Перейти к основному содержимому
Версия: 4.5.X

Организация совместной работы KOMRAD Enterprise SIEM и StaffCop Enterprise

С помощью KOMRAD Enterprise SIEM можно получить информацию об инцидентах, зарегистрированных в StaffCop Enterprise, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между StaffCop Enterprise и KOMRAD Enterprise SIEM.

Настройка сервера StaffCop Enterprise для передачи информации в KOMRAD Enterprise SIEM

  • Подразумевается, что сервер StaffCop Enterprise настроен, развёрнут и функционирует в полном объёме, соответствующие политики для поиска инцидентов настроены. Убедитесь, пожалуйста, что была включена политика Syslog-коннектор, а также, что Вы включили и настроили Syslog-коллектор в KOMRAD Enterprise SIEM.

  • Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О системе ⇒ Информация о лицензии)

  • Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

Настройка сервера для передачи информации о событиях KOMRAD Enterprise SIEM

Порядок настройки в StaffCop Enterprise:

  1. Введите логин и пароль для входа в интерфейс командной строки сервера StaffCop Enterprise

  2. Передача информации на сервер KOMRAD Enterprise SIEM выполняется сервисом rsyslog. Нужно убедиться, что сервис установлен и запущен (активен). Это делается с помощью команды:

    service rsyslog status

    Если сервис был установлен и запущен, то строка active running должна быть зелёного цвета.

    1

  3. Создадим конфигурационный файл /etc/rsyslog.d/50-siem.conf от имени суперпользователя:

    sudo nano /etc/rsyslog.d/50-siem.conf

    и добавим в пустой файл строчку:

    $RepeatedMsgReduction off
    If $programname==’staffcop’ then @@<1>:<2>
    где <1> — IP-адрес хоста с Syslog-коллектором, на который нужно посылать события;
    <2> — порт хоста с коллектором, на который нужно посылать события.

    2

  4. После этого шага необходимо перезапустить сервис rsyslog командой:

    sudo service rsyslog restart

    Если команда не выведет ничего и сервер выдаст приглашение командной строки, значит, всё настроено правильно.

Пример интеграции Staffcop Enterprise и KOMRAD Enterprise SIEM

  1. После завершения настройки сервера для передачи информации о событиях в KOMRAD Enterprise SIEM необходимо убедиться, что системная политика Syslog-коннектор (находится во вкладке Фильтры ⇒ Политики ⇒ Системные политики) активна, и был выбран формат передачи логов: CEF.

    Alt text

    На вкладке "Фильтр" настройте данные, которые будут передаваться в syslog-файл.

    Alt text

    После этого, при обработке событий и этой политики один раз в 5 минут в файл /var/log/syslog будут помещаться события вида:

    support@ubuntu:~$ grep -i staffcop /var/log/syslog
    Jan 29 12:53:44 ubuntu staffcop: time="Jan 29 09:53:09" event="InterceptedFile" computer="NB0202" user="user" app="None" data="Clipboard.png"
    Jan 29 12:57:52 ubuntu staffcop: time="Jan 29 09:57:28" event="InterceptedFile" computer="NB0202" user="user" app="snippingtool.exe" data="Clipboard.png"

    CEF-формат логов

    Чтобы выгружать события в syslog-коннектор в формате CEF, на вкладке "Свойства" установите галочку в разделе "Формат логов": CEF.

    По умолчанию, для выгрузки задан формат CEF24.

    Чтобы выгружать данные в формате CEF0:

    • Откройте конфигурационный файл etc/staffcop/config

    • Добавьте строку CEF_VERSION = '0'

    Если строка CEF_VERSION = уже существует, приведите её к вышеуказанному виду.

  2. Настроим политику «Приложения для удалённого доступа» (Политики ⇒ Категории приложений) в Staffcop Enterprise для передачи инцидента в KOMRAD Enterprise SIEM. Для этого необходимо в разделе «Категория» выбрать пункт «Инцидент» и активировать политику.

    4

  3. Сгенерируем инцидент на ПК агента, запустив приложение AnyDesk. Это событие должно отобразиться в StaffCop Enterprise в интерфейсе веб-консоли.

    5

  4. На KOMRAD Enterprise SIEM сработает директива

    ETECS.Staffcop Enterprise.Работа программ для удалённого доступа

    6

подсказка

Фильтры (15 шт.) и директивы корреляции (12 шт.) под источник событий можно скачать в рамках расширенной технической поддержки