Системы защиты электронной почты

При работе по подключению систем защиты электронной почты в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

• Управление источниками в Платформе;
• Руководство по настройке лог-коллектора.

IBM Postfix

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	IBM-Postfix
Номер (Порт)	1534
Вендор	IBM
Тип	MTA
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Подключитесь по SSH к узлу с установленным Postfix MTA.

2. В конфигурационном файле /etc/rsyslog.conf укажите следующие настройки:

   mail.*@<IP-адрес агента сбора лог-коллектора>:port
   

   Где:

   • mail - значение facility (по умолчанию);
   • @ - передача данных по протоколу UDP;
   • <IP-адрес агента сбора лог-коллектора>  - IP-адрес агента сбора лог-коллектора;
   • port - порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора.

   Примечание: при необходимости вы можете изменить значение facility, заданное по умолчанию. Для этого в конфигурационном файле /etc/postfix/main.cf укажите необходимое значение в строке syslog_facility и перезапустите службу Postfix. Затем укажите данное значение в конфигурационном файле /etc/rsyslog.conf вместо значения по умолчанию mail.

3. Сохраните изменения и перезапустите службу rsyslog:

   # systemctl restart rsyslog.service
   

4. Включите источник IBM-Postfix.

Microsoft Exchange Server. Audit

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Exchange-Audit
Номер (Порт)	1533
Вендор	Microsoft
Тип	Exchange audit
Профиль сбора (локальный сбор)	eventlog_input_local
Профиль сбора (удаленный сбор)	smb_input

Для настройки источника выполните следующие действия:

Примечание: события от источника включены по умолчанию и записываются в журнал по пути C:\Program Files\Microsoft\Exchange Server\V15\Logging\CosmosQueue.

Рекомендуется устанавливать агент сбора лог-коллектора на том же сервере, где и Microsoft Exchange Server, но при необходимости вы можете его настроить на удаленном сервере (подробнее см. раздел Microsoft Exchange Server. Сбор событий по сети).

Включите источник Microsoft-Exchange-Audit.

Microsoft Exchange Server. Message Tracking

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Exchange-MessageTracking
Номер (Порт)	1532
Вендор	Microsoft
Тип	Message Tracking
Профиль сбора (локальный сбор)	eventlog_input_local
Профиль сбора (удаленный сбор)	smb_input

Примечание: события от источника необходимо включить через консоль. События будут записываться в журнал по пути C:\Program Files\Microsoft Exchange Server\V15\TransportRoles\Logs\MessageTracking.

Рекомендуется устанавливать агент сбора лог-коллектора на том же сервере, где и Microsoft Exchange Server, но при необходимости вы можете настроить его на удаленном сервере (подробнее см. раздел Microsoft Exchange Server. Сбор событий по сети).

Для настройки источника выполните следующие действия:

1. Войдите в консоль Exchange Administration Center и перейдите в раздел Servers (см. рисунок 1).

   

   Рисунок 1 -- Выбор почтового сервера

2. Выберите нужный почтовый сервер, нажмите кнопку Edit и в открывшемся окне перейдите на вкладку "transport logs" (см. рисунок 2).

   

   Рисунок 2 -- Настройка почтового сервера. Вкладка "transport logs"

3. На вкладке "transport logs" укажите следующие настройки:

   • в поле Enable message tracking log включите отслеживание сообщений на сервере, установив соответствующий флаг;
   • в поле Message tracking log path укажите путь к файлу журнала;
   • нажмите кнопку Save.

4. Включите источник Microsoft-Exchange-MessageTracking.

Microsoft Exchange Server. OWA

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Exchange-OWA
Номер (Порт)	1530
Вендор	Microsoft
Тип	OWA
Профиль сбора (локальный сбор)	eventlog_input_local
Профиль сбора (удаленный сбор)	smb_input

Примечание: события от источника включены по умолчанию и записываются в журналы по пути C:\inetpub\logs\LogFiles\W3SVC1 и C:\inetpub\logs\LogFiles\W3SVC2.

Рекомендуется устанавливать агент сбора лог-коллектора на том же сервере, где и Microsoft Exchange Server, но при необходимости вы можете настроить его на удаленном сервере (подробнее см. раздел Microsoft Exchange Server. Сбор событий по сети).

Включите источник Microsoft-Exchange-OWA.

Microsoft Exchange Server. SMTP

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Exchange-SMTP
Номер (Порт)	1531
Вендор	Microsoft
Тип	SMTP
Профиль сбора (локальный сбор)	eventlog_input_local
Профиль сбора (удаленный сбор)	smb_input

Примечание: события от источника необходимо включить через консоль. События будут записываться в журнал по пути C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog.

Рекомендуется устанавливать агент сбора лог-коллектора на том же сервере, где и Microsoft Exchange Server, но при необходимости вы можете настроить его на удаленном сервере (подробнее см. раздел Microsoft Exchange Server. Сбор событий по сети).

Для настройки источника выполните следующие действия:

1. Войдите в консоль Exchange Administration Center и перейдите в раздел Mail Flow → Receive Connectors (см. рисунок 3).

   

   Рисунок 3 -- Раздел "Mail Flow"

2. Выберите нужный коннектор, нажмите кнопку Edit и в открывшемся окне перейдите на вкладку "general" (см. рисунок 4).

   

   Рисунок 4 -- Настройка параметров логирования.

3. На вкладке "general" укажите следующие настройки:

   • в поле Connector status установите флаг Enable;
   • в поле Protocol logging level list выберите значение "Verbose";
   • нажмите кнопку Save.

4. Включите источник Microsoft-Exchange-SMTP.

Microsoft Exchange Server. Сбор событий по сети

При необходимости можно настроить сбор событий по сети для следующих источников:

• Microsoft Exchange Server. Audit;
• Microsoft Exchange Server. Message Tracking;
• Microsoft Exchange Server. OWA;
• Microsoft Exchange Server. SMTP.

Для этого необходимо открыть сетевой доступ к каталогам с журналами и настроить удаленный агент сбора лог-коллектора для сбора данных по сети.

Примечание: предпочтительным способом сбора данных, как наиболее безопасным, является установка агента сбора лог-коллектора на серверах Exchange, поскольку в данном случае не придется открывать сетевой доступ к каталогам с журналами.

Для настройки сбора событий по сети выполните следующие действия:

1. Откройте сетевой доступ к каталогам с журналами.
2. Создайте пользователя с правами доступа к этим каталогам по сети.
3. На удаленном агенте сбора лог-коллектора настройте профиль сбора smb_input для соответствующего источника.
4. Проверьте доступность необходимых адресов и портов, в случае недоступности откройте их на межсетевом экране.
5. Включите соответствующий источник: Microsoft-Exchange-Audit, Microsoft-Exchange-MessageTracking, Microsoft-Exchange-OWA, Microsoft-Exchange-SMTP.

Zimbra

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Zimbra
Номер (Порт)	1599
Вендор	Synacor
Тип	MTA
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

1. Откройте конфигурационный файл службы rsyslog:

   # nano /etc/rsyslog.conf
   

2. В конфигурационном файле /etc/rsyslog.conf укажите следующие настройки:

   module(load="imfile" PollingInterval="5")
   input(type="imfile"
         reopenOnTruncate="on"
         File="/opt/zimbra/log/audit.log"
         Tag="zimbra-audit"
         ruleset="zimbrafwd")
   input(type="imfile"
         reopenOnTruncate="on"
         File="/opt/zimbra/log/mailbox.log"
         Tag="zimbra-mailbox"
         ruleset="zimbrafwd")
   ruleset(name="zimbrafwd")
   {
       action(type="omfwd"
           Target="IP-адрес коллектора"
           Port="1599"
           Protocol="tcp"
           ResendLastMSGOnReconnect="on"
           action.resumeRetryCount="100"
           queue.type="linkedList"
           queue.size="10000")
       stop
   }
   
   ### begin forwarding rule ###
   
   *.* @@<IP-адрес агента сбора лог-коллектора>:port
   
   ### end of the forwarding rule ###
   

   Где:

   • @@ - передача данных по протоколу TCP;
   • <IP-адрес агента сбора лог-коллектора>  - IP-адрес агента сбора лог-коллектора;
   • port - порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора.

3. Перезапустите службу rsyslog:

   # systemctl restart rsyslog.service
   

4. Включите источник Zimbra.