969.31K
Категория: ИнтернетИнтернет

KOMRAD Enterprise SIEM. Лабораторная работа

1.

KOMRAD Enterprise SIEM
Каменский Станислав
Специалист группы внедрения СЗИ
uc-echelon.ru

2.

Лабораторная работа №1
Статус компонентов
Первоначальный статус компонентов
uc-echelon.ru
2

3.

Лабораторная работа №1
Статус компонентов
Выполняем команду и видим результат
uc-echelon.ru
3

4.

Лабораторная работа №1
Статус компонентов
Включаем сервис и следим за изменением в статусах
uc-echelon.ru
4

5.

Лабораторная работа №1
Статус компонентов
uc-echelon.ru
5

6.

Лабораторная работа №1
Статус компонентов
У каждого компонента есть небольшая аналитическая справка
uc-echelon.ru
6

7.

Лабораторная работа №2
Команды администрирования
Полезные команды при работе с KOMRAD Enterprise SIEM
uc-echelon.ru
7

8.

Лабораторная работа №3
Скрипт реакции
В командной строке создать скрипт реакции на инцидент,
предоставить права на исполнение
uc-echelon.ru
8

9.

Лабораторная работа №3
Скрипт реакции
В директиву корреляции №3.1 добавляем следующие настройки
uc-echelon.ru
9

10.

Лабораторная работа №3
Скрипт реакции
Посылаем событие, детектируется инцидент, создается папка
исполнения скрипта и в ней происходит активность, указанная в
скрипте реакции
uc-echelon.ru
10

11.

Лабораторная работа №4
Регулярные выражения
Написание регулярных выражений для нормализации
uc-echelon.ru
11

12.

Лабораторная работа №4
Регулярные выражения
uc-echelon.ru
12

13.

Лабораторная работа №4
Регулярные выражения
https://regex101.com/
uc-echelon.ru
13

14.

Лабораторная работа №4
Регулярные выражения
<185>date=2022-12-28 time=18:17:35 devname="FortiGate-300E"
devid="FG3H0ETB21900372" logid="0101039426“ logdesc="SSL
VPN login fail" action="ssl-login-fail" tunneltype="ssl-web" tunnelid=0
remip=193.31.103.67 user="adminbackup"
uc-echelon.ru
14

15.

Лабораторная работа №5
CEF уведомления
В файле конфигурации по пути /etc/echelon/komrad/komrad-server.yaml
нужно убрать комментирование блока
CEF следующим образом и перезагрузить сервис komrad-server
uc-echelon.ru
15

16.

Лабораторная работа №5
CEF уведомления
После генерации любого инцидента на хост, который мы указали в
конфигурационном файле будет поступать сообщение следующего
вида, которое в свою очередь будет разбито на поля CEF
uc-echelon.ru
16

17.

Лабораторная работа 6 (Дополнительная)
SMTP-уведомления
В файле конфигурации по пути /etc/echelon/komrad/komradserver.yaml нужно настроить механизм отправки сообщений
примерно следующим образом (используется
стандартный SMTP сервер Яндекса) и перезагрузить сервис
komrad-server
uc-echelon.ru
17

18.

Лабораторная работа 6 (Дополнительная)
SMTP-уведомления
Далее необходимо настроить правило уведомления в вебинтерфейсе
uc-echelon.ru
18

19.

Лабораторная работа 6 (Дополнительная)
SMTP-уведомления
Отправляем событие, фиксируем инцидент, через минуту на
указанную почту приходит письмо
uc-echelon.ru
19

20.

Полезные ссылки
[email protected] – ящик для получения демо-лицензии
KOMRAD Enterprise SIEM;
https://t.me/komrad4 - чат пользователей продукта
https://www.youtube.com/channel/UCIwZEG8EcL7tnZN4Qzjt13w
канал учебного центра «Эшелон»
uc-echelon.ru
20

21.

uc-echelon.ru
English     Русский Правила