Перейти к основному содержимому
Версия: 4.5.X

Интеграция с UserGate

Предварительные условия:

Порядок настройки UserGate NGFW

Откройте веб-интерфейс UserGate NGFW. Перейдите во вкладку "Журналы и отчеты" ⇒ "Экспорт журналов".

Порядок настройки в веб-интерфейсе UTM UserGate:

Перейдите в "Журналы и отчеты" ⇒ "Журналы" ⇒ "Экспорт журналов". В открывшейся вкладке нажмите Добавить. В появившемся окне нужно включить новое правило экспорта, ввести его название и описание.

Свойства правила экспорта журналов

Перейдите во вкладку Удаленный сервер, в которой нужно выбрать Syslog в качестве типа сервера, ввести IP-address и порт машины KOMRAD (для TCP порт: 49000, для UDP порт: 49050), выбрать протокол, рекомендуется Syslog (RFC 5424).

Свойства правила экспорта журналов

Затем переходим во вкладку Журналы для экспорта, в которой выбираем журналы, которые будут отправлять на KOMRAD Enterprise SIEM и их формат, рекомендуем выбрать формат CEF.

Свойства правила экспорта журналов

к сведению

Обратите внимание на то, что если не отключить автоматическое сканирование активов из событий, то в список активов будут добавляться IP-адреса из всех журналов, в том числе и из журналов трафика и DNS. Чтобы IP-адреса не добавлялись в активы из событий, требуется отключить автоматическое сканирование активов из событий. Инструкцию, как это сделать, можно найти здесь

После настройки можно проверить соединение с KOMRAD:

Проверка соединения

Теперь нажмите Сохранить. После выполнения вышеуказанных действий Вы увидите приходящие события в KOMRAD (в качестве активного автоматического парсера Syslog-коллектора рекомендуется выбрать ArcSight CEF):

Примеры событий

Например, фильтр, который отслеживает события добавления учетной записи администратора, может выглядеть так:

Пример фильтра

А директива, основанная на этом фильтре, может выглядеть так:

Пример директивы

После создания учётной записи администратора в консоли UserGate, на KOMRAD Enterprise SIEM сработает директива ETECS.UserGate. Добавление учетной записи администратора.

Карточка инцидента

подсказка

Фильтры (31 шт.) и директивы корреляции (31 шт.) под данный источник событий можно скачать в рамках расширенной технической поддержки