Системы контроля привилегированного доступа

Staffcop Enterprise

Включение системной политики Syslog-коннектор

Включение данной политики позволяет выводить информацию попавшую под политику в системный журнал - /var/log/syslog.

Перейдите во вкладку «Фильтры - Политики - Системные политики» (см. рисунок 1).

Рисунок 1 -- Системные политики.
По левому щелчку мыши по полю Syslog-коннектор откройте редактирование политики.
Во вкладке Фильтр задайте необходимые параметры для событий, которые вы хотите видеть в системе (см. рисунок 2).

Рисунок 2 -- Параметры для событий.
Во вкладке Свойства отметьте галочкой пункты Политика активна, Формат логов: CEF.
Примените только к новым или ко всем предыдущим событиям, сохраните изменения (см. рисунок 3).

Рисунок 3 -- Сохранение изменений.

Выбранные события раз в 5 минут будут помещаться в журнал /var/log/syslog.

Настройка rsyslog

На сервере StaffCop выполните следующие команды:

Проверьте наличие и активность службы rsyslog:

service rsyslog status

По умолчанию служба должна быть установлена и запущена
Создайте и откройте для редактирования конфигурационный файл 50-siem.conf

nano /etc/rsyslog.d/50-siem.conf
Пропишите в файл следующие настройки (заменив ip-адрес из примера на адрес Платформы Радар):

If $programname==’staffcop’ then @@10.10.10.10:514
Перезапустите службу rsyslog

service rsyslog restart

Добавление новой конфигурации в коллектор

Приведенные настройки с описанием для добавления в config.yaml ниже:

tcp_input: &tcp_input
  id: "tcp_input"
  host: "0.0.0.0"
  port: 514
  sock_buf_size: 0
  format: "json"
tcp_output: &tcp_output
  id: "tcp_output_3"
  target_host: "10.10.10.10"
  port: 2512

В поле target host необходимо указать ip-адрес вашей платформы.