Системы контроля привилегированного доступа
Подключение источника Solar Dozor
Solar Dozor - продукт класса DLP (Data Leak Prevention) российской компании Ростелеком-Солар. Настройки подключения источника тестировались с Платформой Радар версии 3.5.1 и Solar Dozor 7.9.0-760, установленным под управлением Red Hat Enterprise Linux 7.9.
Для настройки необходимо выполнить шаги из инструкции ниже.
Настройка отправки с использованием Rsyslog
Регистрация действий пользователей в веб-интерфейсе системы
В веб-интерфейсе продукта перейдите на вкладку "Система" > "Конфигурация" > "Расширенные настройки" > "Интерфейс" > "Вебсервер (webserver.conf)".
Установите следующие параметры:
- Запись журналов действий в syslog в формате CEF (action-cef).
Сохраните и примените настройки (см. рисунок 1).
Рисунок 1 -- Включение записи в журналы
Данная настройка обеспечивает запись действий пользователей в веб-интерфейсе системы в системный журнал /var/log/messages
в формате CEF.
Как правило, веб-интерфейс Solar Dozor (служба “webserver”) размещается на узле DLP-системы с ролью “Мастер-сервер”. Для настройки пересылки лога в SIEM-систему следует добавить в /etc/rsyslog.conf
мастер-сервера следующие строки:
$ActionQueueFileName SIEMForwarder
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
if $msg contains 'CEF' then @@<pangeo-log-collector-ip>:<port>
Регистрация событий в журнал Rsyslog
Для включения регистрации событий перейдите в раздел веб-интерфейса "Система" > "Конфигурация" > "Расширенные настройки" > “События и инциденты” > “Сервис хранения и индексации событий и инцидентов (settings.json)”.
Установите следующие параметры (см. рисунок 2):
- Журналировать в syslog регистрацию событий (syslog-events-config) - Включено;
- Журналировать в syslog изменение статуса событий и инцидентов (syslog-events-change);
- Журналировать в syslog в формате CEF (syslog-events-cef).
Рисунок 2 -- Включение регистрации событий
Сохраните и примените настройки.
Журналирование действий над сообщениями
Для включения журналирования действий над сообщениями в веб-интерфейсе продукта перейдите на вкладку "Система" > "Конфигурация" > "Расширенные настройки" > “Обработка сообщений” > “Сервис фильтрации сообщений (mailfilter.edn)”.
Установите следующие параметры:
- Журналировать операции над сообщениями в файл (message-log-file);
- Использовать формат CEF при журналировании операций над сообщениями.
Сохраните и примените настройки (см. рисунок 3).
Рисунок 3 -- Включение журналирования над сообщениями
В случае активации данных настроек на всех узлах с ролью “Фильтр почтового потока” (mailfilter) будет создан файл, содержащий записи действий над сообщениями - /opt/dozor/var/log/message-stat.log
.
Необходимо обеспечить передачу содержимого файла в SIEM-систему. Для этого создайте файл конфигурации syslog (пример) - /etc/rsyslog.d/04-send_dozor_mail.conf
:
module(load="imfile" PollingInterval="10")
input(type="imfile"
reopenOnTruncate="on"
File="/opt/dozor/var/log/message-stat.log"
Tag="solar-dozor-mail"
)
$template rawSmap,"<%PRI%>%TIMESTAMP% %HOSTNAME% %syslogtag%%msg%\n"
if $msg contains 'CEF' then @@<pangeo-log-collector-ip>:<port>;rawSmap
здесь
Настройка ротации журнала действий над сообщениями
Для предотвращения переполнения дискового пространства настройте конфигурацию logrotate. Настройка выполняется на всех узлах Solar Dozor с ролью “Фильтр почтового потока”.
Создайте файл /etc/logrotate.d/smap-maillog
со следующим содержимым:
/opt/dozor/var/log/message-stat.log {
weekly
rotate 4
missingok
notifempty
nomail
compress
create 0644 dozor dozor
minsize 50M
}
Выполните проверку условия logrotate с помощью команды:
logrotate -df /etc/logrotate.d/smap-maillog
Запуск ротации вручную выполняется следующей командой:
logrotate -f /etc/logrotate.d/smap-maillog
Пример конфигурации PANGEO-LOG-COLLECTOR
tcp_input3: &dozor_input
id: "dozor_input"
host: "0.0.0.0"
port: 516
sock_buf_size: 0
format: "json"
buf_size: 16384
log_level: "INFO"
tcp_output3: &dozor_output
id: "dozor_output"
target_host: "192.168.2.124"
port: 2593
sock_buf_size: 0
log_level: "INFO"
collectors:
tcp_receiver:
- <<: *dozor_input
senders:
port: 48003
tcp:
- <<: *dozor_output
route_1: &route_1
collector_id:
- "dozor_input"
sender_id:
- "dozor_output"
routers:
- <<: *route_1
Staffcop Enterprise
Включение системной политики Syslog-коннектор
Включение данной политики позволяет выводить информацию попавшую под политику в системный журнал - /var/log/syslog
.
-
Перейдите во вкладку «Фильтры - Политики - Системные политики» (см. рисунок 4).
Рисунок 4 -- Системные политики.
-
По левому щелчку мыши по полю Syslog-коннектор откройте редактирование политики.
-
Во вкладке Фильтр задайте необходимые параметры для событий, которые вы хотите видеть в системе (см. рисунок 5).
Рисунок 5 -- Параметры для событий.
-
Во вкладке Свойства отметьте галочкой пункты Политика активна, Формат логов: CEF.
-
Примените только к новым или ко всем предыдущим событиям, сохраните изменения (см. рисунок 6).
Рисунок 6 -- Сохранение изменений.
Выбранные события раз в 5 минут будут помещаться в журнал /var/log/syslog.
Настройка rsyslog
На сервере StaffCop выполните следующие команды:
-
Проверьте наличие и активность службы rsyslog:
service rsyslog status
По умолчанию служба должна быть установлена и запущена
-
Создайте и откройте для редактирования конфигурационный файл
50-siem.conf
nano /etc/rsyslog.d/50-siem.conf
-
Пропишите в файл следующие настройки (заменив ip-адрес из примера на адрес Платформы Радар):
If $programname==’staffcop’ then @@10.10.10.10:514
-
Перезапустите службу rsyslog
service rsyslog restart
Добавление новой конфигурации в коллектор
Приведенные настройки с описанием для добавления в config.yaml ниже:
tcp_input: &tcp_input
id: "tcp_input"
host: "0.0.0.0"
port: 514
sock_buf_size: 0
format: "json"
tcp_output: &tcp_output
id: "tcp_output_3"
target_host: "10.10.10.10"
port: 2512
В поле
target host
необходимо указать ip-адрес вашей платформы.