Общие сведения
В инструкции описывается настройка мониторинга служб Avanpost FAM посредством системы MaxPatrol SIEM с целью управления событиями и инцидентами информационной безопасности. Функциональность доступна для веб-интерфейса MaxPatrol SIEM.
Системные требования
MaxPatrol SIEM: требования к программному и аппаратному обеспечению серверов MaxPatrol SIEM см. в разделе "Программные и аппаратные требования" документации MaxPatrol SIEM (п.3.2.2. – 3.2.5.).
Avanpost FAM: дополнительные требования к программному обеспечению не предъявляются.
Предварительные условия
Для выполнения настройки мониторинга в соответствии с инструкцией необходимо:
- Развернуть систему Avanpost FAM.
- Обеспечить доступ к Системе по протоколу SSH.
Настройка
Этап 1. Установка MaxPatrol SIEM
MaxPatrol SIEM поддерживает два сценария развертывания:
- Установка компонентов на Linux с помощью ролей.
- Авторазвертывание конфигурации для низконагруженных систем (один сервер).
Подробные инструкции по установке см. в соответствующих разделах Документации MaxPatrol SIEM.
Этап 2. Настройка мониторинга системы Avanpost FAM
Для настройки мониторинга системы Avanpost FAM необходимо:
- Перейти в раздел "Активы" в главном меню MaxPatrol SIEM и создать группу активов [1] и актив [2] внутри группы (Рисунок 1).
Рисунок 1 – Вкладка "Активы"
При создании актива выполнить обязательные настройки (Рисунок 2):
Расположение Выбрать созданную группу активов Имя узла Указать имя узла (apidp.ru) IP-адрес Указать IP-адрес узла (10.10.161.81) 
Рисунок 2 – Создание актива- Перейти в раздел "Сбор данных" и добавить учетную запись сервера с развернутой системой FAM (Рисунок 3).
Рисунок 3 – Добавление учетной записи
3. При создании учетной записи выполнить обязательные настройки (Рисунок 4):
| Название | Установить название УЗ |
| Логин | Установить логин учетной записи пользователя для доступа через SSH |
| Пароль | Установить пароль |
Рисунок 4 – Настройка учетной записи
5. Создать профили для сбора событий, для этого:
a. В разделе "Сбор данных" выбрать пункт "Профили".
b. Создать и настроить профиль для сбора событий "На базе выбранного профиля".
c. Выбрать учетную запись пользователя ОС из списка.
6. Создать сборщики данных, для этого:
а. В разделе "Сбор данных" выбрать пункт "Задачи".
b. На странице "Задачи по сбору данных" создать задачу.
c. Дальнейшие настройки индивидуальны для каждого типа задачи. Примеры настроек см. в Приложении А
Данные, полученные в процессе мониторинга информационной безопасности, отобразятся на главной странице с дашбордами (Рисунок 5).
Рисунок 5 – Главная страница с дашбордами
Приложение А. Примеры задач на сбор данных
Настройка задачи по профилю "Monitoring Linux Services" (Рисунок 6)
Таблица 1 – Настройки атрибутов задачи "Мониторинг сервисов"
| Атрибут | Настройка |
|---|---|
| Название | Задать имя. Например, "Мониторинг сервисов" |
| Профиль | Выбрать ранее созданный профиль (Monitoring Linux Services) |
| Выбрать в списке "Подключение" | |
| Учетная запись | Выбрать учетную запись пользователя ОС из списка |
| Способ повышения привилегий | Установить переключатель в положение "Активно". Из списка выбрать "sudo". |
| Агент | Выбрать из списка агент. Используется для сбора данных с устройства или узла. |
| Цели сбора данных (вкладка "Включить") | |
| Группа активов | Выбрать ранее созданную группу активов |
| Активы | Выбрать ранее созданный актив сбора данных |
| Подключаться к активам | Выбрать "Сначала по IP-адресу" |
| Сетевые адреса | Ввести IP-адрес источника событий |
Рисунок 6 – Настройка задачи по профилю "Monitoring Linux Services"
Настройка задачи по профилю "Monitoring Linux CPU Load" (Рисунок 7)
Таблица 2 – Настройки атрибутов задачи "Нагрузка процессора"
| Атрибут | Настройка |
|---|---|
| Название | Задать имя. Например, "Нагрузка процессора" |
| Профиль | Выбрать ранее созданный профиль (Monitoring Linux CPU Load) |
| Выбрать в списке "Подключение" | |
| Учетная запись | Выбрать учетную запись пользователя ОС из списка |
| Способ повышения привилегий | Установить переключатель в положение "Активно". Из списка выбрать "sudo". |
| Агент | Выбрать из списка агент. Используется для сбора данных с устройства или узла. |
| Цели сбора данных (вкладка "Включить") | |
| Группа активов | Выбрать ранее созданную группу активов |
| Активы | Выбрать ранее созданный актив сбора данных |
| Подключаться к активам | Выбрать "Сначала по IP-адресу" |
| Сетевые адреса | Ввести IP-адрес источника событий |
Рисунок 7 – Настройка задачи по профилю "Monitoring Linux CPU Load"
Настройка задачи по профилю "Full Pen Test" (Рисунок 8)
Таблица 3 – Настройки атрибутов задачи "Полный пен-тест"
| Атрибут | Настройка |
|---|---|
| Название | Задать имя. Например, "Полный пен-тест" |
| Профиль | Выбрать ранее созданный профиль (Full Pen Test) |
Выбрать в списке:
| |
| По протоколу SSH | Установить переключатель в положение "Активно" |
| Справочники для подбора учетных данных | Установить переключатель в положение "Активно". Из списка выбрать "Справочники с логинами и паролями" |
| Справочники с логинами | Выбрать "logins" |
| Справочники с паролями | Выбрать "pwd" |
Рисунок 8 – Настройка задачи по профилю "Full Pen Test"