Организация совместной работы RuSIEM и StaffCop Enterprise

Введение

RuSIEM – программный комплекс, представляющий собой SIEM-систему (Security Information and Event Management – информация о безопасности и управление событиями), предназначенную для сбора и анализа информации о событиях в информационной среде компании.

RuSIEM включает в себя различные модули – сбора и анализа информации, автоматического уведомления о событиях, которые классифицируются как инциденты, составления отчётов и т. д. Применение RuSIEM позволит автоматизировать комплексную обработку журналов различных программных комплексов, устройств безопасности и приложений и предоставить содержащиеся в них данные в виде наглядных отчётов, а также своевременно оповестить пользователей системы о произошедших событиях и инцидентах.

С помощью RuSIEM можно получить информацию об инцидентах, зарегистрированных в StaffCop Enterprise и осуществить рассылку оповещений о них группам пользователей RuSIEM, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между StaffCop Enterprise и RuSIEM.

Схема организации передачи информации из StaffCop Enterprise в RuSIEM

В самых общих чертах схема передачи информации из StaffCop Enterprise в RuSIEM может быть представлена следующей схемой:

../_images/rusiem_1.png

Сервер StaffCop Enterprise по протоколу syslog передаёт информацию о событиях и инцидентах, собранных агентами StaffCop, на сервер RuSIEM, и пользователи RuSIEM получают уведомления об этих инцидентах в автоматическом режиме.

Администратор системы RuSIEM должен выполнить настройку сервера RuSIEM, администратор сервера StaffCop Enterprise - настройку сервера StaffCop Enterprise.

Настройка сервера StaffCop Enterprise для передачи информации в RuSIEM

Предполагается, что сервер StaffCop Enterprise уже развёрнут в системе, на нём созданы группы пользователей. Сервер функционирует в полном объёме, соответствующие политики для поиска инцидентов настроены. Рассмотрим на примере с следующими параметрами для подключения к серверу StaffCop Enterprise:

  • IPv4-адрес для подключения по протоколу ssh – 10.10.13.17

  • веб-интерфейс — http://10.10.13.17

  • логины – support для подключения по протоколу ssh и admin для веб-интерфейса

  • пароли – известны администратору

  • порт, используемый для подключения к серверу RuSIEM – 5014

В начале необходимо включить системную политику Syslog-коннектор.

Для примера будем выполнять настройку сообщения об инциденте «Выполнение PrintScreen» - будем считать, что в организации выполнение PrintScreen (сохранение в буфер копии экрана для дальнейшего использования) считается инцидентом.

Зайдём в веб-интерфейс управления сервером StaffCop Enterprise через браузер (рекомендуется использовать Google Chrrome), введём логин, пароль и нажмём кнопку «Войти». Откроется веб-интерфейс сервера StaffCop Enterprise:

Далее убедимся, что события PrintScreen агентами StaffCop были зарегистрированы ранее (а значит, можно предполагать, что они будут и в будущем). Выберем период «Текущий год»:

../_images/rusiem_2.png

После отображения событий за год во вкладке «Конструктор» выберем измерение «Сработавшие политики», а в нём – фильтр по событиям «Перехват PrintScreen». Убеждаемся, что события были, для чего во вкладке «Конструктор» переместимся вниз, до ссылки «Сработавшие политики», и выберем фильтр «Перехват PrintScreen» (выделено красной рамкой):

../_images/rusiem_3.png

События действительно были, это видно в правой части окна браузера.

Теперь можно переходить к настройке сервера для передачи информации о событиях в RuSIEM. Подключимся к серверу по ssh-протоколу, например, с помощью приложения PuTTY (IPv4-адрес сервера, логин и пароль нам известны заранее, показаны только актуальные фрагменты скриншотов):

../_images/rusiem_4.png ../_images/rusiem_5.png

После ввода логина и пароля откроется интерфейс командной строки сервера StaffCop Enterprise.

../_images/rusiem_6.png

Передача информации на сервер RuSIEM выполняется сервисом rsyslog. Нужно убедиться, что сервис установлен и запущен (активен). Это делается с помощью команды:

service rsyslog status
../_images/rusiem_7.png

Вывод может отличаться от показанного на скриншоте, главное, чтобы сервис был установлен и запущен: это отображено строкой «active: running» зелёного цвета в выводе результатов работы команды. Далее нажатием комбинации клавиш Ctrl-C сервер вернётся к приглашению командной строки. Если сообщения о работающем сервисе («active: running» зелёного цвета) в выводе команды нет (что является не нормальным – это системный сервис, и на сервере StaffCop Enterpise он должен работать «из коробки»), попробуйте запустить сервис командой:

sudo service rsyslog start

После чего повторно запросить состояние сервиса. Если сервис так и не заработал, единственный выход – обратиться к Вашему системному администратору Linux.

Дальше с помощью редактора nano создадим конфигурационный файл /etc/rsyslog.d/50-siem.conf от имени суперпользователя (root). Делается это командой:

sudo nano /etc/rsyslog.d/50-siem.conf

После ввода пароля пользователя support откроется окно редактора nano с пустым файлом (это покажет надпись «New File» над строками подсказки команд редактора). В этот файл нужно добавить две строки:

$RepeatedMsgReduction off
If $programname=='staffcop' then @@10.10.13.18:5014

Если вы используете две или более RuSIEM системы, конфигурация со списком серверов должна быть построчной:

$RepeatedMsgReduction off
If $programname=='staffcop' then @@10.10.10.19:518
If $programname=='staffcop' then @@10.18.10.12:514

Адрес сервера указан для примера. Замените его на адрес Вашего RuSIEM-сервера и добавить пустую строку:

../_images/rusiem_8.png

после чего нажать клавиши Ctrl-X, Y и Enter. Сервер выдаст приглашение командной строки. Командой cat /etc/rsyslog.d/50-siem.conf нужно убедиться, что файл содержит введённую строку:

../_images/rusiem_9.png

После этого необходимо перезапустить сервис rsyslog командой:

sudo service rsyslog restart

Если команда не выведет ничего и сервер выдаст приглашение командной строки, значит, всё настроено правильно и можно переходить к настройке сервера RuSIEM для приёма информации, передаваемой сервером StaffCop Enterprise. Настройка сервера RuSIEM для получения информации с сервера StaffCop Enterprise Предполагается, что сервер RuSIEM уже развёрнут в системе, на нём созданы группы пользователей. Сервер функционирует в полном объёме. Параметры для подключения к нему следующие:

  • веб-интерфейс – https://10.10.13.18

  • логин – admin

  • пароль – известен администратору.

Настройка взаимодействия со StaffCop Enterprise выполняется из веб-интерфейса RuSIEM. Подключимся к серверу RuSIEM с помощью браузера Google Chrome по протоколу https, будет отображено окно входа в систему. После ввода известных нам логина и пароля, и нажатия кнопки «Войти» откроется окно интерфейса программного комплекса RuSIEM (по умолчанию – открывается пустой рабочий стол, показана часть экрана):

../_images/rusiem_10.png

Настройка правил извещения об инцидентах, собранных программным комплексом StaffCop Enterprise, производится в панели «Корреляция» (третья сверху кнопка в левой панели инструментов, если навести на неё курсор мыши – всплывёт подсказка, показана часть экрана):

../_images/rusiem_11.png

При нажатии на эту кнопку будет открыта панель правил корреляции и отображён список уже имеющихся корреляций (показана часть экрана):

../_images/rusiem_12.png

Нужно добавить новую корреляцию, соответствующую получению информации о событии «Выполнение операции «Print Screen», зафиксированной агентом StaffCop. Для этого нужно нажать кнопку добавления корреляции «+» в панели инструментов (слева от словосочетания «Выберите ноду»).

../_images/rusiem_13.png

Откроется панель добавления новой корреляции (показана часть экрана):

../_images/rusiem_14.png

Нужно заполнить поля в этом разделе следующим образом (показана часть экрана):

../_images/rusiem_15.png

Далее нужно прокрутить панель создания правила корреляции вниз и сформировать правила срабатывания корреляции. Имя политики (поле policy.name) должно быть эквивалентно (equals) названию сработавшей политики в StaffCop Enterprise («Перехват Print Screen»), а значение поля vendor равняться строке “staffcop”. Поскольку в одном условии два значения задать нельзя, нужно будет задать два правила (показана часть экрана):

../_images/rusiem_16.png

Можно также добавить одно или несколько дополнительных уведомлений о срабатывании правила (показана часть экрана):

../_images/rusiem_17.png

И описать содержимое события (показана часть экрана):

../_images/rusiem_18.png

После того, как правила созданы, нужно сохранить правило корреляции, нажав кнопку «Сохранить правило» (в самом низу панели, зелёного цвета, показана на предыдущей иллюстрации). В панели корреляций будет отображено правило, созданное нами (показана часть экрана):

../_images/rusiem_19.png

Теперь у пользователей группы «Нарушение политик» будут создаваться инциденты каждый раз, когда будет срабатывать политика «Перехват Print Screen» в StaffCop Enterprise.