Решения Endpoint Security

При работе по подключению решений Endpoint Security в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

• Управление источниками в Платформе;
• Руководство по настройке лог-коллектора.

ESET Security Management Center

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	ESET-Security-Management-Center
Номер (Порт)	2609
Вендор	ESET
Тип	SMC
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс системы ESET Protect (см. рисунок 1).

   

   Рисунок 1 -- Вход в систему ESET Protect

2. Перейдите в настройки системы и откройте Advanced settings (см. рисунок 2).

   

   Рисунок 2 -- Вход в систему ESET Protect

3. В блоке SYSLOG SERVER (см. рисунок 3) укажите следующие настройки:

   

   Рисунок 3 -- Настройка SYSLOG SERVER

   • в поле Use Syslog server установите переключатель в положение "включен";
   • в поле Host укажите IP-адрес агента сбора лог-коллектора;
   • в поле Формат выберите значение "Syslog";
   • в поле Transport выберите протокол взаимодействия: "TCP".

4. В блоке LOGGING (см. рисунок 4) укажите следующие настройки:

   

   Рисунок 4 -- Настройка LOGGING

   • в поле Trace log verbosity из выпадающего списка выберите уровень детализации журналов: "Information";
   • в поле Export logs to Syslog включите экспорт журналов в формате syslog;
   • в поле Export logs format из выпадающего списка выберите значение "CEF".

5. Нажмите кнопку SAVE.

6. Включите источник ESET-Security-Management-Center.

FireEye HX

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	FireEye-HX
Номер (Порт)	4560
Вендор	FireEye
Тип	HX
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Подключитесь к устройству FireEye HX с помощью интерфейса командной строки.

2. Активируйте режим конфигурации:

   # enable
   # configure terminal
   

3. Настройте отправку событий на агент сбора лог-коллектора:

   # logging <IP_address агента сбора лог-коллектора> trap none
   # logging <IP_address агента сбора лог-коллектора> trap override class cef priority info
   

4. Сохраните изменения:

   # write mem
   

5. Включите источник FireEye-HX.

Kaspersky Security Center. Общая информация

В Kaspersky Security Center существуют следующие типы событий:

• Общие события - это события, которые возникают во всех управляемых программах "Лаборатории Касперского". Например, общее событие Вирусная атака. Общие события имеют строго определенный синтаксис и семантику. Общие события используются, например, в отчетах и панели мониторинга;
• Специфические события управляемых программ "Лаборатории Касперского". Каждая управляемая программа "Лаборатории Касперского" имеет собственный набор событий.

В зависимости от условий возникновения, событию могут быть присвоены различные уровни важности. Существует четыре уровня важности событий:

• Критическое событие – событие, указывающее на возникновение критической проблемы, которая может привести к потере данных, сбою в работе или критической ошибке;
• Отказ функционирования – событие, указывающее на возникновение серьезной проблемы, ошибки или сбоя, произошедшего во время работы программы или выполнения процедуры;
• Предупреждение – событие, не обязательно являющееся серьезным, однако указывающее на возможное возникновение проблемы в будущем. Чаще всего события относятся к Предупреждениям, если после их возникновения работа программы может быть восстановлена без потери данных или функциональных возможностей;
• Информационное сообщение – событие, возникающее с целью информирования об успешном выполнении операции, корректной работе программы или завершении процедуры.

Для каждого события задано время хранения, которое можно посмотреть и изменить в Kaspersky Security Center. Некоторые события не сохраняются в базе данных "Сервера администрирования" по умолчанию, поскольку для них установленное время хранения равно нулю. Во внешние системы можно экспортировать только те события, которые хранятся в базе данных "Сервера администрирования" не менее одного дня.

Kaspersky Security Center. Отправка событий в формате syslog

Только общие события могут быть экспортированы от управляемых программ в форматах CEF и LEEF. Если необходимо экспортировать и общие и специфические события управляемых программ или пользовательский набор событий, который настроен с помощью политик управляемых программ, используйте экспорт событий в формате syslog.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Kaspersky-Security-Center-syslog
Номер (Порт)	2605
Вендор	Kaspersky
Тип	KSC
Профиль сбора	udp_input

Настройка источника включает в себя следующие шаги:

1. Настройка автоматического экспорта событий.
2. Настройка событий для отправки в Платформу Радар.
3. Включение источника в платформе.

Шаг 1. Настройка автоматического экспорта событий

Чтобы включить автоматический экспорт общих событий выполните следующие действия:

1. Войдите в Kaspersky Security Center и перейдите в раздел <Наименование Сервера администрирования>, события которого необходимо экспортировать.
2. В рабочей области выбранного "Сервера администрирования" перейдите на вкладку События.
3. Нажмите на кнопку Настроить параметры уведомлений и экспорта событий и в выпадающем списке выберите пункт Настроить экспорт в SIEM-систему. Откроется окно "Свойства событий".
4. В открывшемся окне перейдите в раздел Экспорт событий и укажите следующие параметры экспорта:
   • включите автоматический экспорт событий в базу SIEM-системы, установив соответствующий флаг;
   • в поле SIEM-система выберите значение: "Формат Syslog (RFC 5424)";
   • в поле Адрес сервера SIEM-системы укажите IP-адрес агента сбора лог-коллектора;
   • в поле Протокол из выпадающего списка выберите протокол взаимодействия: "UDP";
   • в поле Максимальный размер сообщения в байтах укажите значение: "2048".
5. Нажмите на кнопку ОК.

Если требуется выполнить экспорт в Платформу Радар событий, произошедших после определенной даты, нажмите на кнопку Экспортировать архив и укажите дату, начиная с которой будет выполнен экспорт событий. По умолчанию экспорт событий начинается сразу после включения.

Шаг 2. Выбор событий для отправки в Платформу Радар

Вы можете настроить экспорт событий в формате syslog в Платформу Радар на основе одного из следующих условий:

• Выбор общих событий. Если вы выберите экспортируемые события в политике (в свойствах события или в свойствах "Сервера администрирования"), то в Платформу Радар будут переданы выбранные события, которые произошли во всех программах, управляемых данной политикой, но вам не удастся их переопределить для отдельной программы, управляемой этой политикой.
• Выбор событий для управляемой программы. Если вы выбираете экспортируемые события для управляемой программы, установленной на управляемых устройствах, то в Платформу Радар будут переданы только события, которые произошли в этой программе.

Выбор событий для управляемой программы:

1. Войдите в Kaspersky Security Center, перейдите в раздел Управляемые устройства и откройте вкладку Устройства.
2. Выберите устройство, вызовите контекстное меню и выберите пункт Свойства.
3. В открывшемся окне "Свойства устройства" выберите вкладку Программы.
4. В списке программ выберите программу, события которой требуется экспортировать и нажмите на кнопку Свойства.
5. В открывшемся окне "Свойства программы" выберите раздел Настройка событий.
6. В появившемся списке событий выберите одно или несколько событий, которые требуется экспортировать в Платформу Радар и нажмите на кнопку Свойства.
7. В открывшемся окне "Свойства событий" выполните следующие действия:
   • выберите параметр Экспортировать в SIEM-систему по протоколу Syslog для тех событий, которые нужно экспортировать в формате syslog;
   • выключите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отменить выбор событий для экспорта в формате syslog;
   • нажмите на кнопку ОК.
8. Нажмите на кнопку ОК в окне свойств программы и в окне свойств устройства.

Выбор общих событий:

1. Войдите в Kaspersky Security Center и перейдите в раздел Политики.
2. Выберите политику, откройте контекстное меню и выберите пункт Свойства.
3. В открывшемся окне "Свойства политики" выберите раздел Настройка событий.
4. В списке событий выберите одно или несколько событий, которые требуется экспортировать в Платформу Радар, и нажмите на кнопку Свойства.
5. В открывшемся окне "Свойства событий" выполните следующие действия:
   • выберите параметр Экспортировать в SIEM-систему по протоколу Syslog для тех событий, которые нужно экспортировать в формате syslog;
   • снимите флажок Экспортировать в SIEM-систему по протоколу Syslog, чтобы отменить выбор событий для экспорта в формате syslog;
   • нажмите на кнопку ОК.
6. В окне свойств политики нажмите на кнопку ОК.

Шаг 3. Включите источник Kaspersky-Security-Center-syslog.

Kaspersky Security Center. Отправка событий через Microsoft SQL Server

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Kaspersky-SecurityCenter-db
Номер (Порт)	2604
Вендор	Kaspersky
Тип	KSC-db
Профиль сбора	odbc_input

Настройка источника включает в себя следующие шаги:

1. Создание учетной записи Microsoft SQL Server.
2. Предоставление доступа к БД KAV.
3. Предоставление удаленного сетевого доступа.
4. Включение источника в платформе.

Шаг 1. Создание учетной записи Microsoft SQL Server

Примечание: создание учетной записи Microsoft SQL Server необходимо выполнять от имени учетной записи, имеющей права локального администратора ОС Windows.

1. Откройте среду разработки MS SQL Management Studio.

2. В окне "Connect to Server" подключитесь к экземпляру необходимой базы данных с правами администратора (см. рисунок 5).

   

   Рисунок 5 -- Подключение к экземпляру БД

3. Откройте окно "Object Explorer" (см. рисунок 6).

   

   Рисунок 6 -- Окно "Object Explorer"

4. Выберите раздел Logins, вызовите контекстное меню и выберите пункт New Login.... Откроется окно "Login--New" (см. рисунок 7).

   

   Рисунок 7 -- Создание нового пользователя экземпляра БД

5. В открывшемся окне перейдите в раздел General и выполните следующие настройки:

   • включите режим SQL Server authentication;
   • в поле Login name укажите имя пользователя "radaruser";
   • в полях Password и Confirm password установите и подтвердите пароль пользователя;
   • при необходимости включите использование политики паролей и задайте срок окончания действия пароля в полях Enforce password policy и Enforce password expiration;
   • в поле Default database выберите значение "KAV".

6. Перейдите в раздел Server Roles и предоставьте пользователю роль public (см. рисунок 8).

   

   Рисунок 8 -- Предоставление роли пользователю

7. Перейдите в раздел User Mapping (см. рисунок 9) и выполните следующие настройки:

   

   Рисунок 9 -- Настройка прав доступа к БД KAV

   • В блоке User mapped to this login предоставьте разрешение на подключение и чтение к БД KAV.
   • В блоке Database role membership for: <имя БД> установите для выбранной БД роль "db_datareader".

8. Перейдите в раздел Securables (см. рисунок 10) и в блоке Permission for: <имя сервера СУБД> установите следующее разрешение: "Connect SQL - Grant".

   

   Рисунок 10 -- Установка разрешения на подключение к БД

9. Нажмите кнопку ОК.

Шаг 2. Предоставление доступа к БД KAV

Для предоставления доступа к БД KAV выполните следующие действия:

1. Войдите в среду разработки MS SQL Management Studio, откройте окно "Object Explorer" и выберите раздел Databases → KAV → Security → Users (см. рисунок 11):

   

   Рисунок 11 -- Функция создания пользователя в БД KAV

2. Вызовите контекстное меню и выберите пункт New User.... Откроется окно создания нового пользователя в БД KAV (см. рисунок 12).

   

   Рисунок 12 -- Регистрация пользователя в БД KAV

3. В открывшемся окне перейдите в раздел General и установите следующие параметры (см. рисунок 12):

   • в поле User name установите имя пользователя "dbuser";
   • в поле Login name выберите пользователя "radaruser".

4. Перейдите в раздел Membership и установите для пользователя роль "db_datareader" (см. рисунок 13).

   

   Рисунок 13 -- Назначение роли

5. Нажмите кнопку ОК.

Шаг 3. Предоставление удаленного сетевого доступа

1. Откройте диспетчер конфигурации SQL Server Configuration Manager.

2. Выберите службу SQL Server Network Configuration → Protocols for SQLEXPRESS (см. рисунок 14).

   

   Рисунок 14 -- Подключение по протоколу TCP/IP

3. В списке протоколов выберите протокол TCP/IP, вызовите контекстное меню и установите статус "Enabled" . Затем из контекстного меню выберите пункт Properties. Откроется окно "TCP/IP Properties" (см. рисунок 15).

   

   Рисунок 15 -- Пример настройки протокола для удаленного доступа к БД

4. В открывшемся окне перейдите на вкладку IP Adresses и в блоке параметров IPAll укажите TCP порт для данного источника: "1433".

5. Нажмите кнопку OK.

6. Перезапустите службу MS SQL Server:

   • запустите управление службами (см. рисунок 16);

     

     Рисунок 16 -- Перезапуск службы MS SQL Server

   • выберите службу SQL Server c запущенным экземпляром БД (SQLEXPRESS) и нажмите кнопку Перезапустить службу.

Шаг 4. Включите источник Kaspersky-SecurityCenter-db.

Kaspersky Security Center. Отправка событий через MariaDB

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Kaspersky-SecurityCenter-db
Номер (Порт)	2604
Вендор	Kaspersky
Тип	KSC-db
Профиль сбора	odbc_input

Для подключения в качестве источника Kaspersky Security Center, работающего на базе данных MariaDB, выполните следующие действия:

1. Войдите в CMD MariaDB (см. рисунок 17).

   

   Рисунок 17 -- CMD MariaDB.

2. Создайте пользователя с правами удаленного подключения:

   CREATE USER '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';
   

3. Выдайте права на чтение таблиц в базе Kaspersky Security Center:

   GRANT SELECT ON KAV.ev_event TO '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';  
   GRANT SELECT ON KAV.dnsdomains TO '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';  
   GRANT SELECT ON KAV.v_hst_fqdns TO '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';  
   GRANT SELECT ON KAV.hosts TO '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';  
   GRANT SELECT ON KAV.v_hosts TO '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';
   

4. Запустите веб-интерфейс Платформы Радар и выполните следующие действия:

   • перейдите в раздел Администрирование → Кластер → Узлы и перейдите к настройкам узла, на котором расположен агент сбора лог-коллектора;
   • в разделе Секреты Агента добавьте два секрета:
     • для "Имени пользователя" укажите в соответствующих полях "Название секрета" и "Значение секрета";
     • для "Пароля пользователя" укажите в соответствующих полях "Название секрета" и "Значение секрета".

5. Включите источник Kaspersky-SecurityCenter-db. Не забудьте в настройках профиля сбора для данного источника указать соответствующие секреты.

Microsoft Windows AppLocker

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Windows-AppLocker
Номер (Порт)	1528
Вендор	Microsoft
Тип	AppLocker
Профиль сбора	eventlog_input_local

Примечание: агент сбора лог-коллектора должен быть установлен на том же сервере, где и Microsoft Windows AppLocker.

Для настройки источника выполните следующие действия:

1. Включите службы Application Management и Application Identity.

2. Откройте локальные политики безопасности (secpol.msc) и перейдите в раздел Application Control Policies → AppLocker → Configure rule enforcement (рисунок 18).

   

   Рисунок 18 -- Local Security Policy. Configure rule enforcement

3. Откроется окно "AppLocker Properties" (см. рисунок 19).

   

   Рисунок 19 -- Окно "AppLocker Properties"

4. Выполните в окне следующие действия:

   • в поле Executable rules установите флаг "Configured" и из выпадающего списка выберите значение "Enforce rules";
   • в полях Windows installer rules, Script rules, Packaged app Rules установите флаг "Configured" и из выпадающего списка выберите значение "Audit only";
   • нажмите кнопку OK. Будут созданны соответствующие наборы правил.

5. Наполните созданные наборы правил Executable rules, Windows installer rules, Script rules, Packaged app Rules одним из следующих способом:

   • автоматически;
   • вручную.

6. Способ 1. Автоматически:

   • В разделе Application Control Policies → AppLocker выберите необходимый набор правил, вызовите контекстное меню и выберите пункт Automatically Generate Rules... (см. рисунок 20).

     

     Рисунок 20 -- Выбор способа генерации правил

   • На первом шаге укажите пользователя или группу пользователей, на кого будет применяться правило и путь к файлам для анализа (см. рисунок 21).

     

     Рисунок 21 -- Автоматическая генерация правил. Шаг 1

     Нажмите кнопку Next.

   • На втором шаге укажите, как будут анализироваться файлы: по сертификату, по хэшу или по пути (см. рисунок 22).

     

     Рисунок 22 -- Автоматическая генерация правил. Шаг 2

     Нажмите кнопку Next.

   • Проверьте информацию указанную в правиле и нажмите кнопку Create (см. рисунок 23).

     

     Рисунок 23 -- Автоматическая генерация правил. Шаг 3

     Правило будет создано.

   • Повторите действия для каждого набора правил Executable rules, Windows installer rules, Script rules, Packaged app Rules.

7. Способ 2. Вручную:

   • В разделе Application Control Policies → AppLocker выберите необходимый набор правил, вызовите контекстное меню и выберите пункт New Rule (см. рисунок 20). Отроется окно "Create Rules" (см. рисунок 24).

     

     Рисунок 24 -- Ручная генерация правил. Шаг 1

     Ознакомьтесь с информацией в окне и нажмите кнопку Next.

   • На втором шаге выберите действие (разрешить или запретить запуск) и пользователя (группу пользователей), на кого применится правило (см. рисунок 25).

     

     Рисунок 25 -- Ручная генерация правил. Шаг 2

     Нажмите кнопку Next.

   • На третьем шаге выберите тип проверки файла: по сертификату, либо по пути, либо по хэшу (рисунок 26).

     

     Рисунок 26 -- Ручная генерация правил. Шаг 3

     Нажмите кнопку Next.

   • На четвертом шаге в зависимости от выбранного типа проверки файлов добавьте соответствующее условие (путь, либо хэш, либо сертификат) (см. рисунок 27).

     

     Рисунок 27 -- Ручная генерация правил. Шаг 4

     Нажмите кнопку Next.

   • На пятом шаге при необходимости добавьте исключения из правила (см. рисунок 28).

     

     Рисунок 28 -- Ручная генерация правил. Шаг 5

     Нажмите кнопку Next.

   • На шестом шаге укажите наименование правила и нажмите кнопку Create (см. рисунок 29).

     

     Рисунок 29 -- Ручная генерация правил. Шаг 6

     Правило будет создано.

   • Повторите действия для каждого набора правил Executable rules, Windows installer rules, Script rules, Packaged app Rules.

8. Примените политику, выполнив следующую команду в консоли:

   gpupdate /force
   

9. Проверить наличие событий в разделе AppLocker: EventViewer.msc → Application and Service Log → Microsoft → Windows → AppLocker (см. рисунок 30).

   

   Рисунок 30 -- Проверка наличия событий

10. Включите источник Microsoft-Windows-AppLocker.

Microsoft Windows Defender

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Windows-Defender
Номер (Порт)	1511
Вендор	Microsoft
Тип	Defender
Профиль сбора	eventlog_input_local

Примечание: события от источника включены по умолчанию и записываются в журнал Windows по пути Microsoft-Windows-Windows Defender/Operational. Агент сбора лог-коллектора должен быть установлен на том же сервере, где и Microsoft Windows Defender.

Включите источник Microsoft-Windows-Defender.

Microsoft Windows Firewall

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Windows-Firewall
Номер (Порт)	1512
Вендор	Microsoft
Тип	Firewall
Профиль сбора	eventlog_input_local

Примечание: агент сбора лог-коллектора должен быть установлен на том же сервере, где и Microsoft Windows Firewall.

Для настройки источника выполните следующие действия:

1. Запустите консоль Powershell от имени администратора.

2. Включите журналирование для Windows Firewall (для каждого профиля, журналирование включается отдельно):

   Set-NetFireWallProfile -Profile Domain -LogBlocked True -LogAllowed True -LogMaxSize 4096 -LogFileName "$env:systemroot\system32\LogFiles\Firewall\pfirewall.log"
   Set-NetFireWallProfile -Profile Public -LogBlocked True -LogAllowed True -LogMaxSize 4096 -LogFileName "$env:systemroot\system32\LogFiles\Firewall\pfirewall.log"
   Set-NetFireWallProfile -Profile Private -LogBlocked True -LogAllowed True -LogMaxSize 4096 -LogFileName "$env:systemroot\system32\LogFiles\Firewall\pfirewall.log"
   

3. Включите источник Microsoft-Windows-Firewall.