База знаний FAM/MFA+ : Настройка мониторинга посредством MaxPatrol SIEM

Общие сведения

В инструкции описывается настройка мониторинга служб Avanpost FAM посредством системы MaxPatrol SIEM с целью управления событиями и инцидентами информационной безопасности. Функциональность доступна для веб-интерфейса MaxPatrol SIEM.

Системные требования

MaxPatrol SIEM: требования к программному и аппаратному обеспечению серверов MaxPatrol SIEM см. в разделе "Программные и аппаратные требования" документации MaxPatrol SIEM (п.3.2.2. – 3.2.5.).

Avanpost FAM: дополнительные требования к программному обеспечению не предъявляются.

Предварительные условия

Для выполнения настройки мониторинга в соответствии с инструкцией необходимо:

  1. Развернуть систему Avanpost FAM.
  2. Обеспечить доступ к Системе по протоколу SSH.

Настройка

Этап 1. Установка MaxPatrol SIEM

MaxPatrol SIEM поддерживает два сценария развертывания:

  1. Установка компонентов на Linux с помощью ролей.
  2. Авторазвертывание конфигурации для низконагруженных систем (один сервер).

Подробные инструкции по установке см. в соответствующих разделах Документации MaxPatrol SIEM .

Этап 2. Настройка мониторинга системы Avanpost FAM

Для настройки мониторинга системы Avanpost FAM необходимо:

  1. Перейти в раздел "Активы" в главном меню MaxPatrol SIEM и создать группу активов [1] и актив [2] внутри группы ( Рисунок 1 ).


    Рисунок 1 – Вкладка "Активы"

  2. При создании актива выполнить обязательные настройки ( Рисунок 2 ):

    Расположение Выбрать созданную группу активов
    Имя узла Указать имя узла ( apidp.ru )
    IP-адрес Указать IP-адрес узла (10.10.161.81)



    Рисунок 2 – Создание актива

  3. Перейти в раздел "Сбор данных" и добавить учетную запись сервера с развернутой системой  FAM ( Рисунок 3 ).


    Рисунок 3 – Добавление учетной записи

  4. При создании учетной записи выполнить обязательные настройки ( Рисунок 4 ):

    Название Установить название УЗ
    Логин Установить логин учетной записи пользователя для доступа через SSH
    Пароль Установить пароль



    Рисунок 4 – Настройка учетной записи

  5. Создать профили для сбора событий, для этого:
    a. В разделе "Сбор данных" выбрать пункт "Профили".
    b. Создать и настроить профиль для сбора событий "На базе выбранного профиля".
    c. Выбрать учетную запись пользователя ОС из списка.

  6. Создать сборщики данных, для этого:
    а. В разделе "Сбор данных" выбрать пункт "Задачи".
    b. На странице "Задачи по сбору данных" создать задачу.
    c. Дальнейшие настройки индивидуальны для каждого типа задачи. Примеры настроек см. в Приложении А

Данные, полученные в процессе мониторинга информационной безопасности, отобразятся на главной странице с дашбордами ( Рисунок 5 ).

Рисунок 5 – Главная страница с дашбордами


Приложение А. Примеры задач на сбор данных

Настройка задачи по профилю "Monitoring Linux Services" ( Рисунок 6 )

Таблица 1 – Настройки атрибутов задачи "Мониторинг сервисов"

Атрибут Настройка
Название Задать имя. Например, "Мониторинг сервисов"
Профиль Выбрать ранее созданный профиль (Monitoring Linux Services)
Выбрать в списке "Подключение"
Учетная запись Выбрать учетную запись пользователя ОС из списка
Способ повышения привилегий Установить переключатель в положение "Активно". Из списка выбрать "sudo".
Агент

Выбрать из списка агент.

Используется для сбора данных с устройства или узла.

Цели сбора данных (вкладка "Включить")
Группа активов Выбрать ранее созданную группу активов
Активы Выбрать ранее созданный актив сбора данных
Подключаться к активам Выбрать "Сначала по IP-адресу"
Сетевые адреса Ввести IP-адрес источника событий


Рисунок 6 – Настройка задачи по профилю "Monitoring Linux Services"


Настройка задачи по профилю "Monitoring Linux CPU Load" ( Рисунок 7 )

Таблица 2 – Настройки атрибутов задачи "Нагрузка процессора"

Атрибут Настройка
Название Задать имя. Например, "Нагрузка процессора"
Профиль Выбрать ранее созданный профиль (Monitoring Linux CPU Load)
Выбрать в списке "Подключение"
Учетная запись Выбрать учетную запись пользователя ОС из списка
Способ повыш ени я привилегий Установить переключатель в положение "Активно". Из списка выбрать "sudo".
Агент

Выбрать из списка агент.

Используется для сбора данных с устройства или узла.

Цели сбора данных (вкладка "Включить")
Группа активов Выбрать ранее созданную группу активов
Активы Выбрать ранее созданный актив сбора данных
Подключаться к активам Выбрать "Сначала по IP-адресу"
Сетевые адреса Ввести IP-адрес источника событий


Рисунок 7 – Настройка задачи по профилю "Monitoring Linux CPU Load"


Настройка задачи по профилю "Full Pen Test" ( Рисунок 8 )

Таблица 3 – Настройки атрибутов задачи "Полный пен-тест"

Атрибут Настройка
Название Задать имя. Например, "Полный пен-тест"
Профиль Выбрать ранее созданный профиль (Full Pen Test)
Выбрать в списке:
  • Oracle MySQL
  • По протоколу SSH
По протоколу SSH Установить переключатель в положение "Активно"
Справочники для подбора учетных данных Установить переключатель в положение "Активно".
Из списка выбрать "Справочники с логинами и паролями"
Справочники с логинами Выбрать "logins"
Справочники с паролями Выбрать "pwd"


Рисунок 8 – Настройка задачи по профилю "Full Pen Test"