Системы контроля привилегированного доступа

При работе по подключению систем контроля привилегированного доступа в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

• Включение/выключение источников в Платформе;
• Пример конфигурационного файла лог-коллектора;
• Руководство по настройке лог-коллектора.

Solar Dozor

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Solar-Dozor
Номер (Порт)	2593
Вендор	Rostelecom-Solar
Тип	DLP
Протокол	TCP

Для настройки источника выполните следующие действия:

1. Для включения записи журналов войдите в веб-интерфейс системы Solar-Dozor и перейдите в раздел Система → Конфигурация → Расширенные настройки → Интерфейс → Вебсервер (webserver.conf).

2. Установите флаг Запись журналов действий в syslog в формате CEF (см. рисунок 1).

   

   Рисунок 1 -- Включение записи в журналы

3. Сохраните и примените настройки. Будет включена запись действий пользователей в веб-интерфейсе системы в системный журнал /var/log/messages в формате CEF.

4. В конфигурационном файле /etc/rsyslog.conf, мастер-сервера DLP-системы, укажите следующие настройки:

   $ActionQueueFileName SIEMForwarder
   $ActionQueueMaxDiskSpace 1g
   $ActionQueueSaveOnShutdown on
   $ActionQueueType LinkedList
   $ActionResumeRetryCount -1
   if $msg contains 'CEF' then @@<IP-адрес лог-коллектора>:2593
   

   Где:

   • @@ - передача данных по протоколу TCP;
   • <IP-адрес лог-коллектора>  - IP-адрес лог-коллектора;
   • 2593 - порт, по которому лог-коллектор будет принимать события от данного источника.

5. Для включения регистрации событий войдите в веб-интерфейсе системы Solar-Dozor перейдите в раздел Система → Конфигурация → Расширенные настройки → События и инциденты → Сервис хранения и индексации событий и инцидентов (settings.json)) (см. рисунок 2).

   

   Рисунок 2 -- Включение регистрации событий

6. Укажите в разделе следующие настройки:

   • включите журналирование в syslog регистрацию событий (syslog-events-config);
   • установите флаг Журналировать в syslog изменение статуса событий и инцидентов (syslog-events-change);
   • установите флаг Журналировать в syslog в формате CEF (syslog-events-cef);
   • сохраните и примените настройки.

7. Для включения журналирования действий над сообщениями в веб-интерфейсе системы Solar-Dozor перейдите в раздел Система → Конфигурация → Расширенные настройки → Обработка сообщений → Сервис фильтрации сообщений (mailfilter.edn) (см. рисунок 3).

   

   Рисунок 3 -- Включение журналирования над сообщениями

8. Укажите в разделе следующие настройки:

   • установите флаг Журналировать операции над сообщениями в файл (message-log-file);
   • установите флаг Использовать формат CEF при журналировании операций над сообщениями;
   • сохраните и примените настройки.

9. В случае активации данных настроек на всех узлах с ролью “Фильтр почтового потока” (mailfilter) будет создан файл, содержащий записи действий над сообщениями - /opt/dozor/var/log/message-stat.log.

10. Для отправки журналов в Платформу Радар в каталоге /etc/rsyslog.d/ создайте конфигурационный файл 04-send_dozor_mail.conf и укажите в нем следующие настройки:

    module(load="imfile" PollingInterval="10")
    
    input(type="imfile"
          reopenOnTruncate="on"
          File="/opt/dozor/var/log/message-stat.log"
          Tag="solar-dozor-mail"
          )
    
    $template rawSmap,"<%PRI%>%TIMESTAMP% %HOSTNAME% %syslogtag%%msg%\n"
    if $msg contains 'CEF' then @@<IP-адрес лог-коллектора>:2593;rawSmap
    

    Где:

    • @@ - передача данных по протоколу TCP;
    • <IP-адрес лог-коллектора>  - IP-адрес лог-коллектора;
    • 2593 - порт, по которому лог-коллектор будет принимать события от данного источника.

11. Сохраните изменения и перезапустите службу rsyslog:

    # systemctl restart rsyslog.service
    

12. На всех узлах системы Solar Dozor с ролью “Фильтр почтового потока” настройте ротацию журнала действий над сообщениями. Для этого создайте файл /etc/logrotate.d/smap-maillog со следующим содержимым:

    /opt/dozor/var/log/message-stat.log {
        weekly
        rotate 4
        missingok
        notifempty
        nomail
        compress
        create 0644 dozor dozor
        minsize 50M
    }
    

    Выполните проверку условия logrotate с помощью команды:

    # logrotate -df /etc/logrotate.d/smap-maillog
    

    Запуск ротации вручную выполняется следующей командой:

    # logrotate -f /etc/logrotate.d/smap-maillog
    

13. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

    tcp_input_solardozor: & tcp_input_solardozor
      id: "tcp_input_solardozor"
      host: "<IP-адрес лог-коллектора>"
      port: 2593
      sock_buf_size: 0
      format: "json"
      log_level: "INFO"
    
    tcp_output_solardozor: & tcp_output_solardozor
      id: "tcp_output_solardozor"
      target_host: "<IP-адрес Платформы Радар/или балансера>"
      port: 2593
      sock_buf_size: 0
      log_level: "INFO"
    
    collectors:
      tcp_receiver:
        - <<: *tcp_input_solardozor
    
    senders:
      port: 48003
      tcp:
        - <<: *tcp_output_solardozor
    
    route_solardozor: &route_solardozor
      collector_id:
        - "tcp_input_solardozor"
      sender_id:
        - "tcp_output_solardozor"
    
    routers:
      - <<: *route_solardozor
    

14. Перезапустите службу лог-коллектора.

15. Перейдите в раздел Источники → Источники.
16. Включите источник Solar-Dozor.

Staffcop Enterprise

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Staffcop-Enterprise
Номер (Порт)	2512
Вендор	Atom_security
Тип	DLP
Протокол	TCP

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс системы Staffcop-Enterprise и перейдите в раздел Фильтры → Политики → Системные политики (см. рисунок 4).

   

   Рисунок 4 -- Системные политики

2. Выберите политику Syslog-коннектор и откройте ее на редактирование.

3. Перейдите на вкладку "Фильтр" и задайте необходимые параметры для событий (см. рисунок 5).

   

   Рисунок 5 -- Параметры для событий

4. Перейдите на вкладку "Свойства" и установите флаги Политика активна, Формат логов: CEF.

5. Примените настройку только к новым или ко всем предыдущим событиям и сохраните изменения (см. рисунок 6).

   

   Рисунок 6 -- Сохранение изменений.

6. Выбранные события раз в 5 минут будут помещаться в журнал /var/log/syslog.

7. Перейдите на сервер системы StaffCop и выполните следующие настройки:

   • проверьте наличие и активность службы rsyslog:

     # service rsyslog status
     

   • по умолчанию служба должна быть установлена и запущена (см. рисунок 7);

     

     Рисунок 7 -- Состояние службы rsyslog

   • создайте и откройте для редактирования конфигурационный файл 50-siem.conf

     # nano /etc/rsyslog.d/50-siem.conf
     

   • укажите в файле протокол передачи данных TCP (@@), IP-адрес лог-коллектора и порт, по которому лог-коллектор будет принимать события от данного источника "514":

     If $programname==’staffcop’ then @@<IP-адрес лог-коллектора>:514
     

   • сохраните изменения и перезапустите службу rsyslog:

     # systemctl restart rsyslog.service
     

8. В файл конфигурации лог-коллектора config.yaml внесите следующие изменения:

   tcp_input_staffcop: & tcp_input_staffcop
     id: "tcp_input_staffcop"
     host: "<IP-адрес лог-коллектора>"
     port: 514
     sock_buf_size: 0
     format: "json"
     log_level: "INFO"
   
   tcp_output_staffcop: & tcp_output_staffcop
     id: "tcp_output_staffcop"
     target_host: "<IP-адрес Платформы Радар/или балансера>"
     port: 2512
     sock_buf_size: 0
     log_level: "INFO"
   
   collectors:
     tcp_receiver:
       - <<: *tcp_input_staffcop
   
   senders:
     port: 48003
     tcp:
       - <<: *tcp_output_staffcop
   
   route_staffcop: &route_staffcop
     collector_id:
       - "tcp_input_staffcop"
     sender_id:
       - "tcp_output_staffcop"
   
   routers:
     - <<: *route_staffcop
   

9. Перезапустите службу лог-коллектора.

10. Перейдите в раздел Источники → Источники.
11. Включите источник Staffcop-Enterprise.