCP). В поле "Детализация" можно выбрать нужный уровень детализации журналов, рекомендуем выбрать Высокий.

Alt text

После этого нажимаем OK и устанавливаем политику на узлы, которые были выбраны для мониторинга. Для этого в верхнем левом углу выбираем Файл ⇒ Установить (или сочетание клавиш Ctrl+i). Выбираем нужные узлы безопасности и нажимаем OK.

Alt text

После выполнения вышеуказанных действий Вы увидите приходящие события в KOMRAD:

Alt text

Например, фильтр, который отслеживает события, информирующие о блокировке Dos-атаки или предупреждение о ней, может выглядеть так:

Alt text

А директива, основанная на этом фильтре, может выглядеть так:

Alt text

После срабатывания правила СОВ, которое относится к обнаружению или предотвращению Dos-атак, на узле безопасности, в KOMRAD Enterprise SIEM сработает директива

ETECS.Continent4.Обнаружена Dos-атака

Alt text

подсказка

Фильтры (37 шт.) и директивы корреляции (34 шт.) под источник событий можно скачать в рамках расширенной технической поддержки