Организация совместной работы KOMRAD Enterprise SIEM и корпоративной облачной платформы ЕСР Veil
Корпоративная облачная платформа ЕСР VeiL (далее - ECP Veil) предназначена для создания виртуальной инфраструктуры на базе универсальных серверных платформ с архитектурой х64-86, позволяя централизованно управлять всей ИТ-инфраструктурой предприятия с помощью веб-интерфейса «VeiL UI». Веб-интерфейс «VeiL UI» обеспечивает удобную и понятную визуализацию виртуального пространства и мониторинг загрузки всех подсистем (CPU, Mem, Disk, Network).
Настройка сбора информации с помощью Syslog
Для настройки сбора необходимо выполнить следующие действия:
- В веб-интерфейсе ECP Veil перейти на вкладку настройки ⇒ Контроллер ⇒ Syslog:
-
Во вкладке Syslog нажать
Добавить получателя
-
Откроется окно
Добавление получателя сообщений
:
- В открывшемся окне необходимо указать следующие параметры:
-
Имя
- наименование получателя сообщений -
Тип
-syslog
-
Сетевой адрес
- IP-адрес, по которому доступен ПК «Комрад» -
Порт
- UDP порт, по которому доступен ПК «Комрад» (по умолчанию - 49050) -
Уровень сообщений
- выбрать нужный уровень, рекомендуемое значениеNOTSET
При установке уровня NOTSET будут отправляться все сообщения, для других уровней будут отправляться сообщения указанного уровня и все сообщения уровнем выше по критичности (для WARNING - WARNING, ERROR и CRITICAL)
При отправке информации по протоколу UDP возможна потеря событий (пакетов). Для минимизации потерь, необходимо изменить уровень отправки сообщений на более высокий (WARNING, ERROR)
- Для настройки отправки дополнительных событий необходимо включить параметр
Журналирование действий с ограниченным доступом
на вкладке Настройки ⇒ Системные:
- Настроить новый источник событий в ПК «Комрад» (см. Syslog-коллектор)
Под все типы событий ECP Veil составлены фильтры и директивы, а также плагин. После установки пакета рекомендуем включать только то, что необходимо. Фильтры, директивы корреляции и плагин под источник событий можно скачать в рамках расширенной технической поддержки
Для корректной работы директив корреляции необходимо включить плагин "ECP VeiL" на Syslog-коллекторе