Интеграция с MikroTik Router OS

Предварительные условия:

• MikroTik уже настроен для работы

• Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор графического интерфейса ⇒ О программе ⇒ Информация о лицензии)

• Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

Порядок настройки MikroTik Router OS

Настройка выполняется через WinBox.

В боковом меню переходим в System ⇒ Logging. В открывшейся вкладке выбираем Actions и добавляем новый элемент.

Name: Название действия

Type: remote - Тип сохранения логов

Remote Address: IP/IPv6-адрес KOMRAD

Remote Port: 49050 – UDP порт KOMRAD

BSD Syslog – Формат сообщений

Syslog Facility – Выставляется по предпочтениям 

После сохраняем настройку, нажав Apply и OK

Через командную строку:

/system logging action

/system/logging/action> add bsd-syslog=yes name=Sys remote=(IP KOMRAD) remote=49050 syslog-facility=syslog target=remote

Ведение журналов

На примере рассмотрим журнал «Critical». Переходим во вкладку Rules.

Prefix: Можно записать свое обозначение для удобства при создании новых фильтров

Topics: Critical – все темы, где присутствует «Critical» (! – означает отрицание)

Action: Syslog — настроенное ранее действие отправки логов на удаленный сервер

Сохраняем – OK

Через командую строку:

/system logging

add topics=critical prefix=critical action=Syslog

Пример фильтра

Предварительно произведем настройку в Mikrotik.

Идем в IP ⇒ DHCP Server ⇒ Alerts и создаем новое правило:

Interface: интерфейс на котором ищем чужие DHCP. Тут требуется выбрать нужный сегмент сети.

Valid Servers: mac-адрес внешнего доверенного DHCP сервера. Не требуется указывать, если он располагается на маршрутизаторе. 

Alert timeout: периодичность с которой будет проводиться поиск.

On Alert: Действие, которое будет производиться при возникновении инцидента. Можно оставить пустым или вписать какой-либо скрипт.

После этого создаем фильтр

Пример директивы

После срабатывания директивы инцидент выглядит следующим образом:

подсказка

Фильтры (16 шт.) и директивы корреляции (14 шт.) под данный источник событий можно скачать в рамках расширенной технической поддержки