Перейти к основному содержимому
Версия: 4.5.X

Организация совместной работы KOMRAD Enterprise SIEM и Программного комплекса «Стахановец»

С помощью KOMRAD Enterprise SIEM можно получить информацию из журналов событий информационной безопасности, регистрируемых программным комплексом «Стахановец» версии 10 (далее - DLP «Стахановец»).

Для этого необходимо настроить взаимодействие KOMRAD Enterprise SIEM и DLP «Стахановец».

Предварительные условия

Настройка сбора с базы данных DLP «Стахановец» с помощью SQL-коллектора

Для настройки сбора необходимо выполнить следующие действия:

  • Настроить сбор с БД в соответствии с инструкцией

  • Указать следующие параметры добавления нового источника:

  1. Тип БД - Microsoft SQL Server

  2. Шаблон - Оставить поле пустым

  3. Название - Пользовательское название

  4. Строка подключения - необходимо указать логин и пароль пользователя, имеющего доступ к БД DLP «Стахановец», а также IP-адрес узла, на котором функционирует БД DLP «Стахановец» и Название БД DLP «Стахановец»

    предупреждение

    Параметр Название БД DLP «Стахановец» нечувствителен к регистру

    подсказка

    Пример строки подключения: sqlserver://Boss:boss@10.0.12.86?database=stkh

    В качестве инициализирующего запроса необходимо указать следующую конструкцию:

    SELECT MAX(row_auto_increment)-1 AS "ECS.Event.ID"
    FROM TReportUserEvents

    В качестве регулярного запроса необходимо указать следующую конструкцию:

    SELECT TOP 1000
    row_auto_increment AS "ECS.Event.ID",
    event_type
    FROM TReportUserEvents
    WHERE row_auto_increment > $1
  5. Название поля-счетчика - ECS.Event.ID

  6. Расписание запросов - Пользовательское значение, например, Каждую минуту

  • Нажать кнопку Проверить, после чего должно отобразиться первое событие из таблицы TReportUserEvents, подходящее под написанный регулярный запрос:

1

  • Нажать кнопку Сохранить
предупреждение

Поскольку в процессе функционирования DLP «Стахановец» различные события информационной безопасности распределяются в две таблицы, то необходимо добавить еще один источник в KOMRAD. Для добавления второго источника необходимо проделать те же действия, используя при этом следующие инициализирующий:

SELECT MAX(row_auto_increment)-1 AS "ECS.Event.ID"
FROM TReportCompEvents

и регулярный запросы:

SELECT TOP 1000
row_auto_increment AS "ECS.Event.ID",
event_type
FROM TReportCompEvents
WHERE row_auto_increment > $1

После сохраненеия новые источники событий информационной безопасности должны отображаться во вкладке Источникики:

2

После сохраненеия новых источников событий информационной безопасности в течение нескольких секунд должно отобразиться событие, аналогичное отобразившемуся при нажатии на кнопку Проверить. Пример карточки события:

3

В карточке события можно создать фильтр, например, следующий:

4

На основе фильтра можно создать директиву, например:

5

При срабатывании директивы отображается всплывающее сообщение об обнаруженном инциденте:

6

Карточка инцидента выглядит следующим образом:

7

подсказка

Под все типы событий DLP «Стахановец» составлены фильтры и директивы, после установки пакета рекомендуем включать только то, что необходимо. Фильтры и директивы корреляции под источник событий можно скачать в рамках расширенной технической поддержки