Интеграция Staffcop Enterprise с Komrad SIEM

KOMRAD Enterprise SIEM — система для централизованного сбора событий информационной безопасности. Позволяет оперативно выявлять инциденты информационной безопасности и реагировать на них.

Чтобы настроить передачу событий из Staffcop Enterprise в Komrad SIEM:

1. Установите и подготовьте к работе Komrad SIEM.

2. На сервере Staffcop активируйте политику Syslog-коннектор.

3. Внесите изменения в конфигурационный файл /etc/rsyslog.conf:

3.1 Откройте конфигурационный файл:

sudo nano /etc/rsyslog.conf

3.2 В конец файла добавьте строку

*.* action(type="omfwd" target="<1>" port="<2>" protocol="<3>" action.resumeRetryCount="<4>" queue.type="<5>" queue.size="<6>")

Здесь <1> — IP-адрес хоста с Syslog-коллектором, на который нужно посылать события; <2> — номер порта хоста с коллектором; <3> — протокол (tcp или udp); <4> — количество попыток передачи перед отбрасыванием сообщения (рекомендуем 100); <5> — тип очереди, которая будет использоваться (рекомендуем LinkedList); <6> — максимальный размер очереди по количеству сообщений (рекомендуем 10000).

4. Проверьте, что rsyslog запущен:

sudo systemctl status rsyslog

5. Выберите формат CEF0 для передачи логов. Для этого:

5.1 Откройте конфигурационный файл: /etc/staffcop/config.

5.2 Добавьте строку CEF_VERSION = '0'.

5.3 Если строка CEF_VERSION = уже существует, приведите её к вышеуказанному виду.

6. Проверьте поступление событий из Staffcop в Komrad.