Avanpost FAM/MFA+ : 6.2. Настройка мониторинга посредством MaxPatrol SIEM

6.2. Настройка мониторинга посредством MaxPatrol SIEM

Общие сведения

В инструкции описывается настройка мониторинга служб Avanpost FAM посредством системы MaxPatrol SIEM с целью управления событиями и инцидентами информационной безопасности. Функциональность доступна для веб-интерфейса MaxPatrol SIEM.

Системные требования 

MaxPatrol SIEM: требования к программному и аппаратному обеспечению серверов MaxPatrol SIEM см. в разделе "Программные и аппаратные требования" документации MaxPatrol SIEM (п.3.2.2. – 3.2.5.).

Avanpost FAM: дополнительные требования к программному обеспечению не предъявляются. 

Предварительные условия

Для выполнения настройки мониторинга в соответствии с инструкцией необходимо:

  1. Развернуть систему Avanpost FAM.
  2. Обеспечить доступ к Системе по протоколу SSH.

Настройка

Этап 1. Установка MaxPatrol SIEM

MaxPatrol SIEM поддерживает два сценария развертывания: 

  1. Установка компонентов на Linux с помощью ролей.  
  2. Авторазвертывание конфигурации для низконагруженных систем (один сервер).

Подробные инструкции по установке см. в соответствующих разделах Документации MaxPatrol SIEM.

Этап 2. Настройка мониторинга системы Avanpost FAM

Для настройки мониторинга системы Avanpost FAM необходимо:

  1. Перейти в раздел "Активы" в главном меню MaxPatrol SIEM и создать группу активов [1] и актив [2] внутри группы (Рисунок 1).


Рисунок 1 – Вкладка "Активы"

  1. При создании актива выполнить обязательные настройки (Рисунок 2): 

    РасположениеВыбрать созданную группу активов
    Имя узлаУказать имя узла (apidp.ru)
    IP-адресУказать IP-адрес узла (10.10.161.81)



    Рисунок 2 – Создание актива

  2. Перейти в раздел "Сбор данных" и добавить учетную запись сервера с развернутой системой  FAM (Рисунок 3).

Рисунок 3 – Добавление учетной записи


3. При создании учетной записи выполнить обязательные настройки (Рисунок 4):

НазваниеУстановить название УЗ
ЛогинУстановить логин учетной записи пользователя для доступа через SSH
 
ПарольУстановить пароль



Рисунок 4 – Настройка учетной записи

5. Создать профили для сбора событий, для этого: 
a. В разделе "Сбор данных" выбрать пункт "Профили".
b. Создать и настроить профиль для сбора событий "На базе выбранного профиля".
c. Выбрать учетную запись пользователя ОС из списка. 

6. Создать сборщики данных, для этого: 
а. В разделе "Сбор данных" выбрать пункт "Задачи".
b. На странице "Задачи по сбору данных" создать задачу.
c. Дальнейшие настройки индивидуальны для каждого типа задачи. Примеры настроек см. в Приложении А

Данные, полученные в процессе мониторинга информационной безопасности, отобразятся на главной странице с дашбордами (Рисунок 5).

Рисунок 5 – Главная страница с дашбордами


Приложение А. Примеры задач на сбор данных

Настройка задачи по профилю "Monitoring Linux Services" (Рисунок 6)

Таблица 1 – Настройки атрибутов задачи "Мониторинг сервисов"

АтрибутНастройка
НазваниеЗадать имя. Например, "Мониторинг сервисов"
ПрофильВыбрать ранее созданный профиль (Monitoring Linux Services)
Выбрать в списке "Подключение"
Учетная записьВыбрать учетную запись пользователя ОС из списка
Способ повышения привилегийУстановить переключатель в положение "Активно". Из списка выбрать "sudo".
Агент

Выбрать из списка агент.

Используется для сбора данных с устройства или узла.

Цели сбора данных (вкладка "Включить")
Группа активов Выбрать ранее созданную группу активов
АктивыВыбрать ранее созданный актив сбора данных
Подключаться к активамВыбрать "Сначала по IP-адресу"
Сетевые адресаВвести IP-адрес источника событий


Рисунок 6 – Настройка задачи по профилю "Monitoring Linux Services"


Настройка задачи по профилю "Monitoring Linux CPU Load" (Рисунок 7)

Таблица 2 – Настройки атрибутов задачи "Нагрузка процессора"

АтрибутНастройка
НазваниеЗадать имя. Например, "Нагрузка процессора"
ПрофильВыбрать ранее созданный профиль (Monitoring Linux CPU Load)
Выбрать в списке "Подключение"
Учетная записьВыбрать учетную запись пользователя ОС из списка
Способ повышения привилегийУстановить переключатель в положение "Активно". Из списка выбрать "sudo".
Агент

Выбрать из списка агент.

Используется для сбора данных с устройства или узла.

Цели сбора данных (вкладка "Включить")
Группа активов Выбрать ранее созданную группу активов
АктивыВыбрать ранее созданный актив сбора данных
Подключаться к активамВыбрать "Сначала по IP-адресу"
Сетевые адресаВвести IP-адрес источника событий


Рисунок 7 – Настройка задачи по профилю "Monitoring Linux CPU Load"


Настройка задачи по профилю "Full Pen Test" (Рисунок 8)

Таблица 3 – Настройки атрибутов задачи "Полный пен-тест"

АтрибутНастройка
НазваниеЗадать имя. Например, "Полный пен-тест"
Профиль Выбрать ранее созданный профиль (Full Pen Test)
Выбрать в списке: 
  • Oracle MySQL
  • По протоколу SSH
По протоколу SSHУстановить переключатель в положение "Активно"
Справочники для подбора учетных данныхУстановить переключатель в положение "Активно".
Из списка выбрать "Справочники с логинами и паролями"
Справочники с логинамиВыбрать "logins"
Справочники с паролями Выбрать "pwd"


Рисунок 8 – Настройка задачи по профилю "Full Pen Test"


Обсуждение