Системы контроля привилегированного доступа

При работе по подключению систем контроля привилегированного доступа в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

• Управление источниками в Платформе;
• Руководство по настройке лог-коллектора.

Solar Dozor

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Solar-Dozor
Номер (Порт)	2593
Вендор	Rostelecom-Solar
Тип	DLP
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

1. Для включения записи журналов войдите в веб-интерфейс системы Solar-Dozor и перейдите в раздел Система → Конфигурация → Расширенные настройки → Интерфейс → Вебсервер (webserver.conf).

2. Установите флаг Запись журналов действий в syslog в формате CEF (см. рисунок 1).

   

   Рисунок 1 -- Включение записи в журналы

3. Сохраните и примените настройки. Будет включена запись действий пользователей в веб-интерфейсе системы в системный журнал /var/log/messages в формате CEF.

4. В конфигурационном файле /etc/rsyslog.conf, мастер-сервера DLP-системы, укажите следующие настройки:

   $ActionQueueFileName SIEMForwarder
   $ActionQueueMaxDiskSpace 1g
   $ActionQueueSaveOnShutdown on
   $ActionQueueType LinkedList
   $ActionResumeRetryCount -1
   if $msg contains 'CEF' then @@<IP-адрес агента сбора лог-коллектора>:port
   

   Где:

   • @@ - передача данных по протоколу TCP;
   • <IP-адрес агента сбора лог-коллектора>  - IP-адрес агента сбора лог-коллектора;
   • port - порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора.

5. Для включения регистрации событий войдите в веб-интерфейсе системы Solar-Dozor перейдите в раздел Система → Конфигурация → Расширенные настройки → События и инциденты → Сервис хранения и индексации событий и инцидентов (settings.json)) (см. рисунок 2).

   

   Рисунок 2 -- Включение регистрации событий

6. Укажите в разделе следующие настройки:

   • включите журналирование в syslog регистрацию событий (syslog-events-config);
   • установите флаг Журналировать в syslog изменение статуса событий и инцидентов (syslog-events-change);
   • установите флаг Журналировать в syslog в формате CEF (syslog-events-cef);
   • сохраните и примените настройки.

7. Для включения журналирования действий над сообщениями в веб-интерфейсе системы Solar-Dozor перейдите в раздел Система → Конфигурация → Расширенные настройки → Обработка сообщений → Сервис фильтрации сообщений (mailfilter.edn) (см. рисунок 3).

   

   Рисунок 3 -- Включение журналирования над сообщениями

8. Укажите в разделе следующие настройки:

   • установите флаг Журналировать операции над сообщениями в файл (message-log-file);
   • установите флаг Использовать формат CEF при журналировании операций над сообщениями;
   • сохраните и примените настройки.

9. В случае активации данных настроек на всех узлах с ролью “Фильтр почтового потока” (mailfilter) будет создан файл, содержащий записи действий над сообщениями - /opt/dozor/var/log/message-stat.log.

10. Для отправки журналов в Платформу Радар в каталоге /etc/rsyslog.d/ создайте конфигурационный файл 04-send_dozor_mail.conf и укажите в нем следующие настройки:

    module(load="imfile" PollingInterval="10")
    
    input(type="imfile"
          reopenOnTruncate="on"
          File="/opt/dozor/var/log/message-stat.log"
          Tag="solar-dozor-mail"
          )
    
    $template rawSmap,"<%PRI%>%TIMESTAMP% %HOSTNAME% %syslogtag%%msg%\n"
    if $msg contains 'CEF' then @@<IP-адрес агента сбора лог-коллектора>:port;rawSmap
    

    Где:

    • @@ - передача данных по протоколу TCP;
    • <IP-адрес агента сбора лог-коллектора>  - IP-адрес агента сбора лог-коллектора;
    • port - порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора.

11. Сохраните изменения и перезапустите службу rsyslog:

    # systemctl restart rsyslog.service
    

12. На всех узлах системы Solar Dozor с ролью “Фильтр почтового потока” настройте ротацию журнала действий над сообщениями. Для этого создайте файл /etc/logrotate.d/smap-maillog со следующим содержимым:

    /opt/dozor/var/log/message-stat.log {
        weekly
        rotate 4
        missingok
        notifempty
        nomail
        compress
        create 0644 dozor dozor
        minsize 50M
    }
    

    Выполните проверку условия logrotate с помощью команды:

    # logrotate -df /etc/logrotate.d/smap-maillog
    

    Запуск ротации вручную выполняется следующей командой:

    # logrotate -f /etc/logrotate.d/smap-maillog
    

13. Включите источник Solar-Dozor.

Staffcop Enterprise

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Staffcop-Enterprise
Номер (Порт)	2512
Вендор	Atom_security
Тип	DLP
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс системы Staffcop-Enterprise и перейдите в раздел Фильтры → Политики → Системные политики (см. рисунок 4).

   

   Рисунок 4 -- Системные политики

2. Выберите политику Syslog-коннектор и откройте ее на редактирование.

3. Перейдите на вкладку "Фильтр" и задайте необходимые параметры для событий (см. рисунок 5).

   

   Рисунок 5 -- Параметры для событий

4. Перейдите на вкладку "Свойства" и установите флаги Политика активна, Формат логов: CEF.

5. Примените настройку только к новым или ко всем предыдущим событиям и сохраните изменения (см. рисунок 6).

   

   Рисунок 6 -- Сохранение изменений.

6. Выбранные события раз в 5 минут будут помещаться в журнал /var/log/syslog.

7. Перейдите на сервер системы StaffCop и выполните следующие настройки:

   • проверьте наличие и активность службы rsyslog:

     # service rsyslog status
     

   • по умолчанию служба должна быть установлена и запущена (см. рисунок 7);

     

     Рисунок 7 -- Состояние службы rsyslog

   • создайте и откройте для редактирования конфигурационный файл 50-siem.conf

     # nano /etc/rsyslog.d/50-siem.conf
     

   • укажите в файле протокол передачи данных TCP (@@), IP-адрес агента сбора лог-коллектора и порт (должен совпадать со значением, указанным в настройках соответствующего профиля сбора), по которому агент сбора лог-коллектора будет принимать события от данного источника:

     If $programname==’staffcop’ then @@<IP-адрес агента сбора лог-коллектора>:port
     

   • сохраните изменения и перезапустите службу rsyslog:

     # systemctl restart rsyslog.service
     

8. Включите источник Staffcop-Enterprise.