Настройка источников событий

В этом разделе представлена информация о настройке получения событий из разных источников.

Настройка получения событий Auditd

KUMA позволяет осуществлять мониторинг и проводить аудит событий Auditd на устройствах Linux.

Перед настройкой получения событий убедитесь, что вы создали коллектор KUMA для событий Auditd.

Настройка получения событий Auditd состоит из следующих этапов:

1. Настройка коллектора KUMA для получения событий Auditd.
2. Настройка сервера источника событий.
3. Проверка поступления событий Auditd в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий Auditd выполнена правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA.

Настройка коллектора KUMA для получения событий Auditd

На шаге Транспорт выберите тип коннектора TCP или UDP и переведите переключатель Auditd в активное положение.

После создания коллектора для настройки получения событий с помощью rsyslog требуется установить коллектор на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

Настройка сервера источника событий

Для передачи событий от сервера в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера в коллектор:

1. Проверьте, что на сервере источнике событий установлен сервис rsyslog. Для этого выполните следующую команду:

   systemctl status rsyslog.service

   Если сервис rsyslog не установлен на сервере, установите его, выполнив следующую команду:

   yum install rsyslog

   systemctl enable rsyslog.service

   systemctl start rsyslog.service

2. Отредактируйте файл настроек сервиса audit.service /etc/audit/auditd.conf и измените значение параметра name_format, присвоив этому параметру значение NONE:

   name_format=NONE

   После изменения настроек перезапустите сервис auditd с помощью команды:

   sudo systemctl restart auditd.service

3. В папке /etc/rsyslog.d создайте файл audit.conf со следующим содержанием в зависимости от используемого протокола:
   • Для отправки событий по протоколу TCP:

     $ModLoad imfile

     $InputFileName /var/log/audit/audit.log

     $InputFileTag tag_audit_log:

     $InputFileStateFile audit_log

     $InputFileSeverity info

     $InputFileFacility local6

     $InputRunFileMonitor

     *.* @@<IP-адрес коллектора KUMA>:<порт коллектора KUMA>

     Например:

     *.* @@192.1.3.4:5858

   • Для отправки событий по протоколу UDP:

     $ModLoad imfile

     $InputFileName /var/log/audit/audit.log

     $InputFileTag tag_audit_log:

     $InputFileStateFile audit_log

     $InputFileSeverity info

     $InputFileFacility local6

     $InputRunFileMonitor

     template(name="AuditFormat" type="string" string="<%PRI%>%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag% %msg%\n")

     *.* @<IP-адрес коллектора KUMA>:<порт коллектора KUMA>

     Например:

     *.* @192.1.3.4:5858;AuditFormat

4. Сохраните изменения в файле audit.conf.
5. Перезапустите сервис rsyslog, выполнив следующую команду:

   systemctl restart rsyslog.service

Сервер источника событий настроен. Данные о событиях передаются с сервера в коллектор KUMA.

Настройка получения событий KATA/EDR

Вы можете настроить получение событий программы Kaspersky Anti Targeted Attack Platform в

SIEM-систему

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

Перед настройкой получения событий убедитесь, что вы создали коллектор KUMA для событий KATA/EDR.

При создании коллектора в веб-интерфейсе KUMA убедитесь, что номер порта и тип коннектора совпадают с портом и протоколом, указанными в параметрах передачи событий Kaspersky Anti Targeted Attack Platform в KUMA.

Для получения событий Kaspersky Anti Targeted Attack Platform с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KATA.

Настройка получения событий KATA/EDR состоит из следующих этапов:

1. Настройка пересылки событий KATA/EDR
2. Установка коллектора KUMA в сетевой инфраструктуре
3. Проверка поступления событий KATA/EDR в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий KATA/EDR выполнена правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA. События Kaspersky Anti Targeted Attack Platform отображаются в таблице с результатами поиска как KATA.

Настройка передачи событий KATA/EDR в KUMA

Чтобы настроить передачу событий из программы Kaspersky Anti Targeted Attack Platform в KUMA:

1. В браузере на любом компьютере, на котором разрешен доступ к серверу Central Node, введите IP-адрес сервера с компонентом Central Node.

   Откроется окно ввода учетных данных пользователя Kaspersky Anti Targeted Attack Platform.

2. В окне ввода учетных данных пользователя установите флажок Локальный администратор и введите данные Администратора.
3. Перейдите в раздел Параметры → SIEM-система.
4. Укажите следующие параметры:
   1. Установите флажки Журнал активности и Обнаружения.
   2. В поле Хост/IP введите IP-адрес или имя хоста коллектора KUMA.
   3. В поле Порт укажите номер порта подключения к коллектору KUMA.
   4. В поле Протокол выберите из списка TCP или UDP.
   5. В поле ID хоста укажите идентификатор хоста сервера, который будет указан в журнале SIEM-систем как источник обнаружения.
   6. В поле Периодичность сигнала введите интервал отправки сообщений: от 1 до 59 минут.
   7. При необходимости, включите TLS-шифрование.
   8. Нажмите на кнопку Применить.

Передача событий Kaspersky Anti Targeted Attack Platform в KUMA настроена.

Создание коллектора KUMA для получения событий KATA/EDR

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Kaspersky Anti Targeted Attack Platform.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

При создании коллектора в веб-интерфейсе KUMA убедитесь, что номер порта соответствует порту, указанному в пункте 4c настроек для передачи событий Kaspersky Anti Targeted Attack Platform в KUMA, а тип коннектора соответствует типу, указанному в пункте 4d.

Для получения событий Kaspersky Anti Targeted Attack Platform с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KATA.

Установка коллектора KUMA для получения событий KATA/EDR

После создания коллектора для настройки получения событий Kaspersky Anti Targeted Attack Platform требуется установить новый коллектор на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

Настройка передачи событий Kaspersky Security Center в SIEM-систему KUMA

KUMA позволяет получать и передавать события от Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA.

Настройка передачи и получения событий Kaspersky Security Center состоит из следующих этапов:

1. Настройка передачи событий Kaspersky Security Center.
2. Настройка коллектора KUMA.
3. Установка коллектора KUMA в сетевой инфраструктуре.
4. Проверка поступления событий Kaspersky Security Center в коллектор KUMA.

   Вы можете проверить, что экспорт событий из Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA выполнен правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA с помощью веб-интерфейса KUMA.

   Чтобы отобразить события Kaspersky Security Center в таблице, введите следующее поисковое выражение:

   SELECT * FROM `events` WHERE DeviceProduct = 'KSC' ORDER BY Timestamp DESC LIMIT 250

Настройка передачи событий Kaspersky Security Center в формате CEF

Kaspersky Security Center позволяет настроить параметры экспорта событий в SIEM-систему в формате CEF.

Функция экспорта событий Kaspersky Security Center в SIEM-системы в формате CEF доступна при наличии лицензии Kaspersky Endpoint Security для бизнеса Расширенный или выше.

Чтобы настроить передачу событий от Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA:

1. В дереве консоли Kaspersky Security Center выберите узел Сервер администрирования.
2. В рабочей области узла выберите вкладку События.
3. Перейдите по ссылке Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите Настроить экспорт в SIEM-систему.

   Откроется окно Свойства: События. По умолчанию откроется раздел Экспорт событий.

4. В разделе Экспорт событий установите флажок Автоматически экспортировать события в базу SIEM-системы.
5. В раскрывающемся списке SIEM-система выберите ArcSight (CEF-формат).
6. Укажите адрес сервера SIEM-системы KUMA и порт для подключения к серверу в соответствующих полях. В качестве протокола выберите TCP/IP.

   Вы можете нажать на кнопку Экспортировать архив и указать дату, начиная с которой уже созданные события KUMA будут экспортироваться в базу SIEM-системы. По умолчанию Kaspersky Security Center экспортирует события с текущей даты.

7. Нажмите на кнопку ОК.

В результате Сервер администрирования Kaspersky Security Center будет автоматически экспортировать все события в SIEM-систему KUMA.

Настройка коллектора KUMA для сбора событий Kaspersky Security Center

После завершения настройки экспорта событий от Сервера администрирования Kaspersky Security Center в формате CEF вам нужно настроить коллектор в веб-интерфейсе KUMA.

Чтобы настроить коллектор KUMA для событий Kaspersky Security Center:

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.
2. В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC и нажмите на него, чтобы открыть для редактирования.
3. На шаге Транспорт в поле URL укажите порт, по которому коллектор будет получать события Kaspersky Security Center.

   Порт должен совпадать с портом сервера SIEM-системы KUMA.

4. На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC.
5. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
   • Хранилище. Для отправки обработанных событий в хранилище.
   • Коррелятор. Для отправки обработанных событий в коррелятор.

   Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

6. На шаге Проверка параметров нажмите Сохранить и создать сервис.
7. Скопируйте появившуюся команду для установки коллектора KUMA.

Установка коллектора KUMA для сбора событий Kaspersky Security Center

После завершения настройки коллектора для сбора событий Kaspersky Security Center в формате CEF требуется установить коллектор KUMA на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

Настройка получения событий Kaspersky Security Center из MS SQL

KUMA позволяет получать информацию о событиях Kaspersky Security Center из базы данных MS SQL (далее MS SQL).

Перед настройкой убедитесь, что вы создали коллектор KUMA для событий Kaspersky Security Center из MS SQL.

При создании коллектора в веб-интерфейсе KUMA на шаге Транспорт выберите коннектор [OOTB] KSC SQL.

Для получения событий Kaspersky Security Center из БД MS SQL на шаге Парсинг событий выберите нормализатор [OOTB] KSC from SQL

Настройка получения событий состоит из следующих этапов:

1. Создание учетной записи в MS SQL.
2. Настройка службы SQL Server Browser.
3. Создание секрета.
4. Настройка коннектора.
5. Установка коллектора в сетевой инфраструктуре.
6. Проверка поступления событий из MS SQL в коллектор KUMA.

   Вы можете проверить, что настройка поступления событий из MS SQL выполнена правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA.

Создание учетной записи в MS SQL

Для получения событий Kaspersky Security Center из MS SQL требуется учетная запись, которая имеет права, необходимые для подключения и работы с базой данных.

Чтобы создать учетную запись для работы с MS SQL:

1. Войдите на сервер с установленной MS SQL для Kaspersky Security Center.
2. С помощью SQL Server Management Studio подключитесь к MS SQL под учетной записью с правами администратора.
3. В панели Object Explorer раскройте раздел Security.
4. Нажмите правой кнопкой мыши на папку Logins и в контекстном меню выберите New Login.

   Откроется окно Login - New.

5. На вкладке General нажмите на кнопку Search рядом с полем Login name.

   Откроется окно Select User or Group.

6. В поле Enter the object name to select (examples) укажите имя объекта и нажмите ОК.

   Окно Select User or Group закроется.

7. В окне Login - New на вкладке General выберите опцию Windows authentication.
8. В поле Default database выберите БД Kaspersky Security Center.

   По умолчанию имя БД Kaspersky Security Center: KAV.

9. На вкладке User Mapping настройте права для учетной записи:
   1. В разделе Users mapped to this login выберите БД Kaspersky Security Center.
   2. В разделе Database role membership for установите флажки возле прав db_datareader и public.
10. На вкладке Status настройте права для подключения учетной записи к базе данных:
    • В разделе Permission to connect to database engine выберите Grant.
    • В разделе Login выберите Enabled.
11. Нажмите ОК.

    Окно Login - New закроется.

Чтобы проверить права учетной записи:

1. Запустите SQL Server Management Studio под созданной учетной записью.
2. Перейдите в любую таблицу MS SQL и сделайте выборку по таблице.

Настройка службы SQL Server Browser

После создания учетной записи в MS SQL требуется настроить службу SQL Server Browser.

Чтобы настроить службу SQL Server Browser:

1. Откройте SQL Server Configuration Manager.
2. В левой панели выберите SQL Server Services.

   Откроется список служб.

3. Откройте свойства службы SQL Server Browser одним из следующих способов:
   • Дважды нажмите на название службы SQL Server Browser.
   • Нажмите правой кнопкой мыши на название службы SQL Server Browser и в контекстном меню выберите Properties.
4. В открывшемся окне SQL Server Browser Properties выберите вкладку Service.
5. В поле Start Mode выберите Automatic.
6. Выберите вкладку Log On и нажмите на кнопку Start.

   Автоматический запуск службы SQL Server Browser включен.

7. Включите и настройте протокол TCP/IP, выполнив следующие действия:
   1. В левой панели раскройте раздел SQL Server Network Configuration и выберите подраздел Protocols for <Имя SQL-сервера>.
   2. Нажмите правой кнопкой мыши на протокол TCP/IP и в контекстом меню выберите Enable.
   3. В появившемся окне Warning нажмите OK.
   4. Откройте свойства протокола TCP/IP одним из следующих способов:
      • Дважды нажмите на протокол TCP/IP.
      • Нажмите правой кнопкой мыши на протокол TCP/IP и в контекстном меню выберите Properties.
   5. Выберите вкладку IP Addresses, а затем в разделе IPALL в поле TCP Port укажите порт 1433.
   6. Нажмите на кнопку Apply, чтобы сохранить внесенные изменения.
   7. Нажмите на кнопку ОК, чтобы закрыть окно.
8. Перезагрузите службу SQL Server (<Имя SQL-сервера>), выполнив следующие действия:
   1. В левой панели выберите SQL Server Services.
   2. В списке служб справа нажмите правой кнопкой мыши на службу SQL Server (<Имя SQL-сервера>) и в контекстном меню выберите Restart.
9. В Брандмауэре защитника Windows в режиме повышенной безопасности разрешите на сервере входящие подключения по порту TCP 1433.

Создание секрета в KUMA

После создания и настройки учетной записи в MS SQL требуется добавить секрет в веб-интерфейсе KUMA. Этот ресурс используется для хранения учетных данных для подключения к MS SQL.

Чтобы создать секрет в в KUMA:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите на кнопку Добавить секрет, чтобы создать новый секрет.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название выберите имя для добавляемого секрета.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
   3. В раскрывающемся списке Тип выберите urls.
   4. В поле URL укажите строку вида:

      sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/<database_name>

      где:

      • domain – имя домена.
      • %5C – разделитель домена и пользователя. Представляет собой знак "\" в URL-формате.
      • username – имя созданной учетной записи MS SQL.
      • password – пароль созданной учетной записи MS SQL.
      • server – имя или IP-адрес сервера с базой данных MS SQL, установленной для Kaspersky Security Center.
      • database_name – имя БД Kaspersky Security Center. Имя по умолчанию: KAV.

      Пример: sqlserver://test.local%5Cuser:password123@10.0.0.1:1433/KAV

      Если в пароле учетной записи БД MS SQL используются специальные символы (@ # $ % & * ! + = [ ] : ' , ? / \ ` ( ) ;), переведите их в формат URL.

4. Нажмите Сохранить.

   Из соображений безопасности после сохранения секрета строка, указанная в поле URL, скрывается.

Настройка коннектора

Для подключения KUMA к БД MS SQL требуется настроить коннектор.

Чтобы настроить коннектор:

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
2. В списке коннекторов справа найдите коннектор [OOTB] KSC SQL и откройте его для редактирования.

   Если коннектор недоступен для редактирования, скопируйте его и откройте для редактирования копию коннектора.

   Если коннектор [OOTB] KSC SQL отсутствует, обратитесь к системному администратору.

3. На вкладке Основные параметры в раскрывающихся списках URL выберите секрет, созданный для подключения к БД MS SQL.
4. Нажмите Сохранить.

Настройка коллектора KUMA для получения событий Kaspersky Security Center из MS SQL

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Kaspersky Security Center из MS SQL.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

При создании коллектора в веб-интерфейсе KUMA на шаге Транспорт выберите коннектор [OOTB] KSC SQL.

Для получения событий Kaspersky Security Center из MS SQL на шаге Парсинг событий выберите нормализатор [OOTB] KSC from SQL

Установка коллектора KUMA для получения событий Kaspersky Security Center из MS SQL

После завершения настройки коллектора для получения событий Kaspersky Security Center из MS SQL требуется установить коллектор KUMA на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)

KUMA позволяет получать информацию о событиях с устройств Windows с помощью Агента KUMA типа WEC.

Настройка получения событий состоит из следующих этапов:

1. Настройка политик получения событий с устройств Windows.
2. Настройка централизованного получения событий с помощью службы Windows Event Collector.
3. Предоставление прав для просмотра событий.
4. Предоставление прав входа в качестве службы.
5. Настройка коллектора KUMA.
6. Установка коллектора KUMA.
7. Передача в KUMA событий с устройств Windows.

Настройка аудита событий с устройств Windows

Вы можете настроить аудит событий на устройствах Windows как на конкретном устройстве, так и на всех устройствах в домене.

В этом разделе описывается настройка аудита на отдельном устройстве, а также настройка аудита с помощью групповой политики домена.

Настройка политики аудита на устройстве Windows

Чтобы настроить политики аудита на устройстве:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос secpol.msc и нажмите OK.

   Откроется окно Локальная политика безопасности.

3. Перейдите в раздел Параметры безопасности → Локальные политики → Политика аудита.
4. В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
5. В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.

   Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:

   • Аудит входа в систему
   • Аудит изменения политики
   • Аудит системных событий
   • Аудит событий входа в систему
   • Аудит управления учетными записями

Настройка политики аудита на устройстве завершена.

Настройка аудита с помощью групповой политики

Помимо настройки политики аудита на отдельном устройстве, вы также можете настроить аудит с помощью групповой политики домена.

Чтобы настроить аудит с помощью групповой политики:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос gpedit.msc и нажмите OK.

   Откроется окно Редактор локальной групповой политики.

3. Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита.
4. В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
5. В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.

   Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:

   • Аудит входа в систему
   • Аудит изменения политики
   • Аудит системных событий
   • Аудит событий входа в систему
   • Аудит управления учетными записями

Если вы хотите получать журналы Windows c большого количества серверов или если установка агентов KUMA на контроллеры домена не допускается, рекомендуется настроить перенаправление журналов Windows на отдельные серверы с настроенной службой Windows Event Collector.

Настройка политики аудита на сервере или рабочей станции завершена.

Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector

Служба Windows Event Collector позволяет централизованно получать данные о событиях на серверах и рабочих станциях под управлением ОС Windows. С помощью службы Windows Event Collector вы можете подписаться на события, которые регистрируются на удаленных устройствах.

Вы можете настроить следующие типы подписок на события:

• Source-initiated subscriptions. Удаленные устройства отправляют данные о событиях на сервер Windows Event Collector, адрес которого указывается в групповой политике. Подробнее о процедуре настройки подписки см. в разделе Настройка передачи данных с сервера источника событий.
• Collector-initiated subscriptions. Сервер Windows Event Collector подключается к удаленным устройствам и самостоятельно забирает события из локальных журналов. Подробнее о процедуре настройки подписки см. в разделе Настройка сервиса получения событий Windows.

Настройка передачи данных с сервера источника событий

Вы можете получать информацию о событиях на серверах и рабочих станциях, настроив передачу данных с удаленных устройств на сервер Windows Event Collector.

Предварительная подготовка

1. Проверьте, что служба Windows Remote Management настроена на сервере источника событий, выполнив следующую команду в консоли PowerShell:

   winrm get winrm/config

   Если служба Windows Remote Management не настроена, инициализируйте ее, выполнив следующую команду:

   winrm quickconfig

2. Если сервер источника событий является контроллером домена, откройте доступ по сети к журналам Windows, выполнив следующую команду в консоли PowerShell, запущенной от имени администратора:

   wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

   Проверьте наличие доступа, выполнив следующую команду:

   wevtutil get-log security

Настройка брандмауэра сервера источника событий

Для того чтобы сервер Windows Event Collector мог получать записи журналов Windows, требуется открыть порты для входящих соединений на сервере источника событий.

Чтобы открыть порты для входящих соединений:

1. На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос wf.msc и нажмите OK.

   Откроется окно Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.

3. Перейдите в раздел Правила для входящих подключений и в панели Действия нажмите Создать правило.

   Откроется Мастер создания правила для нового входящего пользователя.

4. На шаге Тип правила выберите Для порта.
5. На шаге Протоколы и порты в качестве протокола выберите Протокол TCP. В поле Определенные локальные порты укажите номера портов:
   • 5985 (для доступа по HTTP)
   • 5986 (для доступа по HTTPS)

   Вы можете указать один из портов или оба.

6. На шаге Действие выберите Разрешить подключение (выбрано по умолчанию).
7. На шаге Профиль снимите флажки Частный и Публичный.
8. На шаге Имя укажите имя правила для нового входящего подключения и нажмите Готово.

Настройка передачи данных с сервера источника событий завершена.

Сервер Windows Event Collector должен обладать правами для чтения журналов Windows на сервере источника событий. Права могут быть предоставлены как учетной записи сервера Windows Event Collector, так и специальной пользовательской учетной записи. Подробнее о предоставлении прав см. в разделе Предоставление прав пользователю для просмотра журнала событий Windows.

Настройка сервиса получения событий Windows

Сервер Windows Event Collector может самостоятельно подключаться к устройствам и забирать данные о событиях любого уровня важности.

Чтобы настроить получение данных о событиях сервером Windows Event Collector:

1. На сервере-источнике событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос services.msc и нажмите OK.

   Откроется окно Службы.

3. В списке служб найдите службу Сборщик событий Windows и запустите ее.
4. Откройте оснастку Просмотр событий, выполнив следующие действия:
   1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
   2. В открывшемся окне введите запрос eventvwr и нажмите OK.
5. Перейдите в раздел Подписки и в панели Действия нажмите Создать подписку.
6. В открывшемся окне Свойства подписки задайте имя и описание подписки, а также следующие параметры:
   1. В поле Конечный журнал выберите из списка Перенаправленные события.
   2. В разделе Тип подписки и исходные компьютеры нажмите на кнопку Выбрать компьютеры.
   3. В открывшемся окне Компьютеры нажмите на кнопку Добавить доменный компьютер.

      Откроется окно Выбор: "Компьютер".

   4. В поле Введите имена выбираемых объектов (примеры) перечислите имена устройств, с которых вы хотите получать информацию о событиях. Нажмите ОК.
   5. В окне Компьютеры проверьте список устройств, с которых сервер Windows Event Collector будет забирать данные о событиях и нажмите ОК.
   6. В окне Свойства подписки в поле Собираемые события нажмите на кнопку Выбрать события.
   7. В открывшемся окне Фильтр запроса укажите, как часто и какие данные о событиях на устройствах вы хотите получать.
   8. При необходимости в поле <Все коды событий> перечислите коды событий, информацию о которых вы хотите или не хотите получать. Нажмите ОК.
7. Если вы хотите использовать специальную учетную запись для просмотра данных о событиях, выполните следующие действия:
   1. В окне Свойства подписки нажмите на кнопку Дополнительно.
   2. В открывшемся окне Дополнительные параметры подписки в настройках учетной записи пользователя выберите Определенный пользователь.
   3. Нажмите на кнопку Пользователь и пароль и задайте учетные данные выбранного пользователя.

Настройка сервиса получения событий завершена.

Чтобы проверить, что настройка выполнена правильно и данные о событиях поступают на сервер Windows Event Collector,

в оснастке Просмотр событий перейдите в раздел Просмотр событий (Локальный) → Журналы Windows → Перенаправленные события.

Предоставление прав для просмотра событий Windows

Вы можете предоставить права для просмотра событий Windows как для конкретного устройства, так и для всех устройств в домене.

Чтобы предоставить права для просмотра событий на конкретном устройстве:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос compmgmt.msc и нажмите OK.

   Откроется окно Управление компьютером.

3. Перейдите в раздел Управление компьютером (локальным) → Локальные пользователи и группы → Группы.
4. В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.
5. Внизу окна Свойства: Читатели журнала событий нажмите на кнопку Добавить.

   Откроется окно Выбор пользователя, компьютера или группы.

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

Чтобы предоставить права для просмотра событий всех устройств в домене:

1. Зайдите в контроллер домена с правами администратора.
2. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
3. В открывшемся окне введите запрос dsa.msc и нажмите OK.

   Откроется окно Active Directory Пользователи и Компьютеры.

4. Перейдите в раздел Active Directory Пользователи и Компьютеры → <Имя домена> → Builtin.
5. В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.

   В окне Свойства: Читатели журнала событий откройте вкладку Члены и нажмите на кнопку Добавить.

   Откроется окно Выбор пользователя, компьютера или группы.

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

Предоставление прав входа в качестве службы

Вы можете предоставить право на вход в систему в качестве службы как конкретному устройству, так и всем устройствам в домене. Право входа в систему в качестве службы позволяет запустить процесс от имени учетной записи, которой это право предоставлено.

Чтобы предоставить право на вход в качестве службы устройству:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос secpol.msc и нажмите OK.

   Откроется окно Локальная политика безопасности.

3. Перейдите в раздел Параметры безопасности → Локальные политики → Назначение прав пользователя.
4. В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
5. В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить Пользователя или Группу.

   Откроется окно Выбор пользователей или групп.

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена учетных записей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

Перед предоставлением права убедитесь, что учетные записи или устройства, которым вы собираетесь предоставить право Вход в качестве службы, отсутствуют в свойствах политики Отказ во входе в качестве службы.

Чтобы предоставить право на вход в качестве службы устройствам в домене:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос gpedit.msc и нажмите OK.

   Откроется окно Редактор локальной групповой политики.

3. Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Назначение прав пользователя.
4. В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
5. В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить Пользователя или Группу.

   Откроется окно Выбор пользователей или групп.

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

Перед предоставлением права убедитесь, что учетные записи или устройства, которым вы собираетесь предоставить право Вход в качестве службы, отсутствуют в свойствах политики Отказ во входе в качестве службы.

Настройка коллектора KUMA для получения событий с устройств Windows

После завершения настройки политики аудита на устройствах, а также создания подписок на события и предоставления всех необходимых прав, требуется создать коллектор в веб-интерфейсе KUMA для событий с устройств Windows.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

Для получения событий от устройств Windows в мастере установки коллектора KUMA укажите следующие параметры коллектора:

1. На шаге Транспорт укажите следующие параметры:
   1. В поле Коннектор выберите Создать.
   2. В поле Тип выберите http.
   3. В поле Разделитель выберите \0.
2. На вкладке Дополнительные параметры в поле Режим TLS выберите С верификацией.
3. На шаге Парсинг событий нажмите на кнопку Добавить парсинг событий.
4. В открывшемся окне Основной парсинг событий в поле Нормализатор выберите [OOTB] Microsoft Products и нажмите ОК.
5. На шаге Маршрутизация добавьте следующие точки назначения:
   • Хранилище. Для отправки обработанных событий в хранилище.
   • Коррелятор. Для отправки обработанных событий в коррелятор.

   Если точки назначения Хранилище и Коррелятор не добавлены, создайте их

6. На шаге Проверка параметров нажмите Сохранить и создать сервис.
7. Скопируйте появившуюся команду для установки коллектора KUMA.

Установка коллектора KUMA для получения событий с устройств Windows

После завершения настройки коллектора для получения событий Windows требуется установить коллектор KUMA на сервере сетевой инфраструктуры, предназначенной для получения событий.

Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.

Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)

Чтобы завершить настройку передачи данных, требуется создать агент KUMA типа WEC, а затем установить его на устройстве, с которого вы хотите получать информацию о событиях.

Подробнее о создании и установке агента KUMA типа WEC на устройства Windows см. в разделе Передача в KUMA событий с устройств Windows.

Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)

KUMA позволяет получать информацию о событиях с устройств Windows с помощью Агента KUMA типа WMI.

Настройка получения событий состоит из следующих этапов:

1. Настройка параметров аудита для работы с KUMA.
2. Настройка передачи данных с сервера источника событий.
3. Предоставление прав для просмотра событий.
4. Предоставление прав входа в качестве службы.
5. Создание коллектора KUMA.

   Для получения событий от устройств Windows в мастере установки коллектора KUMA на шаге Парсинг событий в поле Нормализатор выберите [OOTB] Microsoft Products.

6. Установка коллектора KUMA.
7. Передача в KUMA событий с устройств Windows.

   Чтобы завершить настройку передачи данных, требуется создать агент KUMA типа WMI, а затем установить его на устройстве, с которого вы хотите получать информацию о событиях.

Настройка параметров аудита для работы с KUMA

Вы можете настроить аудит событий на устройствах Windows как на конкретном устройстве с помощью локальной политики, так и на всех устройствах в домене с помощью групповой политики.

В этом разделе описывается настройка аудита на отдельном устройстве, а также настройка аудита с помощью групповой политики домена.

Настройка аудита с помощью локальной политики

Чтобы настроить аудит с помощью локальной политики:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос secpol.msc и нажмите OK.

   Откроется окно Локальная политика безопасности.

3. Перейдите в раздел Параметры безопасности → Локальные политики → Политика аудита.
4. В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
5. В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.

   Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:

   • Аудит входа в систему
   • Аудит изменения политики
   • Аудит системных событий
   • Аудит событий входа в систему
   • Аудит управления учетными записями

Настройка политики аудита на устройстве завершена.

Настройка аудита с помощью групповой политики

Помимо настройки аудита на отдельном устройстве вы также можете настроить аудит с помощью групповой политики домена.

Чтобы настроить аудит с помощью групповой политики:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос gpedit.msc и нажмите OK.

   Откроется окно Редактор локальной групповой политики.

3. Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита.
4. В панели справа двойным щелчком мыши откройте свойства политики, для которой вы хотите включить аудит успешных и неуспешных попыток.
5. В окне Свойства <Имя политики> на вкладке Параметр локальной безопасности установите флажки Успех и Отказ, чтобы отслеживать успешные и прерванные попытки.

   Рекомендуется включить аудит успешных и неуспешных попыток для следующих политик:

   • Аудит входа в систему
   • Аудит изменения политики
   • Аудит системных событий
   • Аудит событий входа в систему
   • Аудит управления учетными записями

Настройка политики аудита на сервере или рабочей станции завершена.

Настройка передачи данных с сервера источника событий

Предварительная подготовка

1. На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос services.msc и нажмите OK.

   Откроется окно Службы.

3. В списке служб найдите следующие службы:
   • Удаленный вызов процедур
   • Сопоставитель конечных точек RPC
4. Убедитесь, что в графе Состояние у этих служб отображается статус Выполняется.

Настройка брандмауэра сервера источника событий

Сервер Windows Management Instrumentation может получать записи журналов Windows, если открыты порты для входящих соединений на сервере источника событий.

Чтобы открыть порты для входящих соединений:

1. На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос wf.msc и нажмите OK.

   Откроется окно Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.

3. В окне Монитор брандмауэра Защитника Windows в режиме повышенной безопасности перейдите в раздел Правила для входящих подключений и в панели Действия нажмите Создать правило.

   Откроется Мастер создания правила для нового входящего подключения.

4. В Мастере создания правила для нового входящего подключения на шаге Тип правила выберите Для порта.
5. На шаге Протоколы и порты в качестве протокола выберите Протокол TCP. В поле Определенные локальные порты укажите номера портов:
   • 135
   • 445
   • 49152-65535
6. На шаге Действие выберите Разрешить подключение (выбрано по умолчанию).
7. На шаге Профиль снимите флажки Частный и Публичный.
8. На шаге Имя укажите имя правила для нового входящего подключения и нажмите Готово.

Настройка передачи данных с сервера источника событий завершена.

Предоставление прав для просмотра событий Windows

Вы можете предоставить права для просмотра событий Windows как для конкретного устройства, так и для всех устройств в домене.

Чтобы предоставить права для просмотра событий на конкретном устройстве:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос compmgmt.msc и нажмите OK.

   Откроется окно Управление компьютером.

3. Перейдите в раздел Управление компьютером (локальным) → Локальные пользователи и группы → Группы.
4. В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.
5. Внизу окна Свойства: Читатели журнала событий нажмите на кнопку Добавить.

   Откроется окно Выбор пользователя, компьютера или группы.

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

Чтобы предоставить права для просмотра событий всех устройств в домене:

1. Зайдите в контроллер домена с правами администратора.
2. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
3. В открывшемся окне введите запрос dsa.msc и нажмите OK.

   Откроется окно Active Directory Пользователи и Компьютеры.

4. В окне Active Directory Пользователи и Компьютеры перейдите в раздел Active Directory Пользователи и Компьютеры → <Имя домена> → Builtin.
5. В панели справа выберите группу Читатели журнала событий и двойным щелчком мыши откройте свойства политики.

   В окне Свойства: Читатели журнала событий откройте вкладку Члены и нажмите на кнопку Добавить.

   Откроется окно Выбор пользователя, компьютера или группы.

6. В окне Выбор пользователя, компьютера или группы в поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить права для просмотра данных о событиях. Нажмите ОК.

Предоставление прав входа в качестве службы

Вы можете предоставить право на вход в систему в качестве службы как конкретному устройству, так и всем устройствам в домене. Право входа в систему в качестве службы позволяет запустить процесс от имени учетной записи, которой это право предоставлено.

Перед предоставлением права убедитесь, что учетные записи или устройства, которым вы собираетесь предоставить право Вход в качестве службы, отсутствуют в свойствах политики Отказ во входе в качестве службы.

Чтобы предоставить право на вход в качестве службы устройству:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос secpol.msc и нажмите OK.

   Откроется окно Локальная политика безопасности.

3. В окне Локальная политика безопасности перейдите в раздел Параметры безопасности → Локальные политики → Назначение прав пользователя.
4. В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
5. В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить пользователя или группу.

   Откроется окно Выбор "Пользователи или "Группы".

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена учетных записей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

Чтобы предоставить право на вход в качестве службы устройствам в домене:

1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос gpedit.msc и нажмите OK.

   Откроется окно Редактор локальной групповой политики.

3. Перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Назначение прав пользователя.
4. В панели справа двойным щелчком мыши откройте свойства политики Вход в качестве службы.
5. В открывшемся окне Свойства: Вход в качестве службы нажмите на кнопку Добавить пользователя или группу.

   Откроется окно Выбор "Пользователи или "Группы".

6. В поле Введите имена выбираемых объектов (примеры) перечислите имена пользователей или устройств, которым вы хотите предоставить право входа в систему в качестве службы. Нажмите ОК.

Настройка получения событий PostgreSQL

KUMA позволяет осуществлять мониторинг и проводить аудит событий PostgreSQL на устройствах Linux с помощью rsyslog.

Аудит событий проводится с помощью плагина pgAudit. Плагин поддерживает работу с PostgreSQL версии 9.5 и выше. Подробную информацию о плагине pgAudit см. по ссылке: https://github.com/pgaudit/pgaudit.

Настройка получения событий состоит из следующих этапов:

1. Установка плагина pdAudit.
2. Создание коллектора KUMA для событий PostgreSQL.

   Для получения событий PostgreSQL с помощью rsyslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] PostgreSQL pgAudit syslog.

3. Установка коллектора в сетевой инфраструктуре KUMA.
4. Настройка сервера источника событий.
5. Проверка поступления событий PostgreSQL в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий PostgreSQL выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

Установка плагина pgAudit

Чтобы установить плагин pgAudit:

1. В командном интерпретаторе выполните команды под учетной записью с правами администратора:

   sudo apt update

   sudo apt -y install postgresql-<версия базы данных PostgreSQL>-pgaudit

   Версию плагина необходимо выбрать в зависимости от версии PostgresSQL. Информацию о версиях PostgreSQL и необходимых версиях плагина см.по ссылке: https://github.com/pgaudit/pgaudit#postgresql-version-compatibility.

   Пример: sudo apt -y install postgresql-12-pgaudit

2. Найдите конфигурационный файл postgres.conf. Для этого в командной строке PostgresSQL выполните команду:

   show data_directory;

   В ответе будет указано расположение конфигурационного файла.

3. Создайте резервную копию конфигурационного файла postgres.conf.
4. Откройте файл postgres.conf и скопируйте или замените имеющиеся значения на указанные ниже.

   ```

   ## pgAudit settings

   shared_preload_libraries = 'pgaudit'

   ## database logging settings

   log_destination = 'syslog'

   ## syslog facility

   syslog_facility = 'LOCAL0'

   ## event ident

   syslog_ident = 'Postgres'

   ## sequence numbers in syslog

   syslog_sequence_numbers = on

   ## split messages in syslog

   syslog_split_messages = off

   ## message encoding

   lc_messages = 'en_US.UTF-8'

   ## min message level for logging

   client_min_messages = log

   ## min error message level for logging

   log_min_error_statement = info

   ## log checkpoints (buffers, restarts)

   log_checkpoints = off

   ## log query duration

   log_duration = off

   ## error description level

   log_error_verbosity = default

   ## user connections logging

   log_connections = on

   ## user disconnections logging

   log_disconnections = on

   ## log prefix format

   log_line_prefix = '%m|%a|%d|%p|%r|%i|%u| %e '

   ## log_statement

   log_statement = 'none'

   ## hostname logging status. dns bane resolving affect

   #performance!

   log_hostname = off

   ## logging collector buffer status

   #logging_collector = off

   ## pg audit settings

   pgaudit.log_parameter = on

   pgaudit.log='ROLE, DDL, MISC, FUNCTION'

   ```

5. Перезапустите службу PostgreSQL при помощи команды:

   sudo systemctl restart postgresql

6. Чтобы загрузить плагин pgAudit в PostgreSQL, в командной строке PostgreSQL выполните команду:

   CREATE EXTENSION pgaudit;

Плагин pgAudit установлен.

Настройка Syslog-сервера для отправки событий

Для передачи событий от сервера в KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера, на котором установлена PostgreSQL, в коллектор:

1. Чтобы проверить, что на сервере источника событий установлен сервис rsyslog, выполните следующую команду под учетной записью с правами администратора:

   sudo systemctl status rsyslog.service

   Если сервис rsyslog не установлен на сервере, установите его, выполнив следующие команды:

   yum install rsyslog

   sudo systemctl enable rsyslog.service

   sudo systemctl start rsyslog.service

2. В директории /etc/rsyslog.d/ создайте файл pgsql-to-siem.conf со следующим содержанием:

   If $programname contains 'Postgres' then @<IP-адрес коллектора>:<порт коллектора>

   Например:

   If $programname contains 'Postgres' then @192.168.1.5:1514

   Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:
   If $programname contains 'Postgres' then @@<IP-адрес коллектора>:<порт коллектора>

   Сохраните изменения в конфигурационном файле pgsql-to-siem.conf.

3. В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:

   $IncludeConfig /etc/pgsql-to-siem.conf

   $RepeatedMsgReduction off

   Сохраните изменения в конфигурационном файле /etc/rsyslog.conf.

4. Перезапустите сервис rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service

Настройка получения событий ИВК Кольчуга-К

Вы можете настроить получение событий системы ИВК Кольчуга-К в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий ИВК Кольчуга-К в KUMA.
2. Создание коллектора KUMA для получения событий ИВК Кольчуга-К.

   Для получения событий ИВК Кольчуга-К с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Kolchuga-K syslog.

3. Установка коллектора KUMA для получения событий ИВК Кольчуга-К.
4. Проверка поступления событий ИВК Кольчуга-К в KUMA.

   Вы можете проверить, что настройка источника событий ИВК Кольчуга-К выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка передачи событий ИВК Кольчуга-К в KUMA

Чтобы настроить передачу событий межсетевого экрана ИВК КОЛЬЧУГА-К по syslog в коллектор KUMA:

1. Подключитесь к межсетевому экрану с правами администратора по протоколу SSH.
2. Создайте резервную копию файлов /etc/services и /etc/syslog.conf.
3. В конфигурационном файле /etc/syslog.conf укажите FQDN или IP-адрес коллектора KUMA. Например:

   *.* @kuma.example.com

   или

   *.* @192.168.0.100

   Сохраните изменения в конфигурационном файле /etc/syslog.conf.

4. В конфигурационном файле /etc/services укажите порт и протокол, который используется коллектором KUMA. Например:

   syslog 10514/udp

   Сохраните изменения в конфигурационном файле /etc/services.

5. Перезапустите syslog-сервер межсетевого экрана с помощью команды:

   service syslogd restart

Настройка получения событий КриптоПро NGate

Вы можете настроить получение событий программы КриптоПро NGate в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий КриптоПро NGate в KUMA.
2. Создание коллектора KUMA для получения событий КриптоПро NGate.

   Для получения событий КриптоПро NGate в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] NGate syslog.

3. Установка коллектора KUMA для получения событий КриптоПро NGate.
4. Проверка поступления событий КриптоПро NGate в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий КриптоПро NGate выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка передачи событий КриптоПро NGate в KUMA

Чтобы настроить передачу событий из программы КриптоПро NGate в KUMA:

1. Подключитесь к веб-интерфейсу системы управления NGate.
2. Подключите удаленные syslog-серверы к системе управления. Для этого выполните следующие действия:
   1. Откройте страницу списка syslog-серверов External Services → Syslog Server → Add Syslog Server.
   2. Введите параметры syslog-сервера и нажмите на значок .
3. Выполните привязку syslog-серверов к конфигурации для записи журналов работы кластера. Для этого выполните следующие действия:
   1. В разделе Clusters → Summary выберите настраиваемый кластер.
   2. На вкладке Configurations нажмите на элемент Configuration нужного кластера для входа на страницу настроек конфигурации.

   3. В поле 

      Syslog Servers

       настраиваемой конфигурации нажмите на кнопку 

      Assign

      .

   4. Установите флажки для syslog-серверов, которые которые вы хотите привязать, и нажмите

      на значок .

      Вы можете привязать неограниченное число серверов.

      Чтобы добавить новые syslog-серверы, нажмите на значок .

   5. Опубликуйте конфигурацию для активации новых настроек.

4. Выполните привязку syslog-серверов к системе управления для записи журналов работы Администратора. Для этого выполните следующие действия:

   1. Выберите пункт меню Management Center Settings и на открывшейся странице в блоке Syslog servers нажмите на кнопку Assign.
   2. В окне Assign Syslog Servers to Management Center установите флажок для тех syslog-серверов, которые вы хотите привязать, затем нажмите на значок .

      Вы можете привязать неограниченное количество серверов.

В результате события программы КриптоПро NGate передаются в KUMA.

Настройка получения событий Ideco UTM

Вы можете настроить получение событий программы Ideco UTM в KUMA по протоколу Syslog.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий Ideco UTM в KUMA.
2. Создание коллектора KUMA для получения событий Ideco UTM.

   Для получения событий Ideco UTM в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Ideco UTM syslog.

3. Установка коллектора KUMA для получения событий Ideco UTM.
4. Проверка поступления событий Ideco UTM в KUMA.

   Вы можете проверить, что настройка сервера источника событий Ideco UTM выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка передачи событий Ideco UTM в KUMA

Чтобы настроить передачу событий из программы Ideco UTM в KUMA:

1. Подключитесь к веб-интерфейсу Ideco UTM под учётной записью, обладающей административными привилегиями.
2. В меню Пересылка системных сообщений переведите переключатель Syslog в положение включено.
3. В параметре IP-адрес укажите IP-адрес коллектора KUMA.
4. В параметре Порт введите порт, который прослушивает коллектор KUMA.
5. Нажмите Сохранить для применения внесенных изменений.

Передача событий в Ideco UTM в KUMA будет настроена.

Настройка получения событий KWTS

Вы можете настроить получение событий из системы анализа и фильтрации веб-трафика Kaspersky Web Traffic Security (KWTS) в KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий KWTS в KUMA.
2. Создание коллектора KUMA для получения событий KWTS.

   Для получения событий KWTS в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KWTS.

3. Установка коллектора KUMA для получения событий KWTS.
4. Проверка поступления событий KWTS в коллектор KUMA.

   Вы можете проверить, что настройка передачи событий KWTS выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка передачи событий KWTS в KUMA

Чтобы настроить передачу событий KWTS в KUMA:

1. Подключитесь к серверу KWTS по протоколу SSH под учетной записью root.
2. Перед внесением изменений создайте резервные копии следующих файлов:
   • /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template
   • /etc/rsyslog.conf
3. Убедитесь, что параметры конфигурационного файла /opt/kaspersky/kwts/share/templates/core_settings/event_logger.json.template имеют следующие значения, при необходимости внесите изменения:

   "siemSettings":

   {

   "enabled": true,

   "facility": "Local5",

   "logLevel": "Info",

   "formatting":

   {

4. Сохраните внесенные изменения.
5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf:

   $WorkDirectory /var/lib/rsyslog

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   local5.* @<<IP-адрес коллектора KUMA>:<порт коллектора>>

   Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

   local5.* @@<<IP-адрес коллектора KUMA>:<порт коллектора>>

6. Сохраните внесенные изменения
7. Перезапустите сервис rsyslog с помощью следующей команды:

   sudo systemctl restart rsyslog.service

8. Перейдите в веб-интерфейс KWTS на вкладку Параметры – Syslog и включите опцию Записывать информацию о профиле трафика.
9. Нажмите Сохранить.

Настройка получения событий KLMS

Вы можете настроить получение событий из системы анализа и фильтрации почтового трафика Kaspersky Linux Mail Server (KLMS) в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. В зависимости от используемой версии KLMS, выберите один из вариантов:
   • Настройка передачи событий KLMS 8 в KUMA.
   • Настройка передачи событий KLMS 10 в KUMA.
2. Создание коллектора KUMA для получения событий KLMS.

   Для получения событий KLMS в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KLMS syslog CEF.

3. Установка коллектора KUMA для получения событий KLMS.
4. Проверка поступления событий KLMS в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий KLMS выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка передачи событий KLMS в KUMA

Чтобы настроить передачу событий KLMS в KUMA:

1. Подключитесь к серверу KLMS по протоколу SSH и перейдите в меню Technical Support Mode.
2. С помощью утилиты klms-control выгрузите настройки в файл settings.xml:

   sudo /opt/kaspersky/klms/bin/klms-control --get-settings EventLogger -n -f /tmp/settings.xml

3. Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:

   <siemSettings>

   <enabled>1</enabled>

   <facility>Local1</facility>

   ...

   </siemSettings>

4. Примените настройки с помощью следующей команды:

   sudo /opt/kaspersky/klms/bin/klms-control --set-settings EventLogger -n -f /tmp/settings.xml

5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf.

   $WorkDirectory /var/lib/rsyslog

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   local1.* @<<IP-адрес коллектора KUMA>:<порт коллектора>>

   Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

   local1.* @@<<IP-адрес коллектора KUMA>:<порт коллектора>>

6. Сохраните внесенные изменения.
7. Перезапустите сервис rsyslog с помощью следующей команды:

   sudo systemctl restart rsyslog.service

Настройка получения событий KSMG

Вы можете настроить получение событий из систем анализа и фильтрации почтового трафика Kaspersky Secure Mail Gateway (KSMG) 1.1 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий KSMG в KUMA.
2. Создание коллектора KUMA для получения событий KSMG.

   Для получения событий KSMG в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] KSMG.

3. Установка коллектора KUMA для получения событий KSMG.
4. Проверка поступления событий KSMG в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий KSMG выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка передачи событий KSMG в KUMA

Чтобы настроить передачу событий KSMG в KUMA:

1. Подключитесь к серверу KSMG по протоколу SSH под учетной записью с правами администратора.
2. С помощью утилиты ksmg-control выгрузите настройки в файл settings.xml:

   sudo /opt/kaspersky/ksmg/bin/ksmg-control --get-settings EventLogger -n -f /tmp/settings.xml

3. Убедитесь, что параметры файла /tmp/settings.xml имеют следующие значения, при необходимости внесите изменения:

   <siemSettings>

   <enabled>1</enabled>

   <facility>Local1</facility>

4. Примените настройки с помощью следующей команды:

   sudo /opt/kaspersky/ksmg/bin/ksmg-control --set-settings EventLogger -n -f /tmp/settings.xml

5. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл /etc/rsyslog.conf:

   $WorkDirectory /var/lib/rsyslog

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   local1.* @<<IP-адрес коллектора KUMA>:<порт коллектора>>

   Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

   local1.* @@<<IP-адрес коллектора KUMA>:<порт коллектора>>

6. Сохраните внесенные изменения.
7. Перезапустите сервис rsyslog с помощью следующей команды:

   sudo systemctl restart rsyslog.service

Настройка получения событий PT NAD

Вы можете настроить получение событий из PT NAD в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий PT NAD в KUMA.
2. Создание коллектора KUMA для получения событий PT NAD.

   Для получения событий PT NAD с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] PT NAD json.

3. Установка коллектора KUMA для получения событий PT NAD.
4. Проверка поступления событий PT NAD в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий PT NAD выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка передачи событий PT NAD в KUMA

Настройка передачи событий из PT NAD 11 в KUMA по Syslog включает следующие этапы:

1. Настройка модуля ptdpi-worker@notifier.
2. Настройка отправки syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации.

Настройка модуля ptdpi-worker@notifier

Для включения отправки информации об обнаруженных угрозах информационной безопасности необходимо настроить модуль ptdpi-worker@notifier.

В многосерверной конфигурации инструкцию нужно выполнять на основном сервере.

Чтобы настроить модуль ptdpi-worker@notifier:

1. Откройте файл /opt/ptsecurity/etc/ptdpi.settings.yaml:

   sudo nano /opt/ptsecurity/etc/ptdpi.settings.yaml

2. В группе параметров General settings раскомментируйте параметр workers и добавьте notifier в список его значений.

   Например:

   workers: ad alert dns es hosts notifier

3. Добавьте в конец файла строку вида notifier.yaml.nad_web_url: <URL веб-интерфейса PT NAD>

   Например:

   notifier.yaml.nad_web_url: https://ptnad.example.com

   Модуль ptdpi-worker@notifier будет использовать указанный URL для формирования ссылок на карточки сессий и активностей при отправке сообщений.

4. Перезапустите сенсор:

   sudo ptdpictl restart-all

Модуль ptdpi-worker@notifier настроен.

Настройка syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации

Параметры, перечисленные в следующей инструкции могут отсутствовать в конфигурационном файле. Если параметр отсутствует, вам нужно добавить его в файл самостоятельно.

В многосерверной конфигурации PT NAD настройка выполняется на основном сервере.

Чтобы настроить отправку syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации:

1. Откройте файл /opt/ptsecurity/etc/ptdpi.settings.yaml:

   sudo nano /opt/ptsecurity/etc/ptdpi.settings.yaml

2. По умолчанию PT NAD отправляет данные об активностях на русском языке. Чтобы получать данные на английском языке, измените значение параметра notifier.yaml.syslog_notifier.locale на «en».

   Например:

   notifier.yaml.syslog_notifier.locale: en

3. В параметре notifier.yaml.syslog_notifier.addresses добавьте секцию с параметрами отправки событий в KUMA.

   Параметр <Название подключения> может состоять только из букв латинского алфавита, цифр и символа подчеркивания.

   В параметре address необходимо указать IP-адрес коллектора KUMA.

   Остальные параметры можно не указывать, в таком случае будут использоваться значения по умолчанию.

   notifier.yaml.syslog_notifier.addresses:

   <Название подключения>:

   address: <Для отправки на удаленный сервер — протокол UDP (по умолчанию) или TCP, адрес и порт; для локального подключения — сокет домена Unix>

   doc_types: [<Перечисленные через запятую типы сообщений (alert для информации об атаках, detection для активностей и reputation для информации об индикаторах компрометации). По умолчанию отправляются все типы сообщений>]

   facility: <Числовое значение категории субъекта>

   ident: <Метка ПО>

   <Название подключения>:

   ...

   Далее представлен пример настройки отправки syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации, отправляемых на два удаленных сервера по протоколам TCP и UDP без записи в локальный журнал:

   notifier.yaml.syslog_notifier.addresses:

   remote1:

   address: tcp://198.51.100.1:1514

   remote2:

   address: udp://198.51.100.2:2514

4. Сохраните изменения в файле /opt/ptsecurity/etc/ptdpi.settings.yaml.
5. Перезапустите модуль ptdpi-worker@notifier:

   sudo ptdpictl restart-worker notifier

Настройка отправки событий в KUMA по Syslog выполнена.

Настройка получения событий c помощью плагина MariaDB Audit Plugin

KUMA позволяет проводить аудит событий c помощью плагина MariaDB Audit Plugin. Плагин поддерживает работу с MySQL 5.7 и MariaDB. Работа плагина аудита с MySQL 8 не поддерживается. Подробная информация о плагине доступна на официальном веб-сайте MariaDB.

Мы рекомендуем использовать плагин MariaDB Audit Plugin версии 1.2 и выше.

Настройка получения событий состоит из следующих этапов:

1. Настройка плагина MariaDB Audit Plugin для передачи событий MySQL и настройка Syslog-сервера для отправки событий.
2. Настройка плагина MariaDB Audit Plugin для передачи событий MariaDB и настройка Syslog-сервера для отправки событий.
3. Создание коллектора KUMA для событий MySQL 5.7 и MariaDB.

   Для получения событий MySQL 5.7 и MariaDB c помощью плагина MariaDB Audit Plugin в мастере установки коллектора KUMA на шаге Парсинг событий в поле Нормализатор выберите [OOTB] MariaDB Audit Plugin syslog.

4. Установка коллектора в сетевой инфраструктуре KUMA.
5. Проверка поступления событий MySQL и MariaDB в коллектор KUMA.

   Чтобы проверить, что настройка сервера источника событий MySQL и MariaDB выполнена правильно, вы можете осуществить поиск связанных событий.

Настройка плагина MariaDB Audit Plugin для передачи событий MySQL

Плагин MariaDB Audit Plugin поддерживается для MySQL 5.7 версии до 5.7.30 и поставляется в комплекте с MariaDB.

Чтобы настроить передачу событий MySQL 5.7 с помощью плагина MariaDB Audit Plugin:

1. Скачайте дистрибутив MariaDB и распакуйте его.

   Дистрибутив MariaDB доступен на официальном веб-сайте MariaDB. Операционная система дистрибутива MariaDB должна совпадать с операционной системой, на которой функционирует MySQL 5.7.

2. Подключитесь к MySQL 5.7 под учетной записью с правами администратора, выполнив команду:

   mysql -u <имя пользователя> -p

3. Чтобы получить директорию, в которой расположены плагины MySQL 5.7, в командной строке MySQL 5.7 выполните команду:

   SHOW GLOBAL VARIABLES LIKE 'plugin_dir'

4. В директории, полученной на шаге 3, скопируйте плагин MariaDB Audit Plugin из директории <директория, куда был разархивирован дистрибутив>/mariadb-server-<версия>/lib/plugins/server_audit.so.
5. В командном интерпретаторе операционной системы выполните команду:

   chmod 755 <директория, куда был разархивирован дистрибутив>server_audit.so

   Например:

   chmod 755 /usr/lib64/mysql/plugin/server_audit.so

6. В командном интерпретаторе MySQL 5.7 выполните команду:

   install plugin server_audit soname 'server_audit.so'

7. Создайте резервную копию конфигурационного файла /etc/mysql/mysql.conf.d/mysqld.cnf.
8. В конфигурационном файле /etc/mysql/mysql.conf.d/mysqld.cnf в разделе [mysqld] добавьте следующие строки:

   server_audit_logging=1

   server_audit_events=connect,table,query_ddl,query_dml,query_dcl

   server_audit_output_type=SYSLOG

   server_audit_syslog_facility=LOG_SYSLOG

   Если вы хотите отключить передачу событий для определенных групп событий аудита, удалите часть значений параметра server_audit_events. Описание параметров доступно на веб-сайте производителя плагина MariaDB Audit Plugin.

9. Сохраните изменения в конфигурационном файле.
10. Перезапустите сервис MariaDB, выполнив одну из следующих команд:
    • systemctl restart mysqld — для системы инициализации systemd.
    • service mysqld restart — для системы инициализации init.

Настройка плагина MariaDB Audit Plugin для MySQL 5.7 завершена. При необходимости вы можете выполнить следующие команды в командной строке MySQL 5.7:

• show plugins — для проверки списка текущих плагинов.
• SHOW GLOBAL VARIABLES LIKE 'server_audit%' — для проверки текущих настроек аудита.

Настройка плагина MariaDB Audit Plugin для передачи событий MariaDB

Плагин MariaDB Audit Plugin входит в состав дистрибутива MariaDB, начиная с версий 5.5.37 и 10.0.10.

Чтобы настроить передачу событий MariaDB с помощью плагина MariaDB Audit Plugin:

1. Подключитесь к MariaDB под учетной записью с правами администратора, выполнив команду:

   mysql -u <имя пользователя> -p

2. Чтобы проверить, что плагин есть в директории, где размещены плагины операционной системы, в командной строке MariaDB выполните команду:

   SHOW GLOBAL VARIABLES LIKE 'plugin_dir'

3. В командном интерпретаторе операционной системы выполните команду:

   ll <директория, полученная в результате выполнения предыдущей команды> | grep server_audit.so

   Если вывод команды пуст и плагина нет в директории, вы можете скопировать плагин MariaDB Audit Plugin в эту директорию или использовать более новую версию MariaDB.

4. В командном интерпретаторе MariaDB выполните команду:

   install plugin server_audit soname 'server_audit.so'

5. Создайте резервную копию конфигурационного файла /etc/mysql/my.cnf.
6. В конфигурационном файле /etc/mysql/my.cnf в разделе [mysqld] добавьте следующие строки:

   server_audit_logging=1

   server_audit_events=connect,table,query_ddl,query_dml,query_dcl

   server_audit_output_type=SYSLOG

   server_audit_syslog_facility=LOG_SYSLOG

   Если вы хотите отключить передачу событий для определенных групп событий аудита, удалите часть значений параметра server_audit_events. Описание параметров доступно на веб-сайте производителя плагина MariaDB Audit Plugin.

7. Сохраните изменения в конфигурационном файле.
8. Перезапустите сервис MariaDB, выполнив одну из следующих команд:
   • systemctl restart mariadb — для системы инициализации systemd.
   • service mariadb restart — для системы инициализации init.

Настройка плагина MariaDB Audit Plugin для MariaDB завершена. При необходимости вы можете выполнить следующие команды в командной строке MariaDB:

• show plugins — для проверки списка текущих плагинов.
• SHOW GLOBAL VARIABLES LIKE 'server_audit%' — для проверки текущих настроек аудита.

Настройка Syslog-сервера для отправки событий

Для передачи событий от сервера в коллектор используется сервис rsyslog.

Чтобы настроить передачу событий от сервера, на котором установлена MySQL или MariaDB, в коллектор:

1. Перед внесением изменений создайте резервную копию конфигурационного файла /etc/rsyslog.conf.
2. Для отправки событий по протоколу UDP добавьте в конфигурационный файл /etc/rsyslog.conf строку:

   *.* @<IP-адрес коллектора KUMA>:<порт коллектора KUMA>

   Например:

   *.* @192.168.1.5:1514

   Если вы хотите отправлять события по протоколу TCP, строка должна выглядеть следующим образом:

   *.* @@192.168.1.5:2514

   Сохраните изменения в конфигурационном файле /etc/rsyslog.conf.

3. Перезапустите сервис rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service

Настройка получения событий СУБД Apache Cassandra

KUMA позволяет получать информацию о событиях Apache Cassandra.

Настройка получения событий состоит из следующих этапов:

1. Настройка журналирования событий Apache Cassandra в KUMA.
2. Создание коллектора KUMA для событий Apache Cassandra.

   Для получения событий Apache Cassandra в мастере установки коллектора KUMA необходимо выполнить следующие действия: на шаге Транспорт выберите коннектор типа file, на шаге Парсинг событий в поле Нормализатор выберите [OOTB] Apache Cassandra file.

3. Установка коллектора в сетевой инфраструктуре KUMA.
4. Проверка поступления событий Apache Cassandra в коллектор KUMA.

   Чтобы проверить, что настройка сервера источника событий Apache Cassandra выполнена правильно, вы можете осуществить поиск связанных событий.

Настройка журналирования событий Apache Cassandra в KUMA

Чтобы настроить журналирование событий Apache Cassandra в KUMA:

1. Убедитесь, что на сервере, где установлена Apache Cassandra, есть 5 ГБ свободного дискового пространства.
2. Подключитесь к серверу Apache Cassandra под учетной записью с правами администратора.
3. Перед внесением изменений создайте резервные копии следующих конфигурационных файлов:
   • /etc/cassandra/cassandra.yaml
   • /etc/cassandra/logback.xml
4. Убедитесь, что параметры конфигурационного файла /etc/cassandra/cassandra.yaml имеют следующие значения, при необходимости внесите изменения:
   1. в секции audit_logging_options присвойте параметру enabled значение true.
   2. в секции logger присвойте параметру class_name значение FileAuditLogger.
5. В конфигурационный файл /etc/cassandra/logback.xml добавьте следующие строки:

   <!-- Audit Logging (FileAuditLogger) rolling file appender to audit.log -->

   <appender name="AUDIT" class="ch.qos.logback.core.rolling.RollingFileAppender">

   <file>${cassandra.logdir}/audit/audit.log</file>

   <rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">

   <!-- rollover daily -->

   <fileNamePattern>${cassandra.logdir}/audit/audit.log.%d{yyyy-MM-dd}.%i.zip</fileNamePattern>

   <!-- each file should be at most 50MB, keep 30 days worth of history, but at most 5GB -->

   <maxFileSize>50MB</maxFileSize>

   <maxHistory>30</maxHistory>

   <totalSizeCap>5GB</totalSizeCap>

   </rollingPolicy>

   <encoder>

   <pattern>%-5level [%thread] %date{ISO8601} %F:%L - %replace(%msg){'\n', ' '}%n</pattern>

   </encoder>

   </appender>

   <!-- Audit Logging additivity to redirect audt logging events to audit/audit.log -->

   <logger name="org.apache.cassandra.audit" additivity="false" level="INFO">

   <appender-ref ref="AUDIT"/>

   </logger>

6. Сохраните изменения в конфигурационном файле.
7. Перезапустите службу Apache Cassandra с помощью следующих команд:
   1. sudo systemctl stop cassandra.service
   2. sudo systemctl start сassandra.service
8. После перезапуска проверьте статус Apache Cassandra с помощью следующей команды:

   sudo systemctl status cassandra.service

   Убедитесь, что в выводе команды есть последовательность символов:

   Active: active (running)

Настройка передачи событий Apache Cassandra завершена. События будут располагаться в директории /var/log/cassandra/audit/, в файле audit.log (${cassandra.logdir}/audit/audit.log).

Настройка получения событий FreeIPA

Вы можете настроить получение событий FreeIPA в KUMA по протоколу Syslog.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий FreeIPA в KUMA.
2. Создание коллектора KUMA для получения событий FreeIPA.

   Для получения событий FreeIPA в мастере установки коллектора KUMA на шаге Парсинг событий в поле Нормализатор выберите [OOTB] FreeIPA.

3. Установка коллектора KUMA в сетевой инфраструктуре.
4. Проверка поступления событий FreeIPA в KUMA.

   Чтобы проверить, что настройка сервера источника событий FreeIPA выполнена правильно, вы можете осуществить поиск связанных событий.

Настройка передачи событий FreeIPA в KUMA

Чтобы настроить передачу событий FreeIPA в KUMA по протоколу Syslog в формате JSON:

1. Подключитесь к серверу FreeIPA по протоколу SSH под учетной записью с правами администратора.
2. В директории /etc/rsyslog.d/ создайте файл freeipa-to-siem.conf.
3. В конфигурационный файл /etc/rsyslog.d/freeipa-to-siem.conf добавьте следующие строки:

   $ModLoad imfile

   input(type="imfile"

   File="/var/log/httpd/error_log"

   Tag="tag_FreeIPA_log_httpd")

   input(type="imfile"

   File="/var/log/dirsrv/slapd-*/audit"

   Tag="tag_FreeIPA_log_audit"

   StartMsg.regex="^time:")

   input(type="imfile"

   File="/var/log/dirsrv/slapd-*/errors"

   Tag="tag_FreeIPA_log_errors")

   input(type="imfile"

   File="/var/log/dirsrv/slapd-*/access"

   Tag="tag_FreeIPA_log_access")

   input(type="imfile"

   File="/var/log/krb5kdc.log"

   Tag="tag_FreeIPA_log_krb5kdc")

   template(name="ls_json" type="list" option.json="on") {

   constant(value="{")

   constant(value="\"@timestamp\":\"") property(name="timegenerated" dateFormat="rfc3339")

   constant(value="\",\"@version\":\"1")

   constant(value="\",\"message\":\"") property(name="msg")

   constant(value="\",\"host\":\"") property(name="fromhost")

   constant(value="\",\"host_ip\":\"") property(name="fromhost-ip")

   constant(value="\",\"logsource\":\"") property(name="fromhost")

   constant(value="\",\"severity_label\":\"") property(name="syslogseverity-text")

   constant(value="\",\"severity\":\"") property(name="syslogseverity")

   constant(value="\",\"facility_label\":\"") property(name="syslogfacility-text")

   constant(value="\",\"facility\":\"") property(name="syslogfacility")

   constant(value="\",\"program\":\"") property(name="programname")

   constant(value="\",\"pid\":\"") property(name="procid")

   constant(value="\",\"syslogtag\":\"") property(name="syslogtag")

   constant(value="\"}\n")

   }

   if $syslogtag contains 'tag_FreeIPA_log' then {

   action(type="omfwd"

   target="<IP-адрес коллектора KUMA>"

   port="<порт коллектора KUMA>"

   protocol="<udp или tcp>"

   template="ls_json")

   stop

   }

4. В конфигурационный файл /etc/rsyslog.conf добавьте следующую строку:

   $RepeatedMsgReduction off

5. Сохраните изменения в конфигурационном файле.
6. Перезапустите сервис rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service

Настройка получения событий VipNet TIAS

Вы можете настроить получение событий VipNet TIAS в KUMA по протоколу syslog.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий VipNet TIAS в KUMA.
2. Создание коллектора KUMA для получения событий VipNet TIAS.

   Для получения событий VipNet TIAS с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Syslog-CEF.

3. Установка коллектора KUMA для получения событий VipNet TIAS.
4. Проверка поступления событий VipNet TIAS в KUMA.

   Вы можете проверить, что настройка сервера источника событий VipNet TIAS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка передачи событий VipNet TIAS в KUMA

Чтобы настроить передачу событий VipNet TIAS в KUMA по протоколу syslog:

1. Подключитесь к веб-интерфейсу VipNet TIAS под учётной записью с правами администратора.
2. Перейдите в раздел Управление – Интеграции.
3. На странице Интеграция перейдите на вкладку Syslog.
4. На панели инструментов списка принимающих серверов нажмите Новый сервер.
5. В открывшейся карточке нового сервера выполните следующие действия:
   1. В поле Адрес сервера укажите IP-адрес или доменное имя коллектора KUMA.

      Например, 10.1.2.3 или syslog.siem.ru

   2. В поле Порт укажите входящий порт коллектора KUMA. По умолчанию указан порт 514.
   3. В списке Протокол выберите протокол транспортного уровня, который прослушивает коллектор KUMA. По умолчанию выбран протокол UDP.
   4. В списке Организация с помощью флажков выберите организации инфраструктуры ViPNet TIAS.

      Сообщения будут отправляться только по инцидентам, обнаруженным на основании событий, полученных от сенсоров выбранных организаций инфраструктуры.

   5. В списке Статус с помощью флажков выберите статусы инцидентов.

      Сообщения будут отправляться только при назначении инцидентам выбранных статусов.

   6. В списке Уровень важности с помощью флажков выберите уровни важности инцидентов.

      Сообщения будут отправляться только об инцидентах выбранных уровней важности. По умолчанию в списке выбран только высокий уровень важности.

   7. В списке Язык интерфейса выберите язык, на котором вы хотите получать информацию об инцидентах в сообщениях. По умолчанию выбран русский язык.
6. Нажмите кнопку Добавить.
7. На панели инструментов списка установите переключатель Не передавать информацию об инцидентах в формате CEF в состояние "включено".

   В результате при обнаружении новых и изменении статусов ранее выявленных инцидентов, в зависимости от выбранных при настройке статусов, будет выполняться передача соответствующей информации на указанные адреса принимающих серверов по протоколу syslog в формате CEF.

8. Нажмите Сохранить изменения.

Настройка отправки событий в коллектор KUMA выполнена.

Настройка получения событий Nextcloud

Вы можете настроить получение событий программы Nextcloud 26.0.4 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка аудита событий Nextcloud.
2. Настройка Syslog-сервера для отправки событий.

   Для передачи событий от сервера в коллектор используется сервис rsyslog.

3. Создание коллектора KUMA для получения событий Nextcloud.

   Для получения событий Nextcloud в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Nextcloud syslog, на шаге Транспорт выберите тип коннектора tcp или udp.

4. Установка коллектора KUMA для получения событий Nextcloud.
5. Проверка поступления событий Nextcloud в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий Nextcloud выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка аудита событий Nextcloud

Чтобы настроить передачу событий Nextcloud в KUMA:

1. На сервере, на котором установлена программа Nextcloud, создайте резервную копию конфигурационного файла /home/localuser/www/nextcloud/config/config.php.
2. Отредактируйте конфигурационный файл Nextcloud /home/localuser/www/nextcloud/config/config.php.
3. Измените значения следующих параметров на приведенные ниже:

   'log_type' => 'syslog',

   'syslog_tag' => 'Nextcloud',

   'logfile' => '',

   'loglevel' => 0,

   'log.condition' => [

   'apps' => ['admin_audit'],

   ],

4. Перезагрузите сервис Nextcloud с помощью команды:

   sudo service restart nextcloud

Настройка отправки событий в коллектор KUMA будет выполнена.

Настройка Syslog-сервера для отправки событий Nextcloud

Чтобы настроить передачу событий от сервера, на котором установлена программа Nextcloud, в коллектор:

1. В каталоге /etc/rsyslog.d/ создайте файл Nextcloud-to-siem.conf со следующим содержанием:

   If $programname contains 'Nextcloud' then @<IP-адрес коллектора>:<порт коллектора>

   Пример: If $programname contains 'Nextcloud' then @192.168.1.5:1514

   Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:

   If $programname contains 'Nextcloud' then @@<IP-адрес коллектора>:<порт коллектора>

2. Сохраните изменения в конфигурационном файле Nextcloud-to-siem.conf .
3. Создайте резервную копию файла /etc/rsyslog.conf.
4. В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:

   $IncludeConfig /etc/Nextcloud-to-siem.conf

   $RepeatedMsgReduction off

5. Сохраните внесенные изменения.
6. Перезапустите сервис rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service

Передача событий Nextcloud в коллектор будет настроена.

Настройка получения событий Snort

Вы можете настроить получение событий программы Snort версии 3 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка журналирования событий Snort.
2. Создание коллектора KUMA для получения событий Snort.

   Для получения событий Snort в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Snort 3 json file, на шаге Транспорт выберите тип коннектора file.

3. Установка коллектора KUMA для получения событий Snort.
4. Проверка поступления событий Snort в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий Snort выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка журналирования событий Snort

Убедитесь, что на сервере, на котором запущен Snort, есть минимум 500 МБ свободного дискового пространства для сохранения одного журнала событий Snort.
По достижении объема журнала 500 МБ Snort автоматически создаст новый файл, в имени которого будет указано текущее время в формате unixtime.
Мы рекомендуем отслеживать заполнение дискового пространства.

Чтобы настроить журналирование событий Snort:

1. Подключитесь к серверу, на котором установлен Snort, под учетной записью, обладающей административными привилегиями.
2. Измените конфигурационный файл Snort. Для этого в командном интерпретаторе выполните команду:

   sudo vi /usr/local/etc/snort/snort.lua

3. В конфигурационном файле измените содержимое блока alert_json:

   alert_json =

   {

   file = true,

   limit = 500,

   fields = 'seconds action class b64_data dir dst_addr dst_ap dst_port eth_dst eth_len \

   eth_src eth_type gid icmp_code icmp_id icmp_seq icmp_type iface ip_id ip_len msg mpls \

   pkt_gen pkt_len pkt_num priority proto rev rule service sid src_addr src_ap src_port \

   target tcp_ack tcp_flags tcp_len tcp_seq tcp_win tos ttl udp_len vlan timestamp',

   }

4. Для завершения настройки выполните следующую команду:

   sudo /usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -s 65535 -k none -l /var/log/snort -i <название интерфейса, который прослушивает Snort> -m 0x1b

В результате события Snort будут записываться в файл /var/log/snort/alert_json.txt.

Настройка получения событий Suricata

Вы можете настроить получение событий программы Suricata версии 7.0.1 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий Suricata в KUMA.
2. Создание коллектора KUMA для получения событий Suricata.

   Для получения событий Suricata в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Suricata json file, на шаге Транспорт выберите тип коннектора file.

3. Установка коллектора KUMA для получения событий Suricata.
4. Проверка поступления событий Suricata в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий Suricata выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка аудита событий Suricata

Чтобы настроить журналирование событий Suricata:

1. Подключитесь по протоколу SSH к серверу, обладающему административными учётными записями.
2. Создайте резервную копию файла /etc/suricata/suricata.yaml.
3. Установите в конфигурационном файле /etc/suricata/suricata.yaml в секции eve-log следующие значения:

   - eve-log:

   enabled: yes

   filetype: regular #regular|syslog|unix_dgram|unix_stream|redis

   filename: eve.json

4. Сохраните изменения в файле конфигурации /etc/suricata/suricata.yaml.

В результате события Suricata будут записываться в файл /usr/local/var/log/suricata/eve.json.

Suricata не поддерживает ограничение размера файла с событиями eve.json. При необходимости вы можете контролировать размер журнала с помощью ротации. Например, для настройки ежечасной ротации журнала добавьте в конфигурационный файл следующие строки:

outputs:

- eve-log:

filename: eve-%Y-%m-%d-%H:%M.json

rotate-interval: hour

Настройка получения событий FreeRADIUS

Вы можете настроить получение событий программы FreeRADIUS версии 3.0.26 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка аудита событий FreeRADIUS.
2. Настройка Syslog-сервера для отправки событий FreeRADIUS.
3. Создание коллектора KUMA для получения событий FreeRADIUS.

   Для получения событий FreeRADIUS в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] FreeRADIUS syslog, на шаге Транспорт выберите тип коннектора tcp или udp.

4. Установка коллектора KUMA для получения событий FreeRADIUS.
5. Проверка поступления событий FreeRADIUS в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий FreeRADIUS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка аудита событий FreeRADIUS

Чтобы настроить аудит событий в системе FreeRADIUS:

1. Подключитесь к серверу, на котором установлена система FreeRADIUS, под учётной записью, обладающей административными привилегиями.
2. Создайте резервную копию конфигурационного файла FreeRADIUS с помощью команды:

   sudo cp /etc/freeradius/3.0/radiusd.conf /etc/freeradius /3.0/radiusd.conf.bak

3. Откройте конфигурационный файл FreeRADIUS для редактирования с помощью команды:

   sudo nano /etc/freeradius/3.0/radiusd.conf

4. В секции log измените параметры следующим образом:

   destination = syslog

   syslog_facility = daemon

   stripped_names = no

   auth = yes

   auth_badpass = yes

   auth_goodpass = yes

5. Сохраните конфигурационный файл.

Аудит событий FreeRADIUS будет настроен.

Настройка Syslog-сервера для отправки событий FreeRADIUS

Для передачи событий от сервера FreeRADIUS в коллектор KUMA используется сервис rsyslog.

Чтобы настроить передачу событий от сервера, на котором установлен FreeRADIUS, в коллектор:

1. В каталоге /etc/rsyslog.d/ создайте файл FreeRADIUS-to-siem.conf и добавьте в него следующую строку:

   If $programname contains 'radiusd' then @<IP-адрес коллектора>:<порт коллектора>

   Если вы хотите отправлять события по протоколу TCP, содержимое файла должно быть таким:

   If $programname contains 'radiusd' then @@<IP-адрес коллектора>:<порт коллектора>

2. Создайте резервную копию файла /etc/rsyslog.conf.
3. В конфигурационный файл /etc/rsyslog.conf добавьте следующие строки:

   $IncludeConfig /etc/FreeRADIUS-to-siem.conf

   $RepeatedMsgReduction off

4. Сохраните внесенные изменения.
5. Перезапустите службу rsyslog, выполнив следующую команду:

   sudo systemctl restart rsyslog.service

Передача событий от сервера FreeRADIUS в коллектор KUMA будет настроена.

Настройка получения событий VMware vCenter

Вы можете настроить получение событий VMware vCenter в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка подключения к VMware vCenter.
2. Создание коллектора KUMA для получения событий VMware vCenter.

   Для получения событий VMWare Vcenter в мастере установки коллектора на шаге Транспорт выберите тип коннектора vmware. Укажите обязательные параметры:

   • URL, по которому доступен API VMware, например, https://vmware-server.com:6440.
   • Учетные данные VMware – секрет, в котором указаны логин и пароль для подключения к API VMware.

   На шаге Парсинг событий выберите нормализатор [OOTB] VMware vCenter API.

3. Установка коллектора KUMA для получения событий VMWare Vcenter.
4. Проверка поступления событий VMWare Vcenter в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий VMWare Vcenter выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка подключения к VMware vCenter

Чтобы настроить подключение к VMware Vcenter для получения событий:

1. Подключитесь к веб-интерфейсу VMware Vcenter под учётной записью, обладающей административными привилегиями.
2. Перейдите в раздел Security&Users и выберите Users.
3. Создайте учетную запись пользователя.
4. Перейдите в раздел Roles и назначьте созданной учетной записи роль Read-only: See details of objects, but not make changes.

   Учетные данные этой записи вы будете использовать в секрете коллектора.

   Более подробная информация о создании учетных записей представлена в документации системы VMware Vcenter.

Настройка подключения к VMware vCenter для получения событий выполнена.

Настройка получения событий zVirt

Вы можете настроить получение событий программы zVirt версии 3.1 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Настройка передачи событий zVirt в KUMA.
2. Создание коллектора KUMA для получения событий zVirt.

   Для получения событий zVirt в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] OrionSoft zVirt syslog, на шаге Транспорт выберите тип коннектора tcp или udp.

3. Установка коллектора KUMA для получения событий zVirt.
4. Проверка поступления событий zVirt в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий zVirt выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка передачи событий zVirt

Система zVirt может передавать события во внешние системы в режиме установки Hosted Engine.

Чтобы настроить передачу событий из zVirt в KUMA:

1. В веб-интерфейсе zVirt в разделе Ресурсы выберите Виртуальные машины.
2. Выделите машину, на которой запущена виртуальная машина HostedEngine, и нажмите Изменить.
3. В окне Изменить виртуальную машину перейдите в раздел Журналирование
4. Установите флажок Определить адрес Syslog-сервера.
5. В поле ввода укажите данные коллектора в следующем формате: <IP-адрес или FQDN коллектора KUMA>: <порт коллектора KUMA>.
6. Если вы хотите использовать протокол TCP вместо UDP для передачи журналов, установите флажок Использовать TCP-соединение.

Передача событий будет настроена.

Настройка получения событий Zeek IDS

Вы можете настроить получение событий программы Zeek IDS версии 1.8 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Преобразование формата журнала событий Zeek IDS.

   Нормализатор KUMA поддерживает работу с журналами Zeek IDS в формате JSON. Для передачи событий в нормализатор KUMA файлы журналов нужно преобразовать в формат JSON.

2. Создание коллектора KUMA для получения событий Zeek IDS.

   Для получения событий Suricata в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] ZEEK IDS json file, на шаге Транспорт выберите тип коннектора file.

3. Установка коллектора KUMA для получения событий Zeek IDS.
4. Проверка поступления событий Zeek IDS в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий Zeek IDS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Преобразование формата журнала событий Zeek IDS

По умолчанию события Zeek IDS записываются в файлы в каталог /opt/zeek/logs/current.

Нормализатор [OOTB] ZEEK IDS json file поддерживает работу с журналами Zeek IDS в формате JSON. Для передачи событий в нормализатор KUMA файлы журналов нужно преобразовать в формат JSON.

Эту процедуру нужно повторять каждый раз перед получением событий Zeek IDS.

Чтобы преобразовать формат журнала событий Zeek IDS:

1. Подключитесь к серверу, на котором установлена программа Zeek IDS, под учётной записью, обладающей административными привилегиями.
2. Создайте директорию, где будут храниться журналы событий в формате JSON, с помощью команды:

   sudo mkdir /opt/zeek/logs/zeek-json

3. Перейдите в эту директорию с помощью команды:

   sudo cd /opt/zeek/logs/zeek-json

4. Выполните команду, которая с помощью утилиты jq преобразует исходный формат журнала событий к необходимому:

   jq . -c <путь к файлу журнала, формат которого нужно изменить> >> <название нового файла>.log

   Пример: jq . -c /opt/zeek/logs/current/conn.log >> conn.log

В результате выполнения команды в директории /opt/zeek/logs/zeek-json будет создан новый файл, если такого ранее не существовало. Если такой файл уже был в текущей директории, то в конец файла будет добавлена новая информация.