Версия: 4.5.X

Интеграция с MikroTik Router OS

Предварительные условия:

MikroTik уже настроен для работы
Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор графического интерфейса ⇒ О программе ⇒ Информация о лицензии)
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

Порядок настройки MikroTik Router OS

Настройка выполняется через WinBox.

В боковом меню переходим в System ⇒ Logging. В открывшейся вкладке выбираем Actions и добавляем новый элемент.

Name: Название действия

Type: remote - Тип сохранения логов

Remote Address: IP/IPv6-адрес KOMRAD

Remote Port: 49050 – UDP порт KOMRAD

BSD Syslog – Формат сообщений

Syslog Facility – Выставляется по предпочтениям

После сохраняем настройку, нажав Apply и OK

Настройка отправки логов на сервер KOMRAD

Через командную строку:

/system logging action

/system/logging/action> add bsd-syslog=yes name=Sys remote=(IP KOMRAD) remote=49050 syslog-facility=syslog target=remote

Ведение журналов

На примере рассмотрим журнал «Critical». Переходим во вкладку Rules.

Prefix: Можно записать свое обозначение для удобства при создании новых фильтров

Topics: Critical – все темы, где присутствует «Critical» (! – означает отрицание)

Action: Syslog — настроенное ранее действие отправки логов на удаленный сервер

Сохраняем – OK

Настройка логирования в MikroTik

Через командую строку:

/system logging

add topics=critical prefix=critical action=Syslog

Пример фильтра

Предварительно произведем настройку в Mikrotik.

Идем в IP ⇒ DHCP Server ⇒ Alerts и создаем новое правило:

Interface: интерфейс на котором ищем чужие DHCP. Тут требуется выбрать нужный сегмент сети.

Valid Servers: mac-адрес внешнего доверенного DHCP сервера. Не требуется указывать, если он располагается на маршрутизаторе. 

Alert timeout: периодичность с которой будет проводиться поиск.

On Alert: Действие, которое будет производиться при возникновении инцидента. Можно оставить пустым или вписать какой-либо скрипт.