Решения Network Security

Межсетевой экран Cisco ASA

Настройка источника

1. Подключиться к консоли устройства;

2. Для включения журналирования и экспорта событий с устройства, введите команды:

(config)# logging enable

(config)# logging host <имя интерфейса> <IP-адрес коллектора>

(config)# logging trap <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)

(config)# logging console <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)

(config)# logging asdm <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)

(config)# logging device-id ipaddress <id устройства>

(config)# logging timestamp

Включение источника на Платформе

Для информации! Включение источника в Платформе представлено в разделе Управление источниками в Платформе, Включение/выключение поддерживаемых источников и их синхронизация

1. Зайти в веб-консоль Платформы, перейти в раздел «Источники» - «Управление источниками»;

2. Найти в списке доступных источников (Cisco-ASA) и включить его;

3. Кликнуть на кнопку «Синхронизировать».

Настройка коллектора событий

Для информации! Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора

1. В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента UDP.

   Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент UDP

   Основные параметры, которые необходимо указать:

   host: "<ip адрес лог-коллектора>" (адрес, на котором запущен коллектор)

   port: <порт для приема соединений> (порт, на который будут приниматься события, если при настройке источника оставили стандартный - 2520)

2. После настройки компонента сбора событий (input) необходимо настроить компонент отправки событий (output).

   В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP.

   Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP

   Основные параметры, которые необходимо указать:

   target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы)

   port: <"порт"> (стандартный порт для данного источника 2520)

3. Далее необходимо включить компоненты сбора (collectors) и отправки (senders).

   Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Включение компонентов

   Основные параметры, которые нужно указать при включении компонентов сбора:

   collectors:

   udp_reciever:

   - <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)

   Основные параметры, которые нужно указать при включении компонентов отправки:

   senders:

   tcp:

   - <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)

4. После чего необходимо произвести настройку маршрутизации событий.

   Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Маршрутизация событий

   Основные параметры, которые нужно указать при настройке маршрута:

   route_1: &route_1

   collector_id:

   - <"id компонента сбора">

   sender_id:

   - <"id компонента отправки">

5. После нужно включить маршрут в разделе routers. Пример включения маршрута:

   routers:

   - <<: *<название маршрута> (например - <<: *route_1)

Программный комплекс СКДПУ НТ

Инструкция по настройке программного комплекса «Система контроля действий поставщиков ИТ-услуг «Новые технологии» (СКДПУ НТ) для отправки событий в Платформу Радар:

1. Зайдите в веб-интерфейс системы СКДПУ НТ под учетной записью с правами администратора системы.

2. Выберите последовательно пункты меню: «Система» -> «Интеграция с SIEM»

3. В открывшемся окне выполните настройки:

   • выбрать «Включено» в поле «Роутинг»;
   • заполнить имя хоста или IP-адрес лог-коллектора в поле «Доменное имя или IP»;
   • заполнить порт, открытый на лог-коллекторе для приема событий от данного источника, в поле «Порт»;
   • выбрать протокол взаимодействия (TCP/UDP) в поле «Протокол»;
   • выбрать формат отправки событий в поле «Log format»;
   • выбрать формат отображения времени в отправляемом событии в поле «Формат времени»;
   • нажать «+» для добавления конфигурации, а затем «Применить» для сохранения изменений (см. рисунок 1).

Рисунок 1 -- Сохранение настройки СКДПУ НТ.

McAfee Web Gateway

Инструкция по настройке McAfee Web Gateway для отправки событий в Платформу Радар:

1. Зайдите в интерфейс системы под учетной записью с правами администратора системы.

2. Зайдите в меню «Policy», затем выберите вкладку «Rule Sets» и пункт меню «Log Handler» (см. рисунок 2).

Рисунок 2 -- Выбор логов.

1. Раскройте список «Default», выберите «Access Log», в правой части окна выделите правило и нажмите «Edit».

2. В секции «Events» нажмите «Add», а затем «Event».

3. Выберите «Syslog (Number, String)» и нажмите «Parameters».

4. Для параметра «1. Level (Number)» установите значение 6, что указывает на уровень логирования «Informational». Для настройки параметра «2. Message (String)» нажмите «Use Property» и выберите «User-Defined.logLine».

5. Нажмите последовательно «OK» -> «OK» -> «Finish».

6. Повторите действия п.п. 3-7 для других наборов правил.

7. Перейдите в меню «Configuration», выберите вкладку «File Editor».

8. Разверните список с именем соответствующего устройства и выберите файл rsyslog.conf.

9. Найдите в файле следующую строку:

   *.info;mail.none;authpriv.none;cron.none /var/log/messages

   Добавьте в нее «daemon.!=info» следующим образом:

   *.info;daemon.!=info;mail.none;authpriv.none;cron.none -/var/log/messages

   Также добавьте следующую строку для отправки событий на лог-коллектор (@ - отправка по протоколу UDP, @@ - отправка по протоколу TCP):

   daemon.info @<ip-адрес лог-коллектора>:<порт лог-коллектора>

   

   Рисунок 3 -- Редактирование rsyslog.sys.

10. Нажмите кнопку «Save Changes» для сохранения изменений.

nGate Firewall

Настройка подключения источника nGate

По умолчанию логирование событий аутентификации и изменение конфигураций сохраняется в журнал ng-admin.log по пути /var/log/ngate/ng-admin/.

Для настройки пересылки логов с помощью rsyslog перейдите в директорию /etc/rsyslog.d/ и откройте файл конфигурации 50-ng-manual-fwd.conf. Закомментируйте содержимое и вставьте следующую конструкцию, после чего перезапустите службу rsyslog:

module(load="imfile" PollingInterval="10")
input(type="imfile"
      reopenOnTruncate="on"
      File="/var/log/ngate/ng-admin/ng-admin.log"
      Tag="ng-admin")
if $syslogtag == 'ng-admin' then @IP:PORT
& stop

Настройки конфигурации log-collectora

# = nGate =
udp_input_2562: &udp_input_2562
  id: "udp_input_2562"
  host: "collector_IP"
  port: 2562
  sock_buf_size: 0
  format: "json"

tcp_output_2562: &tcp_output_2562
  id: "tcp_output_2562"
  target_host: "platform_IP"
  port: 2562
  log_level: "INFO"  

senders:
  port: 48002
  log_level: "INFO"
  tcp:
    - <<: *tcp_output_2562
collectors:
  log_level: "INFO"
  udp_receiver:
    - <<: *udp_input_2562
#
route_1: &route_1
  collector_id:
    - "udp_input_2562"
  sender_id:
    - "tcp_output_2562"
routers:
  - <<: *route_1

pfSense Firewall

Настройка подключения источника Pfsense

Для настройки отправвки событий в Платформу Радар от pfSense Firewall перейдите в веб-интерфейс pfSense по адресу Status > System Logs > Settings.

Прокрутите страницу вниз до Remote Logging Options.

Выполните настройку (см. рисунок 4):

1. Включить настройку отправки логов.
2. Выбрать источник.
3. Выбрать протокол.
4. Указать адрес хоста, на который будут отправляться логи. IP:PORT.
5. Выбрать, какие логи необходимо отправлять.
6. Сохранить настройки.

Рисунок 4 -- Настройка pfSense.

Настройки конфигурации log-collectora

# = pFsense =
udp_input_515: &udp_input_515
  id: "udp_input_515"
  host: "172.30.254.166"
  port: 515
  sock_buf_size: 0
  format: "json"

tcp_output_2561: &tcp_output_2561
  id: "tcp_output_2561"
  target_host: "172.30.254.67"
  port: 2561

#=====
senders:
  port: 48002
  log_level: "INFO"
  tcp:
    - <<: *tcp_output_2561
collectors:
  log_level: "INFO"
  udp_receiver:
    - <<: *udp_input_515
#====
route_1: &route_1
  collector_id:
    - "udp_input_515"
  sender_id:
    - "tcp_output_2561"
#====
routers:
  - <<: *route_1

Usergate UTM Firewall

Подключение UserGate UTM Firewall в качестве источника событий для Платформы Радар

1. В Web-интерфейсе UserGate UTM перейдите в раздел «Настройки» и выберите пункт «Журналы и отчеты» (см. рисунок 5)

   

   Рисунок 5 -- Настройка Usergate.

2. Выберите пункт «Экспорт журналов» и нажмите кнопку «Добавить» (см. рисунок 6)

   

   Рисунок 6 -- Добавление экспорта журнала.

3. В меню «Свойства правила экспорта журналов» (см. рисунок 7) выполните нижеуказанные действия:

   • Во вкладке «Общие» (все отдельные слова в названии необходимо писать через нижнее подчеркивание «_»):

     • Установить чекбокс в стоке «Включено»;
     • Заполнить строку «Название».

   

   Рисунок 7 -- Свойства правила экспорта журналов.

   • Во вкладке «Удаленный сервер» (см. рисунок 8):

     • в графе «Тип сервера» установить значение «Syslog»;
     • в графе «адрес сервера» укать ip-адрес лог-коллектора;
     • указать порт для отправки событий;
     • в графе «Транспорт» установить значение «UDP»;
     • в графе «Протокол» установить значение «Syslog (RFC 5424)»;
     • в графе «Критичность» установить значение «Уведомительная»;
     • в графе «Объект» установить значение «Сообщения пользовательские»;
     • графы «Имя хоста» и «Название приложения» указать без пробелов.

   По-умолчанию платформой «Пангео Радар» для источника UserGate UTM выделен порт 2545

   

   Рисунок 8 -- Свойства удаленного сервера.

   • Во вкладке «Журналы для экспорта» (см. рисунок 9) установите чекбоксы напротив журналов:

     • журнал событий;
     • журнал СОВ;
     • журнал трафика;
     • журнал веб-доступа;
     • выставить для всех журналов формат «JSON»;
     • нажать кнопку «Сохранить».

   

   Рисунок 9 -- Выбор журналов для экспорта.

Citrix ADC (Netscaler)

Данное руководство описывает механизм сбора событий Citrix ADC (Netscaler) и отправки их в Платформу Радар. Для настройки сбора событий выполните шаги:

1. Войдите Web-интерфейс Citrix ADC (см. рисунок 10).

   

   Рисунок 10 -- Вход в Web-интерфейс Citrix ADC.

2. Перейдите в раздел Configuration > System > Auditing > Syslog (см. рисунок 11).

   

   Рисунок 11 -- Переход к логгированию.

3. Откройте вкладку Servers.

4. Нажмите кнопку Add.

5. На странице Create Auditing Server заполните необходимые поля, все (см. рисунок 12). Не забудьте указать актуальный адрес лог коллектора и выбранный порт.

   

   Рисунок 12 -- Создание аудита.

6. Нажмите кнопку Create.

7. Создайте syslog policy. Для этого перейдите на вкладку Policies и нажмите кнопку Add.

8. На странице Create Auditing Syslog Policy заполните поля (см. рисунок 13).

   

   Рисунок 13 -- Заполнение полей аудита.

   Введите название политики и выберите syslog сервер, который был добавлен ранее (п.п. 3-6)

9. Нажмите кнопку Create.

Настройка источника на этом закончена. Более детальную информацию о параметрах, а также о способе настройки источника с помощью командной строки, можно прочитать в документации на сайте вендора.

Мы рекомендуем настраивать источник через web-интерфейс и использовать указанные параметры конфигурации. При конфигурировании через командную сроку используйте точно такие же параметры. Изменение любого из них может повлиять на корректность работы правил разбора в Платформе Радар.

Пример конфигурационного файла лог коллектора:

cluster:
  url: "https://адрес_сервера"
  api_key: "api_key"
controller:
  port: 48000
metric_server:
  port: 48005
secret_file: "/opt/pangeoradar/configs/logcollector/secret"
secret_storage: "/opt/pangeoradar/configs/logcollector/secret_storage"
api_server:
  address: "server ip or address"
  port: 8001
  read_timeout: 60
  write_timeout: 60
  wait: 5
  enable_tls: true
  cert_file: "/opt/pangeoradar/certs/agent.crt"
  key_file: "/opt/pangeoradar/certs/agent.key"
  cert_key_pass: ""
  require_client_cert: false
  ca_file: "/opt/pangeoradar/certs/pgr.crt"
  log_level: "INFO"

journal:
  port: 48004
  log_level: "INFO"
  log_path: "/var/log/logcollector/journal.log"
  rotation_size: 30
  max_backups: 7
  max_age: 7

tcp_input_citrix_adc: &tcp_input_citrix_adc
  id: "tcp_input_citrix_adc"
  host: "172.30.250.32"
  port: 2871 # Здесь можно указать любой незанятый порт, не забудьте указать его же в конфигурации источника
  enable_tls: false
  compression_enabled: false
  connections_limit: 10
  format: "json"
  log_level: "INFO"

tcp_output_citrix_adc: &tcp_output_citrix_adc
  id: "tcp_output_citrix_adc"
  target_host: "172.30.254.68"
  port: 2870

senders:
  port: 48001
  tcp:
    - <<: *tcp_output_citrix_adc

collectors:
  log_level: "INFO"
  tcp_receiver:
    - <<: *tcp_input_citrix_adc

route_citrix_adc: &route_citrix_adc
  collector_id:
    - "tcp_input_citrix_adc"
  sender_id:
    - "tcp_output_citrix_adc"

routers:
  - <<: *route_citrix_adc

При необходимости откройте нужные порты на firewall (порты указаны в файле конфигурации).
Перезапустите службу лог коллектора.
Проверьте наличие событий в интерфейсе Платформы Радар.

Checkpoint NGFW

Настройка сбора событий Checkpoint через log-export.
Для настройки отправки событий с Checkpoint firewall по syslog выполните следующие шаги:

1. Подключитесь по ssh к инстансу Checkpoint.

2. Переключитесь в режим expert:

   > expert

3. Выполните команду для создания конфигурации отправки:

   # cp_log_export add name <имя конфигурации> target-server <ip-адрес лог-коллектора> target-port 2511 protocol tcp format <формат событий syslog>

4. Запустите конфигурацию командой:

   # cp_log_export restart name <имя конфигурации>r

   Если в конфигурации была допущена ошибка, то для ее изменения выполните команду:

   # cp_log_export set name <имя конфигурации> [параметры значения]

5. На машине с лог-коллектором добавьте изменения в файл конфигурации для сбора событий от источника и отправки их в Платформу Радар:

   • добавить Компонент сбора событий:

     tcp_input_checkpoint: & tcp_input_checkpoint
         id: "tcp_input_checkpoint"
       host: "0.0.0.0"
         port: 2511
         sock_buf_size: 0
       format: "json"
         log_level: "INFO"
     

   • добавить Компонент отправки событий:

     tcp_output_checkpoint: & tcp_output_checkpoint id: "tcp_output_checkpoint " target_host: "<ip адрес платформы/или балансера>" port: 2511 sock_buf_size: 0 log_level: "INFO"

   • указать добавленные компоненты сбора и отправки в разделы collectors и senders соответственно:

     collectors:
         tcp_receiver:
         - <<: *tcp_input_checkpoint
     
     senders:
       port: 48002
         tcp:
         - <<: *tcp_output_checkpoint
     

   • добавить маршрут взаимодействия между компонентами сбора событий и компонентами отправки событий:

     route_1_checkpoint: &route_1_checkpoint
         collector_id:
         - "udp_input_checkpoint "
         sender_id:
         - "tcp_output_checkpoint "
     

   • включить маршрут в разделе конфигурационного файла routers:

     routers:
       - <<: *route_1_checkpoint
     

Перезапустите службу лог-коллектора.
Включите источник Checkpoint в Платформе Радар и нажмите кнопку «Синхронизировать».
Проверьте поступающие события в Платформе Радар в разделе «Просмотр событий».

Cisco snort

Настройка rsyslog на сервере snort.

Логирование snort выполняется в системный журнал syslog.

Для отправки логов в платформу выполните шаги:

1. Создайте шаблон для rsyslog'a по пути /etc/rsyslog.d/. Например snort.conf

   sudo nano /etc/rsyslog.d/snort.conf

   Содержимое файла представлено ниже:

   If ($programname contains 'snort' and ($msg contains 'start' or $msg contains 'Start' or $msg contains 'Stop' or $msg contains 'stop' or $msg contains 'ERROR' or $msg contains 'fail' or $msg contains 'Fail')) or ($msg contains 'snort' and $msg contains 'exit') then @@x.x.x.x:515
   If $msg contains 'Classification' and $programname contains 'snort' then @@x.x.x.x:515
   

   Где вместо x.x.x.x необходимо указать ip-адрес лог-коллектора и порт после двоеточия.

   Первая строчка конфигурации позволяет отправлять на платформу системные логи, исключая не информативные. Вторая строчка включает пересылку алертов на платформу.

2. Перезапустить службу rsyslog.

   systemctl restart rsyslog 

Настройки конфигурации log-collectora

tcp_input_515: &tcp_input_515
  id: "tcp_input4"
  host: "0.0.0.0"
  port: 515
  sock_buf_size: 0
  format: "json"

tcp_output_2517: &tcp_output_2517
  id: "tcp_output_4"
  target_host: "x.x.x.x"
  port: 2517

senders:
  port: 48002
  log_level: "INFO"
  tcp:
    - <<: *tcp_output_2517

collectors:
  tcp_receiver:
    - <<: *tcp_input_515

route_2517: &route_2517
  collector_id:
    - "tcp_input_515"
  sender_id:
    - "tcp_output_2517"

routers:
  - <<: *route_2517

Вместо x.x.x.x необходимо также указать ip-адрес лог-коллектора и выбранный ранее порт для tcp_input.