Организация совместной работы RuSIEM и IBatyr Monitor¶
Введение¶
RuSIEM – программный комплекс, представляющий собой SIEM-систему (Security Information and Event Management – информация о безопасности и управление событиями), предназначенную для сбора и анализа информации о событиях в информационной среде компании.
RuSIEM включает в себя различные модули – сбора и анализа информации, автоматического уведомления о событиях, которые классифицируются как инциденты, составления отчётов и т. д. Применение RuSIEM позволит автоматизировать комплексную обработку журналов различных программных комплексов, устройств безопасности и приложений и предоставить содержащиеся в них данные в виде наглядных отчётов, а также своевременно оповестить пользователей системы о произошедших событиях и инцидентах.
С помощью RuSIEM можно получить информацию об инцидентах, зарегистрированных в IBatyr Monitor и осуществить рассылку оповещений о них группам пользователей RuSIEM, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между IBatyr Monitor и RuSIEM.
Схема организации передачи информации из IBatyr Monitor в RuSIEM¶
В самых общих чертах схема передачи информации из IBatyr Monitor в RuSIEM может быть представлена следующей схемой:
Сервер IBatyr Monitor по протоколу syslog передаёт информацию о событиях и инцидентах, собранных агентами IBatyr, на сервер RuSIEM, и пользователи RuSIEM получают уведомления об этих инцидентах в автоматическом режиме.
Администратор системы RuSIEM должен выполнить настройку сервера RuSIEM, администратор сервера IBatyr Monitor - настройку сервера IBatyr Monitor.
Настройка сервера IBatyr Monitor для передачи информации в RuSIEM¶
Предполагается, что сервер IBatyr Monitor уже развёрнут в системе, на нём созданы группы пользователей. Сервер функционирует в полном объёме, соответствующие политики для поиска инцидентов настроены. Рассмотрим на примере с следующими параметрами для подключения к серверу IBatyr Monitor:
IPv4-адрес для подключения по протоколу ssh – 10.10.13.17
веб-интерфейс — http://10.10.13.17
логины – support для подключения по протоколу ssh и admin для веб-интерфейса
пароли – известны администратору
порт, используемый для подключения к серверу RuSIEM – 5014
В начале необходимо включить системную политику Syslog-коннектор.
Для примера будем выполнять настройку сообщения об инциденте «Выполнение PrintScreen» - будем считать, что в организации выполнение PrintScreen (сохранение в буфер копии экрана для дальнейшего использования) считается инцидентом.
Зайдём в веб-интерфейс управления сервером IBatyr Monitor через браузер (рекомендуется использовать Google Chrrome), введём логин, пароль и нажмём кнопку «Войти». Откроется веб-интерфейс сервера IBatyr Monitor:
Далее убедимся, что события PrintScreen агентами IBatyr были зарегистрированы ранее (а значит, можно предполагать, что они будут и в будущем). Выберем период «Текущий год»:
После отображения событий за год во вкладке «Конструктор» выберем измерение «Сработавшие политики», а в нём – фильтр по событиям «Перехват PrintScreen». Убеждаемся, что события были, для чего во вкладке «Конструктор» переместимся вниз, до ссылки «Сработавшие политики», и выберем фильтр «Перехват PrintScreen» (выделено красной рамкой):
События действительно были, это видно в правой части окна браузера.
Теперь можно переходить к настройке сервера для передачи информации о событиях в RuSIEM. Подключимся к серверу по ssh-протоколу, например, с помощью приложения PuTTY (IPv4-адрес сервера, логин и пароль нам известны заранее, показаны только актуальные фрагменты скриншотов):
После ввода логина и пароля откроется интерфейс командной строки сервера IBatyr Monitor.
Передача информации на сервер RuSIEM выполняется сервисом rsyslog. Нужно убедиться, что сервис установлен и запущен (активен). Это делается с помощью команды:
service rsyslog status
Вывод может отличаться от показанного на скриншоте, главное, чтобы сервис был установлен и запущен: это отображено строкой «active: running» зелёного цвета в выводе результатов работы команды. Далее нажатием комбинации клавиш Ctrl-C сервер вернётся к приглашению командной строки. Если сообщения о работающем сервисе («active: running» зелёного цвета) в выводе команды нет (что является не нормальным – это системный сервис, и на сервере IBatyr Enterpise он должен работать «из коробки»), попробуйте запустить сервис командой:
sudo service rsyslog start
После чего повторно запросить состояние сервиса. Если сервис так и не заработал, единственный выход – обратиться к Вашему системному администратору Linux.
Дальше с помощью редактора nano создадим конфигурационный файл /etc/rsyslog.d/50-siem.conf от имени суперпользователя (root). Делается это командой:
sudo nano /etc/rsyslog.d/50-siem.conf
После ввода пароля пользователя support откроется окно редактора nano с пустым файлом (это покажет надпись «New File» над строками подсказки команд редактора). В этот файл нужно добавить две строки:
$RepeatedMsgReduction off
If $programname=='staffcop' then @@10.10.13.18:5014
Естественно, адрес 10.10.13.18 указан для примера, и нужно заменить его на адрес Вашего RuSIEM-сервера и добавить пустую строку:
после чего нажать клавиши Ctrl-X, Y и Enter. Сервер выдаст приглашение командной строки. Командой cat /etc/rsyslog.d/50-siem.conf нужно убедиться, что файл содержит введённую строку:
После этого необходимо перезапустить сервис rsyslog командой:
sudo service rsyslog restart
Если команда не выведет ничего и сервер выдаст приглашение командной строки, значит, всё настроено правильно и можно переходить к настройке сервера RuSIEM для приёма информации, передаваемой сервером IBatyr Monitor. Настройка сервера RuSIEM для получения информации с сервера IBatyr Monitor Предполагается, что сервер RuSIEM уже развёрнут в системе, на нём созданы группы пользователей. Сервер функционирует в полном объёме. Параметры для подключения к нему следующие:
веб-интерфейс – https://10.10.13.18
логин – admin
пароль – известен администратору.
Настройка взаимодействия со IBatyr Monitor выполняется из веб-интерфейса RuSIEM. Подключимся к серверу RuSIEM с помощью браузера Google Chrome по протоколу https, будет отображено окно входа в систему. После ввода известных нам логина и пароля, и нажатия кнопки «Войти» откроется окно интерфейса программного комплекса RuSIEM (по умолчанию – открывается пустой рабочий стол, показана часть экрана):
Настройка правил извещения об инцидентах, собранных программным комплексом IBatyr Monitor, производится в панели «Корреляция» (третья сверху кнопка в левой панели инструментов, если навести на неё курсор мыши – всплывёт подсказка, показана часть экрана):
При нажатии на эту кнопку будет открыта панель правил корреляции и отображён список уже имеющихся корреляций (показана часть экрана):
Нужно добавить новую корреляцию, соответствующую получению информации о событии «Выполнение операции «Print Screen», зафиксированной агентом IBatyr. Для этого нужно нажать кнопку добавления корреляции «+» в панели инструментов (слева от словосочетания «Выберите ноду»).
Откроется панель добавления новой корреляции (показана часть экрана):
Нужно заполнить поля в этом разделе следующим образом (показана часть экрана):
Далее нужно прокрутить панель создания правила корреляции вниз и сформировать правила срабатывания корреляции. Имя политики (поле policy.name) должно быть эквивалентно (equals) названию сработавшей политики в IBatyr Monitor («Перехват Print Screen»), а значение поля vendor равняться строке “staffcop”. Поскольку в одном условии два значения задать нельзя, нужно будет задать два правила (показана часть экрана):
Можно также добавить одно или несколько дополнительных уведомлений о срабатывании правила (показана часть экрана):
И описать содержимое события (показана часть экрана):
После того, как правила созданы, нужно сохранить правило корреляции, нажав кнопку «Сохранить правило» (в самом низу панели, зелёного цвета, показана на предыдущей иллюстрации). В панели корреляций будет отображено правило, созданное нами (показана часть экрана):
Теперь у пользователей группы «Нарушение политик» будут создаваться инциденты каждый раз, когда будет срабатывать политика «Перехват Print Screen» в IBatyr Monitor.