Общие сведения
В инструкции описывается настройка мониторинга служб Avanpost FAM посредством системы MaxPatrol SIEM с целью управления событиями и инцидентами информационной безопасности. Функциональность доступна для веб-интерфейса MaxPatrol SIEM.
Системные требования
MaxPatrol SIEM: требования к программному и аппаратному обеспечению серверов MaxPatrol SIEM см. в разделе "Программные и аппаратные требования" документации MaxPatrol SIEM (п.3.2.2. – 3.2.5.).
Avanpost FAM: дополнительные требования к программному обеспечению не предъявляются.
Предварительные условия
Для выполнения настройки мониторинга в соответствии с инструкцией необходимо:
- Развернуть систему Avanpost FAM.
- Обеспечить доступ к Системе по протоколу SSH.
Настройка MaxPatrol SIEM
Настройку MaxPatrol SIEM необходимо выполнять следующим образом:
- Установить MaxPatrol SIEM, используя один из сценариев развертывания (подробные инструкции по установке в документации MaxPatrol SIEM):
- Установка компонентов на ОС семейства Linux, используя механизм ролей.
- Авторазвертывание конфигурации для низконагруженных систем (один сервер).
- Для корректного сбора и анализа событий безопасности настроить раздел
[syslog]конфигурационного файла Avanpost FAM Server согласно приложению Б. - Перейти в раздел "Активы" в главном меню MaxPatrol SIEM и создать группу активов [1] и актив [2] внутри группы.
- При создании актива выполнить обязательные настройки согласно таблице.
Параметр Описание Расположение Выбрать созданную группу активов Имя узла Указать имя узла (apidp.ru) IP-адрес Указать IP-адрес узла (10.10.161.81) - Перейти в раздел "Сбор данных" и добавить учетную запись сервера с развернутой системой FAM.
- При создании учетной записи выполнить обязательные настройки.
Параметр Описание Название Установить название УЗ Логин Установить логин учетной записи пользователя для доступа через SSH Пароль Установить пароль 
- Создать профили для сбора событий при помощи следующих действий:
- В разделе "Сбор данных" выбрать пункт "Профили".
- Создать и настроить профиль для сбора событий "На базе выбранного профиля".
- Выбрать учетную запись пользователя ОС из списка.
- Создать сборщики данных при помощи следующих действий:
- В разделе "Сбор данных" выбрать пункт "Задачи".
- На странице "Задачи по сбору данных" создать задачу.
- Осуществить дальнейшие настройки в соответствии с типом задачи (примеры настроек приведены в Приложении А).
- Данные, полученные в процессе мониторинга информационной безопасности, отобразятся на главной странице с дашбордами.
Приложение А. Примеры задач на сбор данных
Настройка задачи по профилю "Monitoring Linux Services"
Таблица 1 – Настройки атрибутов задачи "Мониторинг сервисов"
| Атрибут | Настройка |
|---|---|
| Название | Задать имя. Например, "Мониторинг сервисов" |
| Профиль | Выбрать ранее созданный профиль (Monitoring Linux Services) |
| Выбрать в списке "Подключение" | |
| Учетная запись | Выбрать учетную запись пользователя ОС из списка |
| Способ повышения привилегий | Установить переключатель в положение "Активно". Из списка выбрать "sudo". |
| Агент | Выбрать из списка агент. Используется для сбора данных с устройства или узла. |
| Цели сбора данных (вкладка "Включить") | |
| Группа активов | Выбрать ранее созданную группу активов |
| Активы | Выбрать ранее созданный актив сбора данных |
| Подключаться к активам | Выбрать "Сначала по IP-адресу" |
| Сетевые адреса | Ввести IP-адрес источника событий |
Настройка задачи по профилю "Monitoring Linux CPU Load"
Таблица 2 – Настройки атрибутов задачи "Нагрузка процессора"
| Атрибут | Настройка |
|---|---|
| Название | Задать имя. Например, "Нагрузка процессора" |
| Профиль | Выбрать ранее созданный профиль (Monitoring Linux CPU Load) |
| Выбрать в списке "Подключение" | |
| Учетная запись | Выбрать учетную запись пользователя ОС из списка |
| Способ повышения привилегий | Установить переключатель в положение "Активно". Из списка выбрать "sudo". |
| Агент | Выбрать из списка агент. Используется для сбора данных с устройства или узла. |
| Цели сбора данных (вкладка "Включить") | |
| Группа активов | Выбрать ранее созданную группу активов |
| Активы | Выбрать ранее созданный актив сбора данных |
| Подключаться к активам | Выбрать "Сначала по IP-адресу" |
| Сетевые адреса | Ввести IP-адрес источника событий |
Настройка задачи по профилю "Full Pen Test"
Таблица 3 – Настройки атрибутов задачи "Полный пен-тест"
| Атрибут | Настройка |
|---|---|
| Название | Задать имя. Например, "Полный пен-тест" |
| Профиль | Выбрать ранее созданный профиль (Full Pen Test) |
Выбрать в списке:
| |
| По протоколу SSH | Установить переключатель в положение "Активно" |
| Справочники для подбора учетных данных | Установить переключатель в положение "Активно". Из списка выбрать "Справочники с логинами и паролями" |
| Справочники с логинами | Выбрать "logins" |
| Справочники с паролями | Выбрать "pwd" |
Приложение Б. Настойка конфигурационного файла FAM Server
Для корректной работы SIEM-системы требуется осуществить дополнительную настройку раздела [syslog] конфигурационного файла Avanpost FAM Server согласно таблице.
| Параметр | Описание |
|---|---|
| Сетевой протокол, используемый для передачи syslog-сообщений |
| IP-адрес и порт, используемый для подключения к SIEM-системе |
| Тег, добавляемый к каждому syslog-сообщению |
Пример настройки раздела [syslog] конфигурационного файла Avanpost FAM Server.
[syslog] network = 'udp' address = '127.0.0.1:514' tag = 'FAMNode1'