Настройка получения событий ИВК Кольчуга-К

Вы можете настроить получение событий системы ИВК Кольчуга-К в

SIEM-систему

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий ИВК Кольчуга-К в KUMA.
2. Создание коллектора KUMA для получения событий ИВК Кольчуга-К.

   Для получения событий ИВК Кольчуга-К с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Kolchuga-K syslog.

3. Установка коллектора KUMA для получения событий ИВК Кольчуга-К.
4. Проверка поступления событий ИВК Кольчуга-К в KUMA.

   Вы можете проверить, что настройка источника событий ИВК Кольчуга-К выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка передачи событий ИВК Кольчуга-К в KUMA

Чтобы настроить передачу событий межсетевого экрана ИВК КОЛЬЧУГА-К по syslog в коллектор KUMA:

1. Подключитесь к межсетевому экрану с правами администратора по протоколу SSH.
2. Создайте резервную копию файлов /etc/services и /etc/syslog.conf.
3. В конфигурационном файле /etc/syslog.conf укажите FQDN или IP-адрес коллектора KUMA. Например:

   *.* @kuma.example.com

   или

   *.* @192.168.0.100

   Сохраните изменения в конфигурационном файле /etc/syslog.conf.

4. В конфигурационном файле /etc/services укажите порт и протокол, который используется коллектором KUMA. Например:

   syslog 10514/udp

   Сохраните изменения в конфигурационном файле /etc/services.

5. Перезапустите syslog-сервер межсетевого экрана с помощью команды:

   service syslogd restart