Системы контроля привилегированного доступа

При работе по подключению систем контроля привилегированного доступа в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

Solar Dozor

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Solar-Dozor
Тип	DLP
Вендор	Rostelecom-Solar
Порт	2593
Протокол	TCP

Для настройки источника выполните следующие действия:

Для включения записи журналов войдите в веб-интерфейс системы Solar-Dozor и перейдите в раздел Система → Конфигурация → Расширенные настройки → Интерфейс → Вебсервер (webserver.conf).
Установите флаг Запись журналов действий в syslog в формате CEF (см. рисунок 1).

Рисунок 1 -- Включение записи в журналы
Сохраните и примените настройки. Будет включена запись действий пользователей в веб-интерфейсе системы в системный журнал /var/log/messages в формате CEF.
В конфигурационном файле /etc/rsyslog.conf, мастер-сервера DLP-системы, укажите следующие настройки:
```
$ActionQueueFileName SIEMForwarder
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
if $msg contains 'CEF' then @@<IP-адрес лог-коллектора>:2593
```
Где:
- @@ - передача данных по протоколу TCP;
- <IP-адрес лог-коллектора> - IP-адрес лог-коллектора;
- 2593 - порт, по которому лог-коллектор будет принимать события от данного источника.
Для включения регистрации событий войдите в веб-интерфейсе системы Solar-Dozor перейдите в раздел Система → Конфигурация → Расширенные настройки → События и инциденты → Сервис хранения и индексации событий и инцидентов (settings.json)) (см. рисунок 2).

Рисунок 2 -- Включение регистрации событий
Укажите в разделе следующие настройки:
- включите журналирование в syslog регистрацию событий (syslog-events-config);
- установите флаг Журналировать в syslog изменение статуса событий и инцидентов (syslog-events-change);
- установите флаг Журналировать в syslog в формате CEF (syslog-events-cef);
- сохраните и примените настройки.
Для включения журналирования действий над сообщениями в веб-интерфейсе системы Solar-Dozor перейдите в раздел Система → Конфигурация → Расширенные настройки → Обработка сообщений → Сервис фильтрации сообщений (mailfilter.edn) (см. рисунок 3).

Рисунок 3 -- Включение журналирования над сообщениями
Укажите в разделе следующие настройки:
- установите флаг Журналировать операции над сообщениями в файл (message-log-file);
- установите флаг Использовать формат CEF при журналировании операций над сообщениями;
- сохраните и примените настройки.
В случае активации данных настроек на всех узлах с ролью “Фильтр почтового потока” (mailfilter) будет создан файл, содержащий записи действий над сообщениями - /opt/dozor/var/log/message-stat.log.
Для отправки журналов в Платформу Радар в каталоге /etc/rsyslog.d/ создайте конфигурационный файл 04-send_dozor_mail.conf и укажите в нем следующие настройки:
```
module(load="imfile" PollingInterval="10")

input(type="imfile"
      reopenOnTruncate="on"
      File="/opt/dozor/var/log/message-stat.log"
      Tag="solar-dozor-mail"
      )

$template rawSmap,"<%PRI%>%TIMESTAMP% %HOSTNAME% %syslogtag%%msg%\n"
if $msg contains 'CEF' then @@<IP-адрес лог-коллектора>:2593;rawSmap
```
Где:
- @@ - передача данных по протоколу TCP;
- <IP-адрес лог-коллектора> - IP-адрес лог-коллектора;
- 2593 - порт, по которому лог-коллектор будет принимать события от данного источника.
Сохраните изменения и перезапустите службу rsyslog:
```
# systemctl restart rsyslog.service
```
На всех узлах системы Solar Dozor с ролью “Фильтр почтового потока” настройте ротацию журнала действий над сообщениями. Для этого создайте файл /etc/logrotate.d/smap-maillog со следующим содержимым:
```
/opt/dozor/var/log/message-stat.log {
    weekly
    rotate 4
    missingok
    notifempty
    nomail
    compress
    create 0644 dozor dozor
    minsize 50M
}
```
Выполните проверку условия logrotate с помощью команды:
```
# logrotate -df /etc/logrotate.d/smap-maillog
```
Запуск ротации вручную выполняется следующей командой:
```
# logrotate -f /etc/logrotate.d/smap-maillog
```

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

tcp_input_solardozor: & tcp_input_solardozor
  id: "tcp_input_solardozor"
  host: "<IP-адрес лог-коллектора>"
  port: 2593
  sock_buf_size: 0
  format: "json"
  log_level: "INFO"

tcp_output_solardozor: & tcp_output_solardozor
  id: "tcp_output_solardozor"
  target_host: "<IP-адрес Платформы Радар/или балансера>"
  port: 2593
  sock_buf_size: 0
  log_level: "INFO"

collectors:
  tcp_receiver:
    - <<: *tcp_input_solardozor

senders:
  port: 48003
  tcp:
    - <<: *tcp_output_solardozor

route_solardozor: &route_solardozor
  collector_id:
    - "tcp_input_solardozor"
  sender_id:
    - "tcp_output_solardozor"

routers:
  - <<: *route_solardozor

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник Solar-Dozor.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.

Staffcop Enterprise

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Staffcop-Enterprise
Тип	DLP
Вендор	Atom_security
Порт	2512
Протокол	TCP

Для настройки источника выполните следующие действия:

Войдите в веб-интерфейс системы Staffcop-Enterprise и перейдите в раздел Фильтры → Политики → Системные политики (см. рисунок 4).

Рисунок 4 -- Системные политики
Выберите политику Syslog-коннектор и откройте ее на редактирование.
Перейдите на вкладку "Фильтр" и задайте необходимые параметры для событий (см. рисунок 5).

Рисунок 5 -- Параметры для событий
Перейдите на вкладку "Свойства" и установите флаги Политика активна, Формат логов: CEF.
Примените настройку только к новым или ко всем предыдущим событиям и сохраните изменения (см. рисунок 6).

Рисунок 6 -- Сохранение изменений.
Выбранные события раз в 5 минут будут помещаться в журнал /var/log/syslog.
Перейдите на сервер системы StaffCop и выполните следующие настройки:
- проверьте наличие и активность службы rsyslog:
```
# service rsyslog status
```
- по умолчанию служба должна быть установлена и запущена (см. рисунок 7);
  
  Рисунок 7 -- Состояние службы rsyslog
- создайте и откройте для редактирования конфигурационный файл 50-siem.conf
```
# nano /etc/rsyslog.d/50-siem.conf
```
- укажите в файле протокол передачи данных TCP (@@), IP-адрес лог-коллектора и порт, по которому лог-коллектор будет принимать события от данного источника "514":
```
If $programname==’staffcop’ then @@<IP-адрес лог-коллектора>:514
```
- сохраните изменения и перезапустите службу rsyslog:
```
# systemctl restart rsyslog.service
```

В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

tcp_input_staffcop: & tcp_input_staffcop
  id: "tcp_input_staffcop"
  host: "<IP-адрес лог-коллектора>"
  port: 514
  sock_buf_size: 0
  format: "json"
  log_level: "INFO"

tcp_output_staffcop: & tcp_output_staffcop
  id: "tcp_output_staffcop"
  target_host: "<IP-адрес Платформы Радар/или балансера>"
  port: 2512
  sock_buf_size: 0
  log_level: "INFO"

collectors:
  tcp_receiver:
    - <<: *tcp_input_staffcop

senders:
  port: 48003
  tcp:
    - <<: *tcp_output_staffcop

route_staffcop: &route_staffcop
  collector_id:
    - "tcp_input_staffcop"
  sender_id:
    - "tcp_output_staffcop"

routers:
  - <<: *route_staffcop

Перезапустите службу лог-коллектора.
Перейдите в раздел Администрирование → Источники → Управление источниками.
Включите источник Staffcop-Enterprise.
Нажмите кнопку Синхронизировать.
Перейдите в раздел События и проверьте наличие потока событий от данного источника.