Решения Network Security

При работе по подключению решений Network Security в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

Checkpoint Firewall (NGFW)

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Checkpoint-Firewall
Номер (Порт)	2511
Вендор	Checkpoint-Firewall
Тип	Log-Exporter
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

Подключитесь к консоли Checkpoint Firewall.
Переключитесь в режим expert:
```
> expert
```

Создайте конфигурацию отправки журналов:

# cp_log_export add name <имя конфигурации> target-server <ip-адрес агента сбора лог-коллектора> target-port <порт, указанный ф профиле сбора> protocol tcp format <формат событий syslog | cef>

Запустите созданную конфигурацию:

# cp_log_export restart name <имя конфигурации>r

Если в конфигурации была допущена ошибка, то измените ее:
```
# cp_log_export set name <имя конфигурации> [параметры значения]
```
Включите источник Checkpoint-Firewall.

Checkpoint Firewall (opsec)

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Checkpoint-Firewall-opsec
Номер (Порт)	2510
Вендор	Checkpoint-Firewall
Тип	opsec
Профиль сбора	opsec_lea_input

Внимание! Для настройки сервера CheckPoint необходим клиент SmartConsole.

Внимание! Для приема событий от источника Checkpoint-Firewall-OPSEC используется только агент сбора лог-коллектора для ОС Linux.

Настройка источника включает в себя следующие шаги:

Подготовка объектов в системе "CheckPoint".
Настройка сервера "CheckPoint".
Включение источника в платформе.

Шаг 1. Подготовка объектов в системе CheckPoint

Войдите в веб-интерфейс системы Checkpoint Firewall и откройте окно "Object Explorer" (см. рисунок 1).

Рисунок 1 -- Переход в "Object Explorer"
В окне "Object Explorer" нажмите кнопку New и из категории "Network Object" выберите пункт Host.... (см. рисунок 2).

Рисунок 2 -- Окно "Object Explorer". Вызов окна "New Host"
Откроется окно "New Host" (см. рисунок 3).

Рисунок 3 -- Окно "New Host"
В окне "New Host" выполните следующие действия:
- укажите наименование хоста, например "pgr-agent";
- в поле IPv4 address укажите IP-адрес агента сбора лог-коллектора;
- нажмите кнопку ОК. Хост появится в окне "Object Panel" в разделе Network Objects – Hosts.
В окне "Object Explorer" нажмите кнопку New и из категории "Server" выберите OPSEC Application → Application (см. рисунок 4).

Рисунок 4 -- Окно "Object Explorer". Вызов окна "OPSEC Application"
Откроется окно"OPSEC Application Properties" (см. рисунок 5).

Рисунок 5 -- Окно "OPSEC Application Properties"
В окне выполните следующие действия:
- в поле Name укажите название свойства, например "pgr-lc";
- в поле Host из выпадающего списка выберите значение "pgr-agent";
- в таблице Client Entities установите флаг "LEA";
- нажмите на кнопку Communication. Откроется окно "Сommunication" (см. рисунок 6).
  
  Рисунок 6 -- Окно "Сommunication"
- выполните в окне следующие действия:
  - укажите и подтвердите пароль в соответствующих полях;
  - нажмите кнопку Initialize.
- нажмите кнопку OK и закройте окно "OPSEC Application Properties".
Откройте на редактирование созданное ранее свойство pgr-lc (см. рисунок 7) для копирования поля DN, так как оно будет использоваться при настройке профиля сбора.

Рисунок 7 -- Окно "OPSEC Application Properties". Поле "DN" после инициализации

Например:
```
CN=pgr-lc,O=checkpoint-test..oxcyy9
```
Опубликуйте внесенные изменения нажав кнопку Publish (см. рисунок 8).

Рисунок 8 -- Веб-интерфейс системы "Checkpoint Firewall". Кнопка "Publish"

Шаг 2. Настройка сервера "CheckPoint"

При настройке профиля сбора opsec_lea_input потребуется указать значение DN сервера "CheckPoint".

Его можно получить, перейдя по пути C:\Program Files (x86)\CheckPoint\SmartConsole\R80.40\PROGRAM и запустив приложение GuiDBedit.exe.

Далее перейдите в ветку Table – Network Objects – network_objects и выберите в столбце Object Name имя сервера "CheckPoint".

Откроется таблица объекта. В столбце Field Name найдите строку sic_name и скопируйте значение из столбца Value (см. рисунок 9).

Рисунок 9 -- Получение "DN" сервера "CheckPoint"

Это значение и является DN сервера, например:

cn=cp_mgmt,o=checkpoint-test..oxcyy9

Выполните настройку подключения, межсетевого экранирования и журналирования:

Подключитесь по SSH к серверу, перейдите в режим expert и откройте файл $FWDIR/conf/fwopsec.conf на редактирование:
```
> expert 
# vi $FWDIR/conf/fwopsec.conf
```

Укажите в файле следующие настройки:

lea_server port 0 
lea server auth_port 18184 
lea server auth_type sslca

Сохраните изменения и перезапустите сервис:
```
# cpstop 
# cpstart
```
Создайте правила межсетевого экранирования, разрешающие трафик по портам TCP/18184 и TCP/18210. По порту TCP/18210 происходит получение сертификата с сервера CheckPoint агентом сбора лог-коллектора. По порту TCP/18184 будет идти траффик в направлении от агента сбора лог-коллектора к серверу CheckPoint. После настройки правил нажмите кнопку Install Policy (см. рисунок 10).

Рисунок 10 -- Получение "DN" сервера "CheckPoint"
Откройте политику на редактирование и в столбце Track установите значение "Log".

Шаг 3. Включение источника в платформе

Для установления соединения SIC между агентом сбора лог-коллектора и сервером CheckPoint необходимо скопировать сертификат ранее созданного объекта приложения OPSEC pgr-lc с сервера при помощи утилиты opsec-tools для ОС Linux.

Утилиту необходимо установить на узел, где расположен агент сбора лог-коллектора.

Получить утилиту можно по ссылке.

После установки утилиты выполните следующие действия:

Импортируйте сертификат:

# ./opsec_pull_cert -h <IP-адрес сервера> -n <Название приложения OPSEC> -p <Пароль для входа в приложение OPSEC>

Сертификат opsec.p12 появится в текущей директории.

Внимание! При попытке выполнить команду может возникнуть ошибка -bash: opsec_pull_cert: command not found или -bash: ./opsec_pull_cert: No such file or directory. Одним из возможных решений, может быть, установка недостающих библиотек: # dpkg --add-architecture i386 # apt-get update # apt-get install libstdc++6:i386 libgcc1:i386 libc6-i386 libpam-modules:i386
Включите источник Checkpoint-Firewall-opsec.

Cisco ASA

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Cisco-ASA
Номер (Порт)	2520
Вендор	Cisco
Тип	ASA
Профиль сбора	udp_input

Внимание! Все команды по настройке источника выполняются в режиме глобальной конфигурации. Для этого перейдите в привилегированный режим: введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #. Затем введите команду #configure terminal. В консольной строке знак # рядом с именем хоста сменится на (config)#.

Для настройки источника выполните следующие действия:

Подключитесь к консоли устройства и перейдите в режим глобальной конфигурации.

Включите журналирование и экспорт событий с устройства:

(config)# logging enable
(config)# logging host <имя интерфейса> <IP-адрес агента сбора лог-коллектора>
(config)# logging trap <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)
(config)# logging console <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)
(config)# logging asdm <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)
(config)# logging device-id ipaddress <id устройства>
(config)# logging timestamp

Включите источник Cisco-ASA.

Fortinet FortiAnalyzer

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Fortinet-Fortianalyzer
Номер (Порт)	2572
Вендор	Fortinet
Тип	Analyzer
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

Войдите в веб-интерфейс системы под учетной записью с правами администратора.
Перейдите в раздел Advanced → Syslog Server (см. рисунок 11).

Рисунок 11 -- System Setting. Syslog Server
Нажмите кнопку Create New. Откроется окно "Create New Server Setting" (внешний вид окна аналогичен окну "Edit Syslog Server Setting" см. рисунок 12).

Рисунок 12 -- Окно "Edit Syslog Server Setting"
В открывшемся окне укажите следующие настройки:
- в поле Name укажите название сервера;
- в поле IP-address (or FQDN) укажите IP-адрес агента сбора лог-коллектора;
- в поле Syslog Server Port укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
- нажмите кнопку OK.
Перейдите в раздел Log Forwarding и нажмите кнопку Create New. Откроется окно "Create New Log Forwarding" (см. рисунок 13).

Рисунок 13 -- Окно "Create New Log Forwarding"
В открывшемся окне укажите следующие настройки:
- в поле Name укажите наименование настройки;
- в поле Status установите переключатель в положение ON;
- в поле Remote Server Type выберите тип формата отправляемых журналов (рекомендуемое значение: "Syslog");
- в поле Server IP укажите IP-адрес агента сбора лог-коллектора;
- в поле Server Port укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
- в блоке Device Filters добавьте устройства, с которых будут пересылаться события;
- нажмите кнопку OK.
Включите источник Fortinet-Fortianalyzer.

Fortinet FortiSandbox

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Fortinet-Fortisandbox
Номер (Порт)	2574
Вендор	Fortinet
Тип	Sandbox
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

Войдите в веб-интерфейс системы FortiSandbox под учетной записью с правами администратора.
Перейдите в раздел Log&Report → Log Servers (см. рисунок 14).

Рисунок 14 -- FortiSandbox. Раздел "Настройка журналов"
Нажмите кнопку Create New и в открывшемся окне (см. рисунок 15) укажите следующие настройки:

Рисунок 15 -- Окно "Edit Remote Log Server"
- в поле Name укажите наименование сервера;
- в поле Type выберите протокол взаимодействия и формат отправки событий;
- в поле Log Server Address укажите IP-адрес агента сбора лог-коллектора;
- в поле Port укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
- в поле Status выберите значение Enable;
- выберите уровни логирования, установив соответствующие флаги;
- нажмите кнопку OK.
Включите источник Fortinet-Fortisandbox.

Fortinet FortiWeb

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Fortinet-Fortiweb-WAF
Номер (Порт)	2573
Вендор	Fortinet
Тип	Fortiweb
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

Войдите в веб-интерфейс системы Fortiweb и перейдите в раздел Log&Report → Log Policy → SIEM Policy.
Нажмите кнопку Create New.
При создании политики укажите следующие настройки:
- в поле Policy Type выберите значение ArcsSight CEF;
- в поле IP Address(IPv4) укажите IP-адрес агента сбора лог-коллектора;
- в поле Port укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
- нажмите кнопку OK.
Включите источник Fortinet-Fortiweb-WAF.

HAProxy

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	HAProxy
Номер (Порт)	3020
Вендор	HAProxy
Тип	Proxy
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

Откройте файл /etc/haproxy/haproxy.cfg и выполните следующие настройки:
- в секцию global добавьте строку:
```
log /dev/log local1 info
```
- в секцию default добавьте следующие строки:
```
log global
mode    http
option  httplog
log-format "%ci:%cp %fi:%fp %bi:%bp [%tr] %ft %b/%s %TR/%Tw/%Tc/%Tr/%Ta ST=%ST %B %CC %CS %tsc %ac/%fc/%bc/%sc/%rc %sq/%bq URI=%HQ%{+Q}r"
```
Чтобы события HAProxy сохранялись в файл /var/log/haproxy.log, система автоматически создает файл /etc/rsyslog.d/49-haproxy.conf. Если файл не был создан, его необходимо создать вручную и наполнить следующим содержимым:
```
$AddUnixListenSocket /var/lib/haproxy/dev/log

:programname, startswith, "haproxy" {
  /var/log/haproxy.log
  stop
}
```

Чтобы события HAProxy отправлялись на агент сбора лог-коллектора, необходимо создать файл /etc/rsyslog.d/60-haproxy-siem.conf и вставить следующие строки, указав IP-адрес агента сбора лог-коллектора и порт, указанный в соответствующем профиле сбора:

module(load="imfile" PollingInterval="5")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/haproxy.log"
      Tag="haproxy"
      ruleset="sendlc")
template(
    name = "logtemplate"
    type = "string"
    string = "<%PRI%> %msg%\n"
)
ruleset(name="sendlc") 
{
    action(type = "omfwd"
        Template = "logtemplate"
        Target="<IP-адрес агента сбора лог-коллектора>"
        Port="<порт, указанный в профиле сбора>" 
        Protocol="tcp"
        ResendLastMSGOnReconnect="on"
        action.resumeRetryCount="100"
        queue.type="linkedList"
        queue.size="10000")
    stop
}

Включите источник HAProxy.

Kaspersky Web Traffic Security

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Kaspersky-Web-Traffic-Security
Номер (Порт)	2606
Вендор	Kaspersky
Тип	Proxy
Профиль сбора	tcp_input

Примечание: данную инструкцию необходимо выполнить на каждом узле кластера Kaspersky Web Traffic Security.

Для настройки источника выполните следующие действия:

Подключитесь к устройству Kaspersky Web Traffic Security с помощью интерфейса командной строки под пользователем root.
Создайте конфигурационный файл для службы rsyslog:
```
vim /etc/rsyslog.d/kwts_to_siem.conf
```

Настройте отправку следующих объектов:

local0.*,local1.*,local2.*,authpriv.*,local7.* @@<Ip-адрес агента сбора лог-коллектора>:<порт, указанный в профиле сбора>

Сохраните изменения и перезапустите службу rsyslog.
```
# service rsyslog restart
```
Включите источник Kaspersky-Web-Traffic-Security.

McAfee Web Gateway

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	McAfee-Web-Gateway
Номер (Порт)	2610
Вендор	McAfee
Тип	Proxy
Профиль сбора	udp_input tcp_input

Для настройки источника выполните следующие действия:

Войдите в интерфейс системы под учетной записью с правами администратора.
Перейдите в раздел Policy, затем выберите вкладку «Rule Sets» и пункт меню «Log Handler» (см. рисунок 16).

Рисунок 16 -- Выбор логов
Раскройте список «Default», выберите «Access Log», в правой части окна выделите правило и нажмите кнопку Edit.
В секции «Events» нажмите кнопку Add, а затем Event.
Выберите «Syslog (Number, String)» и нажмите кнопку Parameters.
Для параметра «1. Level (Number)» установите значение 6, что указывает на уровень логирования «Informational». Для настройки параметра «2. Message (String)» нажмите Use Property и выберите «User-Defined.logLine».
Нажмите последовательно кнопки OK → OK → Finish.
Повторите действия п.п. 3-7 для других наборов правил.
Перейдите в раздел Configuration и выберите вкладку «File Editor».
Разверните список с именем соответствующего устройства и выберите файл rsyslog.conf (см. рисунок 17).

Рисунок 17 -- Редактирование rsyslog
Найдите в файле следующую строку:
```
*.info;mail.none;authpriv.none;cron.none  /var/log/messages
```
Добавьте в нее параметр «daemon.!=info»:
```
*.info;daemon.!=info;mail.none;authpriv.none;cron.none  -/var/log/messages
```
Также добавьте следующую строку для отправки событий на агент сбора лог-коллектора (@ - отправка по протоколу UDP, @@ - отправка по протоколу TCP):
```
daemon.info @<ip-адрес агента сбора лог-коллектора>:<порт, указанный в профиле сбора>
```
Нажмите кнопку Save Changes для сохранения изменений.
Включите источник McAfee-Web-Gateway.

Microsoft Forefront TMG

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Forefront-Threat-Management-Gateway
Номер (Порт)	1540
Вендор	Microsoft
Тип	Firewall_Proxy
Профиль сбора	smb_input

Для настройки источника выполните следующие действия:

Войдите в интерфейс управления системой Forefront TMG Management.
Перейдите в раздел Log & Reports и откройте вкладку "Logging" (см. рисунок 18).

Рисунок 18 -- Forefront TMG. Раздел "Log & Reports"
В рабочей области справа перейдите на вкладку "Task" и нажмите кнопку Configure Firewall Logging. Откроется окно "Firewall Logging Properties" (см. рисунок 19).

Рисунок 19 -- Окно "Firewall Logging Properties"
На вкладке "Log" выполните следующие действия:
- в поле Log storage format выберите значение "File";
- в поле Format из выпадающего списка выберите значение "W3C";
- нажмите кнопку Options. Откроется окно "Options" (см. рисунок 20);
  
  Рисунок 20 -- Firewall Logging Properties. Options
- в окне "Options" выполните следующие действия:
  - в поле Store the log file in выберите каталог хранения журнала;
  - в блоке Log file storage limits настройте необходимые лимиты для хранения файла с журналом;
  - нажмите кнопку OK.
- нажмите кнопку OK.
На вкладке "Task" нажмите кнопку Configure Web Proxy Logging. Откроется окно "Web Proxy Logging Properties" (см. рисунок 21).

Рисунок 21 -- Окно "Web Proxy Logging Properties"
На вкладке "Log" выполните следующие действия:
- в поле Log storage format выберите значение "File";
- в поле Format из выпадающего списка выберите значение "W3C";
- нажмите кнопку Options. Откроется окно "Options" (см. рисунок 22);
  
  Рисунок 22 -- Web Proxy Logging Properties. Options
- в окне "Options" выполните следующие действия:
  - в поле Store the log file in выберите каталог хранения журнала;
  - в блоке Log file storage limits настройте необходимые лимиты для хранения файла с журналом;
  - нажмите кнопку OK.
- нажмите кнопку OK.
Нажмите кнопку Apply (см. рисунок 23).

Рисунок 23 -- Forefront TMG. Кнопка "Apply"
Откройте сетевой доступ к каталогам, указанным в пп. 5 и 6.
Включите источник Microsoft-Forefront-Threat-Management-Gateway.

Ngate CryptoPro VPNGate

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	CryptoPro-VPNGate-Ngate
Номер (Порт)	2562
Вендор	CryptoPro
Тип	VPNGate
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

Настройте отправку журналов с помощью rsyslog:
- перейдите в директорию /etc/rsyslog.d/;
- откройте файл конфигурации 50-ng-manual-fwd.conf;
- закомментируйте содержимое и вставьте следующую информацию:
```
module(load="imfile" PollingInterval="10")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/ngate/ng-admin/ng-admin.log"
      Tag="ng-admin")
if $syslogtag == 'ng-admin' then @<ip-адрес агента сбора лог коллектора>IP:<порт, указанный в профиле сбора>
& stop
```
- перезапустите службу rsyslog.
Включите источник CryptoPro-VPNGate-Ngate.

OpenVPN

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	OpenVPN
Номер (Порт)	2180
Вендор	Openvpn
Тип	VPN
Профиль сбора	udp_input

Файлы журналов источника содержат следующую информацию:

/var/log/openvpn/openvpn.log - содержит информацию о подключениях к виртуальной частной сети (VPN);
/var/log/openvpn/status.log - содержит информацию о каждом клиентском подключении, такую как IP-адрес клиента, используемый протокол, отправленные и полученные байты.

Для настройки источника выполните следующие действия:

В файл конфигурации OpenVPN (/etc/openvpn/server.conf или /etc/openvpn/client.conf) добавьте следующие настройки:
```
status /var/log/openvpn/status.log  
log /var/log/openvpn.log  
log-append /var/log/openvpn.log  
verb 3
```
В каталоге /etc/rsyslog.d/ создайте файл конфигурации для службы rsyslog:
```
# sudo nano /etc/rsyslog.d/openvpn.conf
```

Настройте конфигурацию:

module(load="imfile" PollingInterval="10")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/openvpn/openvpn.log"
      Tag="standart_openvpn_log")
if $syslogtag == 'standart_openvpn_log' then @<ip-адрес агента сбора лог-коллектора>:port
& stop
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/openvpn/status.log"
      Tag="status_openvpn_log")
if $syslogtag == 'status_openvpn_log' then @<ip-адрес агента сбора лог-коллектора>:port
& stop

Где:

<ip-адрес агента сбора лог коллектора> - IP-адрес агента сбора лог-коллектора;
port - порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора.

Перезапустите службу rsyslog:
```
# systemctl restart rsyslog
```
Включите источник OpenVPN.

PaloAlto NGFW

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	PaloAlto-Firewall
Тип	Firewall
Вендор	PaloAlto
Номер (Порт)	2580
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

Войдите в интерфейс устройства PaloAlto под учетной записью с правами администратора.
Перейдите в раздел Device → Setup → Services → Service Route Configuration (см. рисунок 24).

Рисунок 24 -- Интерфейс устройства PaloAlto. Переход в раздел "Service Route Configuration"
В открывшемся окне "Service Route Configuration" (см. рисунок 25) выберите пункт Customize и на вкладке "IPv4" дважды нажмите на строку Syslog.

Рисунок 25 -- Окно "Service Route Configuration"
В открывшемся окне "Service Route Source" (см. рисунок 26) выберите Source Interface и укажите Source Address с которого у вас будут отправляться события:

Рисунок 26 -- Окно "Service Route Source"
Нажмите кнопку OK в окнах "Service Route Source" и "Service Route Configuration".
Перейдите в раздел Device → Server Profiles → Syslog (см. рисунок 27).

Рисунок 27 -- Интерфейс устройства PaloAlto. Переход в раздел "Syslog"
Нажмите кнопку Add. Откроется окно "Syslog Server Profile" (см. рисунок 28).

Рисунок 28 -- Окно "Syslog Server Profile"
В окне "Syslog Server Profile" в поле Name укажите наименование профиля и нажмите кнопку Add. В появившемся блоке полей укажите следующие настройки:
- в поле NAME укажите наименование сервера;
- в поле SYSLOG SERVER укажите IP-адрес агента сбора лог-коллектора;
- в поле TRANSPORT выберите протокол "UDP" для отправки событий;
- в поле PORT укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
- в поле FORMAT выберите формат формирования syslog-сообщения "IETF";
- в поле FACILITY выберите значение facility для отправляемых сообщений "LOG_USER";
- нажмите кнопку OK.
Перейдите в раздел Objects → Log Forwarding (см. рисунок 29).

Рисунок 29 -- Интерфейс устройства PaloAlto. Переход в раздел "Log Forwarding"
Нажмите кнопку Add. Откроется окно "Log Forwarding Profile" (см. рисунок 30).

Рисунок 30 -- Окно "Log Forwarding Profile"
В окне "Log Forwarding Profile" в поле Name укажите наименование профиля и нажмите кнопку Add. Откроется окно "Log Forwarding Profile Match List" (см. рисунок 31).

Рисунок 31 -- Настройка профиля отправки журналов. Шаг 1
В открывшемся окне укажите следующие настройки:
- в поле Name укажите наименование профиля;
- в поле Log Type выберите значение "traffic";
- в поле Syslog выберите созданный профиль для отправки событий syslog;
- повторите добавление созданных профилей указав в поле Log Type соответствующие значения "threat", "auth" и выбрав в поле Syslog соответствующий профиль (см. рисунок 32).
  
  Рисунок 32 -- Настройка профиля отправки журналов. Шаг 2
- нажмите кнопку OK.
Перейдите в раздел Device → Log Setting (см. рисунок 33).

Рисунок 33 -- Интерфейс устройства PaloAlto. Переход в раздел "Log Setting"
В блоке System нажмите кнопку Add. Откроется окно "Log Setting - System" (см. рисунок 34).

Рисунок 34 -- Окно "Log Setting - System"
В окне "Log Setting - System" в поле Name укажите наименование профиля, в блоке Syslog нажмите кнопку Add, выберите созданный профиль и нажмите кнопку OK.
Вернитесь в раздел Device → Log Setting (см. рисунок 28) и в блоке Configuration нажмите кнопку Add. Откроется окно "Log Setting - Configuration" (см. рисунок 35).

Рисунок 35 -- Окно "Log Setting - Configuration"
В окне "Log Setting - Configuration" в поле Name укажите наименование профиля, в блоке Syslog нажмите кнопку Add, выберите созданный профиль и нажмите кнопку OK.
Перейдите в раздел Policies → Security и нажмите кнопку Add (см. рисунок 36).

Рисунок 36 -- Интерфейс устройства PaloAlto. Переход в раздел "Security"
В открывшемся окне "Security Policy Rule" перейдите на вкладку "Source", выберите зону отправки Source Zone, если зона отсутствует, добавьте ее нажав кнопку Add (см. рисунок 37).

Рисунок 37 -- Окно "Security Policy Rule". Вкладка "Source
В окне "Security Policy Rule" перейдите на вкладку "Destination" выберите зону отправки Destination Zone, если зона отсутствует, добавьте ее нажав кнопку Add (см. рисунок 38).

Рисунок 38 -- Окно "Security Policy Rule". Вкладка "Destination"
В окне "Security Policy Rule" перейдите на вкладку "Action" в блоке Log Setting установите флаги Log at Session Start, Log at Session End, в поле Log Forwarding выберите профиль отправки событий и нажмите кнопку OK (см рисунок 39).

Рисунок 39 -- Окно "Security Policy Rule". Вкладка "Action"
Нажмите кнопку Commit → Commit All Changes и для просмотра введенных изменений нажмите кнопку Change Summary (см. рисунок 40).

Рисунок 40 -- Окно "Commit"
В открывшемся окне "Change Summary" - проверьте корректность введенных изменений (см. рисунок 41).

Рисунок 41 -- Окно "Commit"
После проверки корректности введенных изменений нажмите кнопку Commit и дождитесь результата Successful (см. рисунок 42).

Рисунок 42 -- Окно "Commit Status"
Включите источник PaloAlto-Firewall.

Pfsense Firewall Netgate

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Pfsense-Firewall-Netgate
Номер (Порт)	2561
Вендор	Pfsense
Тип	Firewall
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

Войдите в веб-интерфейс системы и перейдите в раздел Status → System Log → Settings.
Откройте блок Remote Logging Options (см. рисунок 43).

Рисунок 43 -- Настройка pfSense. Remote Logging Options
Укажите следующие настройки:
- включите отправку журналов, установив флаг в поле Enable Remote Logging;
- в поле Source Address из выпадающего списка выберите источник журналов;
- в поле Remote log servers укажите IP-адрес агента сбора лог-коллектора и порт, указанный в соответствующем профиле сбора;
- в поле Remote Syslog Contents выберите журналы для отправки, установив соответствующие флаги;
- нажмите кнопку Save.
Включите источник Pfsense-Firewall-Netgate.

Snort

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Snort
Номер (Порт)	2517
Вендор	Cisco
Тип	NIDS
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

В каталоге /etc/rsyslog.d/ создайте файл конфигурации для службы rsyslog:
```
# sudo nano /etc/rsyslog.d/snort.conf
```
Настройте конфигурацию:
```
If ($programname contains 'snort' and ($msg contains 'start' or $msg contains 'Start' or $msg contains 'Stop' or $msg contains 'stop' or $msg contains 'ERROR' or $msg contains 'fail' or $msg contains 'Fail')) or ($msg contains 'snort' and $msg contains 'exit') then @@x.x.x.x:port
If $msg contains 'Classification' and $programname contains 'snort' then @@x.x.x.x:515
```
Где:
- x.x.x.x:port - IP-адрес агента сбора лог-коллектора и порт, указанный в соответствующем профиле сбора;
- первая строка конфигурации позволяет отправлять в Платформу Радар системные журналы, исключая не информативные;
- вторая строка включает пересылку предупреждений (alerts) в Платформу Радар.
Перезапустите службу rsyslog:
```
# systemctl restart rsyslog
```
Включите источник Snort.

Solar webProxy

Solar webProxy - продукт класса SWG (Secure Web Gateway) российской компании Ростелеком-Солар.

Перед настройкой источника рекомендуется ознакомиться с документом Руководство по установке и настройке Solar webProxy).

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Solar-WebProxy
Номер (Порт)	2592
Вендор	Solar
Тип	Proxy
Профиль сбора	tcp_input udp_input

Настройка источника включает в себя следующие шаги:

Настройка журналирования службы веб-интерфейса пользователя (smap-play-server).
Настройка журналирования веб-запросов пользователей прокси (skvt-wizor).
Настройка отправки событий в платформу.
Включение источника в платформе.

Шаг 1. Настройка журналирования службы веб-интерфейса пользователя (smap-play-server)

Данная настройка позволяет журналировать действия администраторов в веб-интерфейсе системы Solar webProxy.

События по умолчанию сохраняются в файл /var/log/messages на узле с ролью "Сервер управления".

Пример событий:

Mar 29 11:59:48 swp01-main java: webserver: admin@/192.168.11.2: get filter hosts [swp01-filter.test.lab,swp01-reverse.test.lab]
Mar 29 12:00:06 swp01-main java: webserver: admin@/192.168.11.2: get list of all categories
Mar 29 12:00:06 swp01-main java: webserver: admin@/192.168.11.2: Action: 'read layer'; Layer: 'Вскрытие HTTPS'
Mar 29 12:00:10 swp01-main java: webserver: admin@/192.168.11.2: get list of all categories
Mar 29 12:00:22 swp01-main java: webserver: admin@/192.168.11.2: get list of all categories

Выполните следующие действия:

Войдите в веб-интерфейс системы и перейдите в раздел Система → Основные настройки → Журналирование → Сервер веб-интерфейса" (см. рисунок 44).

Рисунок 44 -- Журналирование действий пользователей
Установите флажок Журналировать действия пользователей в syslog.
Сохраните изменения и примените конфигурацию.
Откройте конфигурационный файл службы rsyslog (/etc/rsyslog.conf) и добавьте следующую настройку:
```
local0.*            /var/log/messages
```
На узле с ролью Сервер управления создайте файл конфигурации /etc/rsyslog.d/03-send_skvt_master.conf и укажите следующие настройки:
```
    module(load="imfile" PollingInterval="10")
    input(type="imfile"
          reopenOnTruncate="on"
          File="/var/log/messages"
          )

    if $programname == 'java' and $msg contains 'webserver' then @@<ip-адрес агента сбора лог-коллектора>:port
```
Где:
- <ip-адрес агента сбора лог-коллектора> - IP-адрес агента сбора лог-коллектора;
- port - порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
- @@/@ - отправка будет выполняться по протоколу TCP/UDP.
Перезапустите службу rsyslog:
```
# systemctl restart rsyslog
```

Шаг 2. Настройка журналирования веб-запросов пользователей прокси (skvt-wizor)

Пример событий:

Mar 29 15:24:11 swp01-filter java: [acc-domain:TEST.LAB] [acc-groups:] [acc-ip:192.168.2.70] [acc-name:da] [acc-port:51380] [bytes-in:3147] [bytes-out:781] [flt-categories:21004] [flt-codes:11,0,0,0,0] [flt-policy:Завершение обработки политики] [flt-rules:Вскрывать HTTPS по умолчанию,Переход к слою Icap Request,Переход к слою Запрет доступа к сайтам,Переход к слою Icap Response,Переход к слою Завершение обработки политики] [flt-status:200] [flt-time:125] [req-hostname:safebrowsing.googleapis.com] [req-method:GET] [req-pathname:/v4/threatListUpdates:fetch] [req-protocol:https] [req-query:$ct=application/x-protobuf&key=AIzaSyC7jsptDS3am4tPx4r3nxis7IMjBc5Dovo&$httpMethod=POST&$req=ChUKE25hdmNsaWVudC1hdXRvLWZmb3gaJwgFEAEaGwoNCAUQBhgBIgMwMDEwARC3nRAaAhgFyU6KeiICIAIoARonCAEQARobCg0IARAGGAEiAzAwMTABENWDDBoCGAUyxlEzIgIgAigBGicIAxABGhsKDQgDEAYYASIDMDAxMAEQ8_oLGgIYBVB30G4iAiACKAEaJwgHEAEaGwoNCAcQBhgBIgMwMDEwARC81AwaAhgFLhmniCICIAIoARolCAkQARoZCg0ICRAGGAEiAzAwMTABECAaAhgF-13fQCICIAIoAQ==] [req-referer:] [req-time:2023-03-29T12:24:11.471Z] [res-datatype:application/x-protobuf] [res-ip:108.177.14.95] [traf-mode:forward] [x-virus-id:] [req-port:443] [flt-reason:]
Mar 28 11:35:59 swp01-filter java: [acc-domain:] [acc-groups:] [acc-ip:192.168.2.70] [acc-name:] [acc-port:55073] [bytes-in:0] [bytes-out:0] [flt-categories:] [flt-codes:0] [flt-policy:policy.xml] [flt-rules:] [flt-status:407] [flt-time:1] [req-hostname:secure.eicar.org] [req-method:CONNECT] [req-pathname:] [req-protocol:https] [req-query:] [req-referer:] [req-time:2023-03-28T08:35:59.399Z] [res-datatype:application/skvt-unchecked] [res-ip:] [traf-mode:forward] [x-virus-id:] [req-port:443] [flt-reason:]

Выполните следующие действия:

Войдите в веб-интерфейс системы и перейдите в раздел Система → Расширенные настройки → Фильтрация и кэширование трафика.
Откройте настройки Фильтрация и анализ трафика пользователей → Форматы записи в syslog (см. рисунок 45).

Рисунок 45 -- Форматы записи в syslog
Установите флаги Запись журнала (формат SIEM) и Запись преобразования IP-адреса источника (формат SIEM).
Сохраните изменения и примените конфигурацию.
На узлах с ролью Фильтр HTTP-трафика и Обратный прокси-сервер настройте журналирование в отдельный файл:
- создайте файл /var/log/skvt.log:
```
# touch /var/log/skvt.log
```
- настройте доступ к файлу:
```
# chmod 600 /var/log/skvt.log
```

Шаг 3. Настройка отправки событий в платформу

Настройте перенаправление событий в файл /var/log/skvt.log внеся в файл /etc/rsyslog.conf соответствующую конфигурацию.

Во избежание дублирования отключите запись событий в файл /var/log/messages (оператор stop):

$template rawSkvt,"%syslogtag% %msg%\n"

local0.*                                      /var/log/skvt.log; rawSkvt
& stop
*.info;mail.none;authpriv.none;cron.none      /var/log/messages

Сохраните изменения и перезапустите службу rsyslog:
```
# systemctl restart rsyslog
```
Настройте ротацию файла /var/log/skvt.log с помощью logrotate. Для этого создайте файл /etc/logrotate.d/skvt со следующими настройками:
```
/var/log/skvt.log {
    weekly
    rotate 4
    missingok
    notifempty
    nomail
    compress
    create 0600 dozor dozor
    minsize 10M
}
```
Проверьте условия logrotate:
```
# logrotate -df /etc/logrotate.d/skvt
```
Запустите ротацию файла:
```
# logrotate -f /etc/logrotate.d/skv
```
Настройте отправку событий в Платформу Радар. Для этого создайте конфигурационный файл /etc/rsyslog.d/03-send_skvt.conf со следующими настройками:
```
module(load="imfile" PollingInterval="10")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/skvt.log"
      Tag="skvt_wizor_log"
     )

if $syslogtag == 'skvt_wizor_log' then @@<pangeo-log-collector>:<port>
& stop
```
Сохраните изменения и перезапустите службу rsyslog:
```
# systemctl restart rsyslog
```

Шаг 4. Включите источник Solar-WebProxy.

Squid Proxy

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Squid-Proxy
Номер (Порт)	2890
Вендор	Squid
Тип	Proxy
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

Откройте конфигурационный файл squid.conf:
```
# sudo nano /etc/squid/squid.conf
```

Создайте шаблон формата журналов:

logformat radar  %la:%lp %>a %[ui %[un [%tl] "%rm %ru / HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh

Укажите шаблон формата журналов в настройке журналирования syslog:

access_log syslog:[local2.info](http://local2.info/ "Внешняя ссылка (откроется в новом окне)") radar

Сохраните файл и перезапустите службу:
```
# sudo service squid restart
```
Откройте конфигурационный файл службы rsyslog:
```
# sudo nano /etc/rsyslog.conf
```
Укажите IP-адрес агента сбора лог-коллектора, порт, указанный в соответствующем профиле сбора и отключите объединение сообщений:
```
local2.* @<IP-адрес агента сбора лог-коллетора>:port
$RepeatedMsgReduction off
```
Сохраните изменения и перезапустите службу:
```
 # sudo service rsyslog restart
```
Включите источник Squid-Proxy.

Suricata

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Suricata
Номер (Порт)	3540
Вендор	OISF
Тип	IPS-IDS
Профиль сбора (активный сбор)	sftp_input ssh (ssh_collector_input)
Профиль сбора (пассивный сбор)	tcp_input

Перед настройкой источника проверьте и при необходимости внесите изменения в файл /etc/suricata/suricata.yaml на хосте, где установлена Suricata.

Ниже приведен пример данного файла в части логирования событий:

# Configure the type of alert (and other) logging you would like.
outputs:
  - eve-log:
      enabled: yes
      filetype: regular
      filename: eve.json
      # Enable for multi-threaded eve.json output; output files are amended with
      # an identifier, e.g., eve.9.json
      #threaded: false
      #prefix: "@cee: " # prefix to prepend to each log entry
      # the following are valid when type: syslog above
      #identity: "suricata"
      #facility: local5
      #level: Info ## possible levels: Emergency, Alert, Critical,
                   ## Error, Warning, Notice, Info, Debug
      #ethernet: no  # log ethernet header in events when available
      #compact: yes
      #ensure-ascii: yes
      #escape-slash: yes
      #redis:
      #  server: 127.0.0.1
      #  port: 6379
      #  async: true ## if redis replies are read asynchronously
      #  mode: list ## possible values: list|lpush (default), rpush, channel|publish
      #             ## lpush and rpush are using a Redis list. "list" is an alias for lpush
      #             ## publish is using a Redis channel. "channel" is an alias for publish
      #  key: suricata ## key or channel to use (default to suricata)
      # Redis pipelining set up. This will enable to only do a query every
      # 'batch-size' events. This should lower the latency induced by network
      # connection at the cost of some memory. There is no flushing implemented
      # so this setting should be reserved to high traffic Suricata deployments.
      #  pipelining:
      #    enabled: yes ## set enable to yes to enable query pipelining
      #    batch-size: 10 ## number of entries to keep in buffer
      # Include top level metadata. Default yes.
      #metadata: no
      # include the name of the input pcap file in pcap file processing mode
      pcap-file: false
      # Community Flow ID
      # Adds a 'community_id' field to EVE records. These are meant to give
      # records a predictable flow ID that can be used to match records to
      # output of other tools such as Zeek (Bro).
      #
      # Takes a 'seed' that needs to be same across sensors and tools
      # to make the id less predictable.
      # enable/disable the community id feature.
      community-id: false
      # Seed value for the ID output. Valid values are 0-65535.
      community-id-seed: 0
      xff:
        enabled: no
        # Two operation modes are available: "extra-data" and "overwrite".
        mode: extra-data
        # Two proxy deployments are supported: "reverse" and "forward". In
        # a "reverse" deployment the IP address used is the last one, in a
        # "forward" deployment the first IP address is used.
        deployment: reverse
        # Header name where the actual IP address will be reported. If more
        # than one IP address is present, the last IP address will be the
        # one taken into consideration.
        header: X-Forwarded-For
      types:
        - alert:
            tagged-packets: yes
        - frame:
            enabled: no
        - anomaly:
            enabled: yes
            types:
              # decode: no
              # stream: no
              # applayer: yes
        - http:
            extended: yes     # enable this for extended logging information
            # custom allows additional HTTP fields to be included in eve-log.
            # the example below adds three additional fields when uncommented
            #custom: [Accept-Encoding, Accept-Language, Authorization]
            # set this value to one and only one from {both, request, response}
            # to dump all HTTP headers for every HTTP request and/or response
            # dump-all-headers: none
        - dns:
            # This configuration uses the new DNS logging format,
            # the old configuration is still available:
            # https://docs.suricata.io/en/latest/output/eve/eve-json-output.html#dns-v1-format

            # As of Suricata 5.0, version 2 of the eve dns output
            # format is the default.
            #version: 2
            # Enable/disable this logger. Default: enabled.
            #enabled: yes
            # Control logging of requests and responses:
            # - requests: enable logging of DNS queries
            # - responses: enable logging of DNS answers
            # By default both requests and responses are logged.
            #requests: no
            #responses: no
            # Format of answer logging:
            # - detailed: array item per answer
            # - grouped: answers aggregated by type
            # Default: all
            #formats: [detailed, grouped]
            # DNS record types to log, based on the query type.
            # Default: all.
            #types: [a, aaaa, cname, mx, ns, ptr, txt]
        - tls:
            extended: yes     # enable this for extended logging information
            # output TLS transaction where the session is resumed using a
            # session id
            #session-resumption: no
            # custom controls which TLS fields that are included in eve-log
            #custom: [subject, issuer, session_resumed, serial, fingerprint, sni, version, not_before, not_after, certificate, chain, ja3, ja3s]
        - files:
            force-magic: no   # force logging magic on all logged files
            # force logging of checksums, available hash functions are md5,
            # sha1 and sha256
            #force-hash: [md5]
        - drop:
            alerts: yes      # log alerts that caused drops
            flows: all       # start or all: 'start' logs only a single drop
            verdict: yes
        - smtp:
            #extended: yes # enable this for extended logging information
            # this includes: bcc, message-id, subject, x_mailer, user-agent
            # custom fields logging from the list:
            #  reply-to, bcc, message-id, subject, x-mailer, user-agent, received,
            #  x-originating-ip, in-reply-to, references, importance, priority,
            #  sensitivity, organization, content-md5, date
            #custom: [received, x-mailer, x-originating-ip, relays, reply-to, bcc]
            # output md5 of fields: body, subject
            # for the body you need to set app-layer.protocols.smtp.mime.body-md5
            # to yes
            #md5: [body, subject]
        - ftp
        - rdp
        - nfs
        - smb
        - tftp
        - ike
        - dcerpc
        - krb5
        - bittorrent-dht
        - snmp
        - rfb
        - sip
        - quic
        - dhcp:
            enabled: yes
            extended: no
        - ssh
        - mqtt:
            # passwords: yes           # enable output of passwords
        - http2
        - pgsql:
            enabled: no
            # passwords: yes           # enable output of passwords. Disabled by default
        #- stats:
        #    totals: yes       # stats for all threads merged together
        #    threads: no       # per thread stats
        #    deltas: no        # include delta values
        - flow
        - netflow

Настройку источника можно выполнить двумя способами:

Активный сбор через подключение к хосту с Suricata с помощью модуля SFTP/SSH профиля сбора.
Пассивный сбор от хоста с Suricata.

Способ 1. Активный сбор через подключение к хосту с Suricata с помощью модуля SFTP/SSH

Включите источник Suricata и настройте соответствующий профиль сбора:

Способ 2. Пассивный сбор от хоста с Suricata.

Создайте файл настроек для rsyslog со следующими параметрами:

module(load="imfile" PollingInterval="5")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/suricata/eve.json"
      Tag="suricata"
      ruleset="surifwd")
ruleset(name="surifwd")
{
    action(type="omfwd"
        Target="IP-адрес коллектора"
        Port="3540"
        Protocol="tcp"
        ResendLastMSGOnReconnect="on"
        action.resumeRetryCount="100"
        queue.type="linkedList"
        queue.size="10000")
    stop
}

Сохраните файл в директории /etc/rsyslog.d/ и перезапустите службу rsyslog:
```
# systemctl restart rsyslog
```
Включите источник Suricata.

Usergate UTM Firewall

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	UserGate-UTM
Номер (Порт)	2545
Вендор	Usergate
Тип	Firewall
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

Войдите в веб-интерфейс UserGate UTM, перейдите в раздел Настройки и выберите вкладку "Журналы и отчеты" (см. рисунок 46)

Рисунок 46 -- Настройка Usergate. Журналы и отчеты
Выберите подраздел Экспорт журналов и нажмите кнопку Добавить (см. рисунок 47).

Рисунок 47 -- Экспорт журналов
В открывшемся окне "Свойства правила экспорта журналов" выполните следующие действия:

Примечание: все отдельные слова в названии необходимо писать через нижнее подчеркивание
- Перейдите на вкладку "Общие" (см. рисунок 48) и укажите следующую информацию:
  
  Рисунок 48 -- Свойства правила экспорта журналов.
  - в поле Включено установите соответствующий флаг;
  - в поле Название укажите наименование свойства.
- Перейдите на вкладку "Удаленный сервер" (см. рисунок 49) и укажите следующую информацию:
  
  Рисунок 49 -- Свойства удаленного сервера.
  - в поле Тип сервера установите значение "Syslog";
  - в поле Адрес сервера укажите IP-адрес агента сбора лог-коллектора;
  - в поле Порт укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
  - в поле Транспорт установите значение "UDP";
  - в поле Протокол установите значение "Syslog (RFC 5424)";
  - в поле Критичность установите значение "Уведомительная";
  - в поле Объект установите значение "Сообщения пользовательские";
  - в поле Имя хоста и Название приложения укажите соответствующие значения без пробелов.
- Перейдите на вкладку "Журналы для экспорта" (см. рисунок 50) и выберите журналы для отправки установив следующие флаги:
  
  Рисунок 50 -- Выбор журналов для экспорта
  - Журнал событий;
  - Журнал СОВ;
  - Журнал трафика;
  - Журнал веб-доступа;
  - для всех журналов в графе Формат установите значение "JSON".
- Нажмите кнопку Сохранить.
Включите источник UserGate-UTM.

ViPNet Coordinator

Программно-аппаратные комплексы (ПАК) ViPNet Coordinator HW 4 — модельный ряд шлюзов безопасности, предназначенных для построения виртуальной сети ViPNet и обеспечения безопасной передачи данных между её защищенными сегментами, а также фильтрации IP-трафика.

ViPNet Coordinator имеет возможность отправлять события журнала регистрации IP-пакетов (формат CEF) и журнала работы служб iplircfg, mftpd, failoverd.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	ViPNet
Номер (Порт)	2211
Вендор	infotecs
Тип	HW
Профиль сбора	udp_input

Примечание: По умолчанию источник ViPNet-Coordinator не имеет возможность изменить порт и протокол отправки событий, поэтому сбор событий агентом сбора лог-коллектора происходит по 514/UDP.

Внимание! Все команды выполняются в режиме администратора. Чтобы войти в режим администратора введите enable и пароль администратора. В консольной строке знак > рядом с именем хоста сменится на #.

Настройка источника включает в себя следующие шаги:

Настройка журнала работы служб.
Настройка журнала регистрации IP-пакетов.
Включение источника в платформе.

Шаг 1. Настройка журнала работы служб

Внимание! При настройке удаленного протоколирования событий, прекращается ведение журналов на локальном хосте. Если ViPNet Coordinator HW используется в режиме кластера горячего резервирования, то необходимо настроить удаленное протоколирование на обоих узлах.

Задайте уровень ведения журнала в секции debug файлов конфигурации iplir.conf, failover.ini, mftp.conf:

[debug]
debuglevel= 3
debuglogfile= syslog:daemon.debug

Где:

debuglevel= 3 — уровень важности событий, записываемых в журнал. Возможные значения: от -1 до 4 (по умолчанию 3, -1 - отключает ведение журнала);
debuglogfile= syslog:daemon.debug — источник информации, выводимой в журнал. Значение syslog:<facility.level>, где:
- facility — процесс, формирующий информацию. Возможные значения: kern (ядро), user (пользовательские программы) или daemon (системные службы);
- level — уровень важности информации. Возможные значения: err (ошибка), info (информационное сообщение) или debug (отладочная информация).

Примечание: обычно достаточно указанных параметров по умолчанию.

Если вы хотите изменить настройки службы, то необходимо выполнить следующие действия:

Остановите соответствующую службу.
Внесите изменения в конфигурационный файл службы.
Сохраните изменения.
Закройте редактор и запустите службу.

Включите отправку событий журнала служб, указав IP-адрес агента сбора лог-коллектора:

hostname# machine set loghost <IP-адрес агента сбора лог-коллектора>

Добавьте разрешающее исходящее правило, указав IP-адрес агента сбора лог-коллектора:

hostname# firewall local add src @local dst <IP-адрес агента сбора лог-коллектора> udp dport 514 pass

Шаг 2 .Настройка журнала регистрации IP-пакетов в формате syslog + CEF

Остановите службу iplircfg и откройте файл конфигурации iplir.conf. В секции misc укажите параметры экспорта журнала регистрации IP-пакетов:

cef_enabled= yes
cef_ip= <IP-адрес агента сбора лог-коллектора>
cef_port= <порт для данного источника> (по умолчанию: 514)

cef_enabled= yes — разрешение экспорта записей журнала по сети;
cef_ip — IP-адрес лог-коллектора, на который будут отправляться сообщения CEF;
cef_port — порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора.

Сохраните изменения (сочетание клавиш Ctrl+O), закройте редактор (сочетание клавиш Ctrl+X).

Запустите службу iplircfg:

hostname# iplir start

Добавьте разрешающее исходящее правило, указав IP-адрес агента сбора лог-коллектора:

hostname# firewall  local  add  src @local  dst <IP-адрес агента сбора лог-коллектора> udp  dport  514 pass

Настройка журналирования IP-пакетов для определенного интерфейса

При необходимости вы можете настроить журналирование IP-пакетов для определенного интерфейса. Данная настройка производится в файле конфигурации интерфейса iplir.conf-eth<номер> при помощи команды:

hostname# iplir config eth<номер>

Секция [db]:

registerall= <on/off> - включение или выключение регистрации записей обо всех пакетах. Допустимые значения:
- off - регистрируются только заблокированные пакеты (значение по умолчанию);
- on - регистрируются все пакеты.

Секция [cef]:

event= blocked - формирование сообщений CEF (которые и будут отправляться) при регистрации IP-пакетов, проходящих через интерфейс
- all - для всех IP-пакетов;
- blocked - только для блокированных IP-пакетов.
exclude= - указываются номера типов событий, которые должны быть исключены из формирования сообщений CEF (указываются номера типов событий через запятую).

Примечание: номера типов событий указаны в документе "02 ViPNet Coordinator HW 4. Настройка в CLI.pdf", входящий в Комплект документации на ViPNet Coordinator HW 4.

Сохраните изменения (сочетание клавиш Ctrl+O), закройте редактор (сочетание клавиш Ctrl+X).

Запустите службу iplircfg:

hostname# iplir start

Добавьте разрешающее исходящее правило, указав IP-адрес агента сбора лог-коллектора:

hostname# firewall  local  add  src @local  dst <IP-адрес агента сбора лог-коллектора> udp  dport  514 pass

Шаг 3. Включите источник ViPNet.

WireGuard EdgeSecurity

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	EdgeSecurity-WireGuard
Номер (Порт)	2182
Вендор	EdgeSecurity
Тип	WireGuard
Профиль сбора	tcp_input

Примечание: WireGuard по умолчанию не записывает свои события. Журналирование событий WireGuard можно включить, используя модуль ядра wireguard linux (в версиях ядра 5.6 или новее), включив ведение журнала dyndbg, который отправляет сообщения журнала в буфер сообщений ядра.

Для настройки источника выполните следующие действия:

Проверьте состояние журналирования событий системы:
```
# cat /sys/kernel/debug/dynamic_debug/control | grep "wireguard
```
Если после выполнения команды ничего не выводится, то включите журналирование событий:
```
# modprobe wireguard
# echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control
```
Cобытия можно посмотреть любой из следующих команд:
```
# dmesg | grep “wireguard
# tail -n 300 /var/log/kern.log
```
Настройте запись журналов в отдельный файл /var/log/wireguard.log:
- создайте файл:
```
# nano /etc/rsyslog.d/10-wireguard.conf
```
- добавьте в него следующие настройки:
```
:msg,contains,"wireguard: " /var/log/wireguard.log
& stop
```

Для настройки отправки событий источника на агент сбора лог-коллектора создайте файл nano /etc/rsyslog.d/30-wireguard-lc.conf и укажите следующие настройки:

odule(load="imfile" PollingInterval="5")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/wireguard.log"
      Tag="wireguard"
      ruleset="sendlc")

ruleset(name="sendlc")
{
    action(type = "omfwd"
        Target="<IP-адрес агента сбора лог-коллектора>"
        Port="<порт, указанный в настройках профиля сбора>"
        Protocol="udp"
        ResendLastMSGOnReconnect="on"
        action.resumeRetryCount="100"
        queue.type="linkedList"
        queue.size="10000")
    stop
}

Включите источник EdgeSecurity-WireGuard.

Zeek (IDS Bro-ids)

Zeek (ранее Bro) относится к сетевым системам обнаружения вторжения, основанная на Unix-системах, которая наблюдает за сетевыми данным и обнаруживает подозрительную активность.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Zeek
Номер (Порт)	2685
Вендор	Zeek
Тип	IDS
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

В политике системы /opt/zeek/share/zeek/site/local.zeek включите запись журналов в формате JSON:
```
# Output in JSON format
@load policy/tuning/json-logs.zeek
```
Запустите zeekctl deploy для применения конфигурации.
При необходимости удостоверьтесь, что конфигурация применилась правильно. Для этого введите команду ниже и проверьте статус узла:
```
# zeekctl status
```
Проверьте отображение событий в формате JSON:
```
# tail /opt/zeek/logs/current/conn.log
```

В конфигурационный файл local.zeek добавьте поля stream и process:

type Extension: record {
 stream: string &log;
 process: string &log;
 };

function add_extension(path: string): Extension
 {
 return Extension($stream = path,
 $process = "zeek");
 }

redef Log::default_ext_func = add_extension;

Запустите zeekctl deploy для применения конфигурации.

Внимание! На данном этапе можно получить ошибку Your interface is likely receiving invalid TCP checksums, most likely from NIC checksum offloading. By default, packets with invalid checksums are discarded by Zeek unless using the -C command-line option or toggling the 'ignore_checksums' variable. Alternatively, disable checksum offloading by the network adapter to ensure Zeek analyzes the actual checksums that are transmitted. Из-за нее могут не приходит нужные поля в журналах. Для исправления ошибки в конфигурационный файл local.zeek добавьте настройку: edef ignore_checksums = T;.

Для сбора журналов создайте файл /etc/rsyslog.d/zeek-ssh.conf со следующими настройками:

module(load="imfile" PollingInterval="5")
input(type="imfile"
    reopenOnTruncate="on"
    File="/opt/zeek/logs/current/ssh.log"
    Tag="zeekssh:"
        ruleset="zeekssh")
ruleset(name="zeekssh")
{
    action(type="omfwd"
        Target="<IP-адрес агента сбора лог-коллектора"
        Port="<порт, указанный в настройках профиля сбора>"
        Protocol="tcp" 
        ResendLastMSGOnReconnect="on"
        action.resumeRetryCount="100"
        queue.type="linkedList"
        queue.size="10000")
    stop
}

Сохраните изменения и перезапустите службу rsyslog:
```
# systemctl restart rsyslog
```
Включите источник Zeek.