Организация совместной работы KOMRAD Enterprise SIEM и Программного комплекса «Стахановец»

С помощью KOMRAD Enterprise SIEM можно получить информацию из журналов событий информационной безопасности, регистрируемых программным комплексом «Стахановец» версии 10 (далее - DLP «Стахановец»).

Для этого необходимо настроить взаимодействие KOMRAD Enterprise SIEM и DLP «Стахановец».

Предварительные условия

• Подразумевается, что DLP «Стахановец» настроен и развёрнут в сетевом варианте

• Наличие лицензии (разрешения) на использование SQL-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)

• Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

Настройка сбора с базы данных DLP «Стахановец» с помощью SQL-коллектора

Для настройки сбора необходимо выполнить следующие действия:

• Настроить сбор с БД в соответствии с инструкцией

• Указать следующие параметры добавления нового источника:

1. Тип БД - Microsoft SQL Server

2. Шаблон - Оставить поле пустым

3. Название - Пользовательское название

4. Строка подключения - необходимо указать логин и пароль пользователя, имеющего доступ к БД DLP «Стахановец», а также IP-адрес узла, на котором функционирует БД DLP «Стахановец» и Название БД DLP «Стахановец»

   предупреждение

   Параметр Название БД DLP «Стахановец» нечувствителен к регистру

   подсказка

   Пример строки подключения: sqlserver://Boss:boss@10.0.12.86?database=stkh

   В качестве инициализирующего запроса необходимо указать следующую конструкцию:

   SELECT MAX(row_auto_increment)-1 AS "ECS.Event.ID"
   FROM TReportUserEvents

   В качестве регулярного запроса необходимо указать следующую конструкцию:

   SELECT TOP 1000
      row_auto_increment AS "ECS.Event.ID",
      event_type
   FROM TReportUserEvents
   WHERE row_auto_increment > $1

5. Название поля-счетчика - ECS.Event.ID

6. Расписание запросов - Пользовательское значение, например, Каждую минуту

• Нажать кнопку Проверить, после чего должно отобразиться первое событие из таблицы TReportUserEvents, подходящее под написанный регулярный запрос:

• Нажать кнопку Сохранить

предупреждение

Поскольку в процессе функционирования DLP «Стахановец» различные события информационной безопасности распределяются в две таблицы, то необходимо добавить еще один источник в KOMRAD. Для добавления второго источника необходимо проделать те же действия, используя при этом следующие инициализирующий:

SELECT MAX(row_auto_increment)-1 AS "ECS.Event.ID"
FROM TReportCompEvents

и регулярный запросы:

SELECT TOP 1000
   row_auto_increment AS "ECS.Event.ID",
   event_type
FROM TReportCompEvents
WHERE row_auto_increment > $1

После сохраненеия новые источники событий информационной безопасности должны отображаться во вкладке Источникики:

После сохраненеия новых источников событий информационной безопасности в течение нескольких секунд должно отобразиться событие, аналогичное отобразившемуся при нажатии на кнопку Проверить. Пример карточки события:

В карточке события можно создать фильтр, например, следующий:

На основе фильтра можно создать директиву, например:

При срабатывании директивы отображается всплывающее сообщение об обнаруженном инциденте:

Карточка инцидента выглядит следующим образом:

подсказка

Под все типы событий DLP «Стахановец» составлены фильтры и директивы, после установки пакета рекомендуем включать только то, что необходимо. Фильтры и директивы корреляции под источник событий можно скачать в рамках расширенной технической поддержки