Организация совместной работы RuSIEM и StaffCop Enterprise¶
Введение¶
RuSIEM – программный комплекс, представляющий собой SIEM-систему (Security Information and Event Management – информация о безопасности и управление событиями), предназначенную для сбора и анализа информации о событиях в информационной среде компании.
RuSIEM включает в себя различные модули – сбора и анализа информации, автоматического уведомления о событиях, которые классифицируются как инциденты, составления отчётов и т. д. Применение RuSIEM позволит автоматизировать комплексную обработку журналов различных программных комплексов, устройств безопасности и приложений и предоставить содержащиеся в них данные в виде наглядных отчётов, а также своевременно оповестить пользователей системы о произошедших событиях и инцидентах.
С помощью RuSIEM можно получить информацию об инцидентах, зарегистрированных в StaffCop Enterprise и осуществить рассылку оповещений о них группам пользователей RuSIEM, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между StaffCop Enterprise и RuSIEM.
Схема организации передачи информации из StaffCop Enterprise в RuSIEM¶
В самых общих чертах схема передачи информации из StaffCop Enterprise в RuSIEM может быть представлена следующей схемой:
Сервер StaffCop Enterprise по протоколу syslog передаёт информацию о событиях и инцидентах, собранных агентами StaffCop, на сервер RuSIEM, и пользователи RuSIEM получают уведомления об этих инцидентах в автоматическом режиме.
Администратор системы RuSIEM должен выполнить настройку сервера RuSIEM, администратор сервера StaffCop Enterprise - настройку сервера StaffCop Enterprise.
Настройка сервера StaffCop Enterprise для передачи информации в RuSIEM¶
Предполагается, что сервер StaffCop Enterprise уже развёрнут в системе, на нём созданы группы пользователей. Сервер функционирует в полном объёме, соответствующие политики для поиска инцидентов настроены. Рассмотрим на примере с следующими параметрами для подключения к серверу StaffCop Enterprise:
IPv4-адрес для подключения по протоколу ssh – 10.10.13.17
веб-интерфейс — http://10.10.13.17
логины – support для подключения по протоколу ssh и admin для веб-интерфейса
пароли – известны администратору
порт, используемый для подключения к серверу RuSIEM – 5014
В начале необходимо включить системную политику Syslog-коннектор.
Для примера будем выполнять настройку сообщения об инциденте «Выполнение PrintScreen» - будем считать, что в организации выполнение PrintScreen (сохранение в буфер копии экрана для дальнейшего использования) считается инцидентом.
Зайдём в веб-интерфейс управления сервером StaffCop Enterprise через браузер (рекомендуется использовать Google Chrrome), введём логин, пароль и нажмём кнопку «Войти». Откроется веб-интерфейс сервера StaffCop Enterprise:
Далее убедимся, что события PrintScreen агентами StaffCop были зарегистрированы ранее (а значит, можно предполагать, что они будут и в будущем). Выберем период «Текущий год»:
После отображения событий за год во вкладке «Конструктор» выберем измерение «Сработавшие политики», а в нём – фильтр по событиям «Перехват PrintScreen». Убеждаемся, что события были, для чего во вкладке «Конструктор» переместимся вниз, до ссылки «Сработавшие политики», и выберем фильтр «Перехват PrintScreen» (выделено красной рамкой):
События действительно были, это видно в правой части окна браузера.
Теперь можно переходить к настройке сервера для передачи информации о событиях в RuSIEM. Подключимся к серверу по ssh-протоколу, например, с помощью приложения PuTTY (IPv4-адрес сервера, логин и пароль нам известны заранее, показаны только актуальные фрагменты скриншотов):
После ввода логина и пароля откроется интерфейс командной строки сервера StaffCop Enterprise.
Передача информации на сервер RuSIEM выполняется сервисом rsyslog. Нужно убедиться, что сервис установлен и запущен (активен). Это делается с помощью команды:
service rsyslog status
Вывод может отличаться от показанного на скриншоте, главное, чтобы сервис был установлен и запущен: это отображено строкой «active: running» зелёного цвета в выводе результатов работы команды. Далее нажатием комбинации клавиш Ctrl-C сервер вернётся к приглашению командной строки. Если сообщения о работающем сервисе («active: running» зелёного цвета) в выводе команды нет (что является не нормальным – это системный сервис, и на сервере StaffCop Enterpise он должен работать «из коробки»), попробуйте запустить сервис командой:
sudo service rsyslog start
После чего повторно запросить состояние сервиса. Если сервис так и не заработал, единственный выход – обратиться к Вашему системному администратору Linux.
Дальше с помощью редактора nano создадим конфигурационный файл /etc/rsyslog.d/50-siem.conf от имени суперпользователя (root). Делается это командой:
sudo nano /etc/rsyslog.d/50-siem.conf
После ввода пароля пользователя support откроется окно редактора nano с пустым файлом (это покажет надпись «New File» над строками подсказки команд редактора). В этот файл нужно добавить две строки:
$RepeatedMsgReduction off
If $programname=='staffcop' then @@10.10.13.18:5014
Если вы используете две или более RuSIEM системы, конфигурация со списком серверов должна быть построчной:
$RepeatedMsgReduction off
If $programname=='staffcop' then @@10.10.10.19:518
If $programname=='staffcop' then @@10.18.10.12:514
Адрес сервера указан для примера. Замените его на адрес Вашего RuSIEM-сервера и добавить пустую строку:
после чего нажать клавиши Ctrl-X, Y и Enter. Сервер выдаст приглашение командной строки. Командой cat /etc/rsyslog.d/50-siem.conf нужно убедиться, что файл содержит введённую строку:
После этого необходимо перезапустить сервис rsyslog командой:
sudo service rsyslog restart
Если команда не выведет ничего и сервер выдаст приглашение командной строки, значит, всё настроено правильно и можно переходить к настройке сервера RuSIEM для приёма информации, передаваемой сервером StaffCop Enterprise. Настройка сервера RuSIEM для получения информации с сервера StaffCop Enterprise Предполагается, что сервер RuSIEM уже развёрнут в системе, на нём созданы группы пользователей. Сервер функционирует в полном объёме. Параметры для подключения к нему следующие:
веб-интерфейс – https://10.10.13.18
логин – admin
пароль – известен администратору.
Настройка взаимодействия со StaffCop Enterprise выполняется из веб-интерфейса RuSIEM. Подключимся к серверу RuSIEM с помощью браузера Google Chrome по протоколу https, будет отображено окно входа в систему. После ввода известных нам логина и пароля, и нажатия кнопки «Войти» откроется окно интерфейса программного комплекса RuSIEM (по умолчанию – открывается пустой рабочий стол, показана часть экрана):
Настройка правил извещения об инцидентах, собранных программным комплексом StaffCop Enterprise, производится в панели «Корреляция» (третья сверху кнопка в левой панели инструментов, если навести на неё курсор мыши – всплывёт подсказка, показана часть экрана):
При нажатии на эту кнопку будет открыта панель правил корреляции и отображён список уже имеющихся корреляций (показана часть экрана):
Нужно добавить новую корреляцию, соответствующую получению информации о событии «Выполнение операции «Print Screen», зафиксированной агентом StaffCop. Для этого нужно нажать кнопку добавления корреляции «+» в панели инструментов (слева от словосочетания «Выберите ноду»).
Откроется панель добавления новой корреляции (показана часть экрана):
Нужно заполнить поля в этом разделе следующим образом (показана часть экрана):
Далее нужно прокрутить панель создания правила корреляции вниз и сформировать правила срабатывания корреляции. Имя политики (поле policy.name) должно быть эквивалентно (equals) названию сработавшей политики в StaffCop Enterprise («Перехват Print Screen»), а значение поля vendor равняться строке “staffcop”. Поскольку в одном условии два значения задать нельзя, нужно будет задать два правила (показана часть экрана):
Можно также добавить одно или несколько дополнительных уведомлений о срабатывании правила (показана часть экрана):
И описать содержимое события (показана часть экрана):
После того, как правила созданы, нужно сохранить правило корреляции, нажав кнопку «Сохранить правило» (в самом низу панели, зелёного цвета, показана на предыдущей иллюстрации). В панели корреляций будет отображено правило, созданное нами (показана часть экрана):
Теперь у пользователей группы «Нарушение политик» будут создаваться инциденты каждый раз, когда будет срабатывать политика «Перехват Print Screen» в StaffCop Enterprise.