Решения System Security

При работе по подключению решений System Security в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

• Управление источниками в Платформе;
• Руководство по настройке лог-коллектора.

Confident Dallaslock

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	DallasLock
Номер (Порт)	2676
Вендор	Confident
Тип	SZI
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

1. Войдите в интерфейс администратора Dallaslock и перейдите на вкладку Параметры безопасности → Аудит.

2. Выберите пункт Выгрузка журналов, вызовите контекстное меню и выберите пункт Свойства (см. рисунок 1).

   

   Рисунок 1 -- Dallaslock. Настройка аудита

3. Откроется окно Выгрузка журналов (см. рисунок 2).

   

   Рисунок 2 -- Окно "Выбор журналов"

4. В окне выполните следующие действия:

   • установите флаг Экспорт журналов в SIEM систему;
   • в поле Сервер укажите IP-адрес агента сбора лог-коллектора;
   • в поле Порт укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
   • в поле Формат выгрузки из выпадающего списка выберите значение "Syslog";
   • в поле Кодировка выгрузки из выпадающего списка выберите значение "CP-1251";
   • выберите журналы для отправки, установив соответствующие флаги;
   • нажмите кнопку ОК.
5. Включите источник DallasLock.

Kaspersky Anti Targeted Attack Platform

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Kaspersky-Anti-Targeted-Attack-Platform
Номер (Порт)	2602
Вендор	Kaspersky
Тип	APT-protection
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс системы Kaspersky Anti Targeted Attack под учетной записью с правами администратора.

2. Перейдите в раздел Settings → SIEM system (см. рисунок 3).

   

   Рисунок 3 -- Применение настройки отправки событий Kaspersky Anti Targeted Attack

3. Укажите следующие настройки:

   • в поле Data to send установите флаги "Activity log" и "Alerts";
   • в поле Host/IP укажите IP-адрес агента сбора лог-коллектора ;
   • в поле Port укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
   • в поле Protocol из выпадающего списка выберите протокол взаимодействия: "TCP";
   • в поле Host ID укажите ID устройства;
   • в поле Heartbeat укажите интервал отправки событий с информацией о состоянии системы;
   • при необходимости шифрования отправки событий в поле TLS encryption установите переключатель в "Enable".
4. Для сохранения изменений нажмите кнопку Apply.
5. Включите источник Kaspersky-Anti-Targeted-Attack-Platform.

Kaspersky Secure Mail Gateway

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Kaspersky-Secure-Mail-Gateway
Номер (Порт)	2608
Вендор	Kaspersky
Тип	KSMG
Профиль сбора	tcp_input

Настройка источника включает в себя следующие шаги:

1. Настройка SSH подключения Kaspersky Secure Mail Gateway.
2. Настройка экспорта событий в формате CEF.
3. Настройка отправки событий в Платформу Радар.
4. Включение источника в платформе.

Шаг 1. Настройка SSH подключения Kaspersky Secure Mail Gateway

Примечание: настройка Kaspersky Secure Mail Gateway выполняется из режима Technical Support Mode, доступ к которому выполняется по SSH ключу. Если у вас уже настроен доступ по SSH, то начните настройку с раздела Настройка экспорта событий в формате CEF.

1. Откройте терминал и выполните команду:

   $ ssh-keygen -t rsa
   

2. На консоль будет выведено следующее сообщение:

   Enter file in which to save the key (/home/user/.ssh/id_rsa):
   

3. Нажмите на клавишу Enter. Далее система предложит ввести кодовую фразу для дополнительной защиты SSH-подключения:

   Enter passphrase (empty for no passphrase):
   

4. Этот шаг можно пропустить. При ответе на этот и следующий вопрос просто нажмите клавишу Enter. После этого ключ будет создан.

5. Выведете ключ в консоль и скопируйте его в буфер обмена:

   $ cat ~/.ssh/id_rsa.pub
   

   Примечание: убедитесь что вы скопировали все содержимое ключа: тело ключа, адрес электронной почты, без дополнительных символов и знаков переноса. Для проверки вы можете вставить скопированный ключ в блокнот - должна получиться одна строка.

6. Войдите в веб-интерфейс Kaspersky Secure Mail Gateway и перейдите в раздел Settings → Application access → SSH access (см. рисунок 4).

   

   Рисунок 4 -- Kaspersky Secure Mail Gateway. SSH access

7. Нажмите на кнопку Add key. Откроется окно "Add an SSH public key" (см. рисунок 5).

   

   Рисунок 5 -- Окно "Add an SSH public key"

8. В поле Description укажите дополнительную информацию о загружаемом ключе SSH.

9. В поле Key Data вставьте скопированный ранее открытый ключ SSH.
10. Нажмите на кнопку Add.

Открытый ключ SSH будет добавлен. Администратор системы Kaspersky Secure Mail Gateway сможет подключиться к любому узлу кластера при наличии соответствующего ключа SSH.

При необходимости проверьте подключение командой:

# ssh -vvv -i .ssh/ksmg_rsa root@your-ksmg-ip-address

Где:

• .ssh/ksmg_rsa - путь к вашему ключу SSH;
• your-ksmg-ip-address - IP-адрес Kaspersky Secure Mail Gateway.

Шаг 2. Настройка экспорта событий в формате CEF

1. Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя ключ SSH. Запустится режим Technical Support Mode.

2. Откройте файл с параметрами экспорта событий:

   /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template
   

3. В блоке siemSettings выполните следующие настройки:

   • укажите категорию (facility) для syslog. Рекомендуется указать такую категорию (facility) для syslog, которая не используется другими программами на сервере. По умолчанию установлено значение local2. Допустимые значения:

         Auth.
         Authpriv.
         Cron.
         Daemon.
         Ftp.
         Lpr.
         Mail.
         News.
         Syslog.
         User.
         Uucp.
         Local0.
         Local1.
         Local2.
         Local3.
         Local4.
         Local5.
         Local6.
         Local7.
     

   • включите экспорт журналов установив значение параметра enabled равным true;

   • задайте уровень детализации экспорта журналов, установив одно из следующих значений параметра logLevel:

     • Error – экспорт событий, связанных с возникновением ошибок;
     • Info – экспорт всех событий.

     Пример:

     "siemSettings":
          {
          "enabled": true,
          "facility": "Local2",
          "logLevel": "Info",
      }
     

   • для корректного выполнения операции парсинга Платформой Радар всех журналов поставьте пробел в следующей строке (см. рисунок 6).

     

     Рисунок 6 -- Редактирование файла конфигурации.

     Примечание: источник отправляет часть логов без обязательного поля Extension. Пробел решает эту проблему и все журналы проходят операцию парсинга правильно.

4. Откройте файл /etc/rsyslog.conf и выполните следующие настройки:

   • измените строку:

     *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages
     

     указав в ней значение facility:

     *.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages
     

   • добавьте в файл следующую строку:

     <категория (facility), выбранная на шаге 2>.* -/var/log/ksmg-cef-messages
     

5. Создайте файл /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:

   # touch /var/log/ksmg-cef-messages
   # chown root:klusers /var/log/ksmg-cef-messages
   # chmod 640 /var/log/ksmg-cef-messages
   

6. Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл /etc/logrotate.d/ksmg-syslog следующие строки:

   /var/log/ksmg-cef-messages
   
   {
       size 500M
       rotate 10
       notifempty
       sharedscripts
       postrotate
       /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
       endscript
   }
   

7. Перезапустите службу rsyslog. Для этого выполните команду:

   # service rsyslog restart
   

8. Для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл выполните следующие действия:

   • войдите в веб-интерфейс Kaspersky Secure Mail Gateway и перейдите в раздел Параметры → Журналы и события → События;
   • внесите произвольное изменение в значение любого параметра и нажмите на кнопку Сохранить;
   • после этого вы можете вернуть исходное значение измененного параметра. Экспорт событий в формате CEF будет настроен.

Шаг 3. Настройка отправки событий в Платформу Радар

Внимание! Действия, описанные в разделе, необходимо выполнить на каждом узле кластера, события с которого вы хотите отправлять в Платформу Радар. Перед внесением изменений в конфигурационные файлы рекомендуется сделать их резервные копии.

1. Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя ключ SSH. Запустится режим Technical Support Mode.

2. Укажите необходимое значение facility, IP-адрес лог-коллектора и порт, по которому лог-коллектор будет принимать события от данного источника: "2608". Для этого добавьте в конец файла /etc/rsyslog.conf следующие строки:

   $WorkDirectory /var/lib/rsyslog
   $ActionQueueFileName ForwardToSIEM
   $ActionQueueMaxDiskSpace 1g
   $ActionQueueSaveOnShutdown on
   $ActionQueueType LinkedList
   $ActionResumeRetryCount -1
   <категория (facility)>.* @@<IP-адрес лог коллектора>:<порт(TCP)>
   

3. Перезапустите службу rsyslog. Для этого выполните команду:

   # service rsyslog restart
   

Шаг 4. Включение источника в платформе

Перейдите в веб-интерфейс платформы и включите источник Kaspersky-Secure-Mail-Gateway.

Papercut-NG

PaperCut NG - это средство отслеживания заданий печати и отчетности.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Papercut-NG
Номер (Порт)	2889
Вендор	Papercut
Тип	Print-Management
Профиль сбора	odbc_input

Настройка источника включает в себя следующие шаги:

1. Переключение используемой базы данных на MSSQL.
2. Настройка сетевого подключения к MSSQL.
3. Настройка ODBC драйвера.
4. Включение источника в платформе.

Шаг 1. Переключение базы данных на MSSQL

По умолчанию события аудита хранятся в базе данных Papercut-NG, которая использует Apache-Derby, к которой нет возможности подключиться для извлечения журналов. Чтобы была возможность подключаться к базе данных и свободно получать из неё нужные события, необходимо переключить работу приложения на базу данных от MSSQL.

Примечание: перед началом работы скачайте и установите MSSQL и SSMS (sql management studio).

Для переключения базы данных на MSSQL выполните следующие действия:

1. Остановите службу PaperCut Application Server.

2. Откройте командную строку и перейдите в каталог с установленным приложением:

   cd "C:\Program Files\PaperCut NG\server\bin\win"
   

3. Выполните экспорт существующей базы данных:

   db-tools export-db
   

4. В установленной MSSQL создайте базу данных papercut и пользователя papercut.

5. Выдайте пользователю papercut права владельца базой данных.
6. Настройте конфигурационный файл приложения  Papercut C:\Program Files\PaperCut NG\server\server:
   • закомментируйте строку  database.type=Internal;
   • раскомментируйте строки относящиеся к MSSQL;

   • укажите наименование базы данных, имя и пароль владельца базы данных:

     ### Database Settings ###
     
     #database.type=Internal
     #database.driver=
     #database.url=
     #database.username=
     #database.password=
     
     # MS SQLServer connection example
     # IMPORTANT: The username below is a SQL Server user, not a Windows user
     # For Integrated/Windows authentication add integratesSecurity=true property to the connection string
     # Eg: jdbc:sqlserver://localhost1433;databasename=papercut;integratesSecurity=true
     database.type=SQLServer
     database.driver=com.microsoft.sqlserver.jdbc.SQLServerDriver
     database.url=jdbc:sqlserver://localhost:1433;databaseName=papercut
     database.username=papercut
     database.password=papercut
     

Шаг 2. Настройка сетевого подключения к MSSQL

1. На ОС Windows перейдите в Управление компьютером → Службы и приложения → Диспетчер конфигурации SQL Server → Сетевая конфигурация SQL Server и включите протокол TCP/IP (см. рисунок 7).

   

   Рисунок 7 -- Сетевая конфигурация SQL Server. Настройка протоколов

2. Вызовите контекстное меню и выберите пункт свойства. Откроется окно "Свойства TCP/IP" (см. рисунок 8).

   

   Рисунок 8 -- Окно "Свойства TCP/IP". Вкладка "IP-адреса"

3. Перейдите на вкладку "IP-адреса" и в блоке IPALL укажите порт "1433" (см. рисунок 10).

4. Перезапустите службу SQL сервер.

5. Запустите командную строку и инициализируйте новую базу данных:

   cd "C:\Program Files\PaperCut NG\server\bin\win
   db-tools init-db
   

6. Загрузите «backup» базы данных:

   cd "C:\Program Files\PaperCut NG\server\bin\win
   db-tools import-db "backup file name"
   

7. Запустите службу PaperCut Application Server.

Шаг 3. Настройка ODBC драйвера

Для извлечения данных из базы с помощью лог-коллектора необходимо настроить ODBC драйвер:

1. На ОС Windows перейдите в Панель управления → Система и безопасность → Администрирование.

2. Откройте "Источники данных ODBC (64-разрядная версия)", перейдите на вкладку "Системный DSN" и нажмите кнопку Добавить. Откроется окно "Создание нового источника данных" (см. рисунок 9).

   

   Рисунок 9 -- Окно "Создание нового источника данных"

3. Выберите драйвер SQL Server и нажмите Далее.

4. Укажите наименование нового источника и наименование вашего SQL экземпляра. Нажмите Далее.
5. Включите проверку подлинности учетной записи SQL Server, установив соответствующий флаг и укажите логин и пароль sql-пользователя. Нажмите Далее.
6. На последнем шаге убедитесь, что подключение к базе данных произошло успешно и нажмите кнопку Готово.

Шаг 4. Настройка лог-коллектора и включение источника в платформе

Перейдите в веб-интерфейс платформы и включите источник Papercut-NG.

Sysmon-Windows

Sysmon (System Monitor) - утилита, которая позволяет получить более полные сведения о событиях Windows.

Перед началом работы с источником рекомендуется выполнить следующие действия:

• ознакомьтесь со справочной информацией об утилите Sysmon;
• скачайте актуальную версию с официального ресурса Microsoft;
• скачайте конфигурационный файл sysmonconfig.xml.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Sysmon-Windows
Номер (Порт)	1513
Вендор	Microsoft
Тип	Sysmon
Профиль сбора (локальный сбор)	eventlog_input_local
Профиль сбора (удаленный сбор)	eventlog_input_remote

Примечание: для запуска утилиты необходимо, чтобы на машине, на которой планируется сбор событий, было расположено два файла: файл-установщик с расширением .bat или .exe и файл конфигурации с расширением .xml. Для удобства работы рекомендуется расположить эти файлы в одной папке.

Для настройки источника выполните следующие действия:

1. Установите и настройте утилиту Sysmon:

   • создайте каталог C:\ProgramData\sysmon\;
   • в созданный каталог скопируйте дистрибутив и конфигурационный файл;
   • откройте командную строку от имени администратора (cmd);

   • перейдите в созданный каталог и установите утилиту:

     cd C:\ProgramData\sysmon\
     sysmon64.exe -accepteula -i sysmonconfig.xml
     

2. После успешной установки в Просмотре событий Windows (Event Viewer) появится новый журнал (Channel) Microsoft-Windows-Sysmon/Operational, в котором будут храниться все события.

3. Включите источник Sysmon-Windows.

Бастион СКДПУ НТ

Система контроля действий привилегированных пользователей «Новые технологии» (СКДПУ НТ) обеспечивает мониторинг подключений и действий, выполняемых привилегированными пользователями на администрируемых устройствах: бизнес-приложениях, базах данных, гипервизорах, серверах Windows и Unix/Linux, сетевых устройствах и т.д. СКДПУ позволяет осуществлять мониторинг подключений к ИТ-системам в реальном времени и ретроспективно, на основании архива сессий.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Bastion-SKDPU-NT
Номер (Порт)	2300
Вендор	IT-Bastion
Тип	Access-Gateway
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс системы СКДПУ НТ под учетной записью с правами администратора.
2. Перейдите в раздел Система → Интеграция с SIEM и укажите следующую информацию:
   • в поле Роутинг из выпадающего списка выберите значение Включено;
   • в поле Доменное имя или IP укажите IP-адрес агента сбора лог-коллектора;
   • в поле Порт укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора";
   • в поле Протокол из выпадающего списка выберите протокол взаимодействия: "UDP";
   • в поле Log format из выпадающего списка выберите формат отправки событий: "rfc5424";
   • в поле Формат времени из выпадающего списка выберите формат отображения времени в отправляемом событии: "rfc3164";
   • нажмите кнопку «+» для добавления конфигурации, а затем кнопку Применить для сохранения изменений.
3. Включите источник Bastion-SKDPU-NT.

Бастион СКДПУ НТ модуль UEBA

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Bastion-UEBA
Номер (Порт)	2301
Вендор	IT-Bastion
Тип	UEBA
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс модуля UEBA системы СКДПУ НТ под учетной записью с правами администратора.

2. Перейдите в раздел Настройки → Конфигурация журналирования (см. рисунок 10).

   

   Рисунок 10 -- Модуль UEBA. Раздел "Конфигурация журналирования"

3. Укажите в разделе следующую информацию:.

   • в поле Active из выпадающего списка выберите значение Включено;
   • в поле Адрес укажите IP-адрес агента сбора лог-коллектора;
   • в поле Порт укажите порт, по которому агент сбора лог-коллектора будет принимать события. Должен совпадать со значением, указанным в настройках соответствующего профиля сбора;
   • в поле Протокол из выпадающего списка выберите протокол взаимодействия: "UDP";
   • в поле Формат из выпадающего списка выберите формат отправки событий: "RFC";
   • в поле Фильтр из выпадающего списка выберите тип событий, отправляемых в платформу: "authorization", "audit", "sessions" или "incidents";
   • нажмите кнопку Добавить для добавления конфигурации. Добавьте таким образом необходимое количество конфигураций;
   • нажмите кнопку Применить настройки для сохранения всех добавленных конфигураций.
4. Включите источник Bastion-UEBA.