Интеграция Staffcop Enterprise с Komrad SIEM

KOMRAD Enterprise SIEM - система для централизованного сбора событий информационной безопасности. Позволяет оперативно выявлять инциденты информационной безопасности и реагировать на них.

Чтобы настроить передачу событий из Staffcop Enterprise в Komrad SIEM:

1. Установите и подготовьте к работе Komrad SIEM.

2. На сервере Staffcop активируйте политику Syslog-коннектор.

3. Внесите изменения в конфигурационный файл /etc/rsyslog.conf:

3.1 Откройте конфигурационный файл:

sudo nano /etc/rsyslog.conf

3.2 В конец файла добавьте строку

*.* action(type="omfwd" target="<1>" port="<2>" protocol="<3>" action.resumeRetryCount="<4>" queue.type="<5>" queue.size="<6>")

Здесь <1> - IP-адрес хоста с Syslog-коллектором, на который нужно посылать события; <2> - номер порта хоста с коллектором; <3> - протокол (tcp или udp); <4> - количество попыток передачи перед отбрасыванием сообщения (рекомендуем 100); <5> - тип очереди, которая будет использоваться (рекомендуем LinkedList); <6> - максимальный размер очереди по количеству сообщений (рекомендуем 10000).

4. Проверьте, что rsyslog запущен:

sudo systemctl status rsyslog

5. Выберите формат CEF0 для передачи логов. Для этого:

5.1 Откройте конфигурационный файл: /etc/staffcop/config.

5.2 Добавьте строку CEF_VERSION = '0'.

5.3 Если строка CEF_VERSION = уже существует, приведите её к вышеуказанному виду.

6. Проверьте поступление событий из Staffcop в Komrad.