Настройка интеграции SIEM с помощью встроенного коннектора

В данной инструкции описывается настройка подключения Avanpost IDM к SIEM системам с целью логирования действий администратора IDM и передачи событий безопасности.

Для отправки событий безопасности в целевую систему в формате Syslog/CEF имеется встроенный коннектор "builtin://SyslogConnector", который поддерживает:

  • Формирование сообщений о событиях безопасности в формате CEF. Например:
    Oct 10 15:10:58 127.0.0.1 IGA CEF:0|Avanpost|IGA|7.7.0|LoginEvent|LoginEvent|Low|Id=707 RequestMethod=POST UserName=user01 StartedAt=2024-10-10T15:10:58.7477670+03:00 CompletedAt=2024-10-10T15:10:58.7481820+03:00 IsSuccessful=True ClientAddress=127.0.0.1
  • Отправку сообщений безопасности в формате CEF по протоколу TCP;
  • Отправку сообщений безопасности в формате CEF по протоколу UDP;
  • Вывод сообщений безопасности в формате CEF в файл для получения отладочной информации.

Коннектор представляет из себя плагин (библиотека dll). Чтобы коннектор начал получать сообщения безопасности, его необходимо сконфигурировать. Один коннектор может использоваться в нескольких конфигурациях. В каждой конфигурации для коннектора определяется список событий безопасности, которые он будет получать и сможет отправлять в целевые системы, а также его конфигурационные параметры в виде строки.
Отправка новых событий безопасности, которые еще не были переданы в коннекторы (согласно настроенным конфигурациям), осуществляется службой IDM по установленному интервалу в 10 секунд. После получения событий безопасности коннектор отправляет их в целевую систему.

Примечание:

Формат всех событий безопасности в Avanpost IDM описан в статье "Приложение. Формат событий безопасности" руководства по администрированию.

Для интеграции новой SIEM системы с помощью встроенного коннектора "builtin://SyslogConnector" необходимо выполнить шаги:

Шаг 1. Настроить конфигурационные файлы Avanpost IDM

  1. Задать значения параметров в конфигурационном файле "iga_config":
    ПараметрЗначение
    securityLoggersFolder
    		Указать путь к каталогу, в котором будут храниться плагины (securityLoggers).

    Путь требуется указать аналогично параметру "connectorsFolder".

    Пример: \\work\\SecurityLoggers

    ipHeaderName

    Указать наименование параметра в заголовке (Header), в котором указан IP-адрес пользователя, если такой заголовок присутствует.

    Опциональный параметр, используется для тестирования записи в текстовый файл.

    Пример: X-Real-IP

    enableRequestLog

    Параметр включения логирования.

    Установить значение "true".

  2. Задать значения параметров в конфигурационном файле "cluster.idm.config":
    СекцияПараметрЗначение
    Systems.Iga.ClusterRoles
    ClusterRoles

    Указать кластерные роли.

    Пример: ["idm","sch_processor","securityevent_q"]

    Systems.Workers.ClusterRoles
    ClusterRoles

    Для отправки событий в аудит(целевую систему) значение параметра должно содержать 

    кластерную роль "securityevent_q".

    Пример: ["lockunlock_q","securityevent_q"]

    После настройки конфигурационных файлов в Системе запускается процесс регистрирования событий безопасности в соответствии с утвержденным списком. Все события безопасности записываются в таблицу "RequestLog" базы данных.

Шаг 2. Настроить плагин

После запуска логирования необходимо настроить плагин (коннектор) для отправки событий в целевую систему. Для этого требуется: 

  1. Перезапустить Avanpost IDM, чтобы встроенный коннектор "builtin://SyslogConnector" отобразился в Системе.
  2. Подключить плагин через веб-интерфейс администратора. Для этого необходимо:
    1. В разделе "Журналы"→"События системы" на вкладке "Настройки" нажать .
    2. В открывшейся форме заполнить поля:
      ПолеЗначение
      НазваниеУказать произвольное название для нового подключения.
      Библиотека коннектора Выбрать из выпадающего списка "builtin://SyslogConnector".
      Строка подключения

      Строка подключения должна содержать параметры, разделенные точкой с запятой (;):

      ПараметрОписание

      Host (строка)

      Указать доменное имя или IP-адрес целевой системы, куда будут передаваться события.

      Пример: Host=localhost

      Port (число)

      Указать номер порта, на котором работает служба системы логирования.

      Пример: Port=30514

      UseUdp (логический тип)

      Указать значение "true" для использования протокола udp. Указать значение "false" в обратном случае.

      Пример: UseUdp=false

      FileName (строка)

      Если FileName не указан, то в файл записи не происходит.

      Пример: FileName=C:\Logs\SecurityLogs2.txt

      Пример строки подключения
      Host=localhost;Port=30514;FileName=C:\Logs\SecurityLogs2.txt;UseUdp=false
      Категории Выбрать из выпадающего списка все категории событий безопасности, события из которых будут отправляться в целевую систему.
      Максимальное количество попыток обработать запись При необходимости указать максимальное количество попыток обработки записи события безопасности.
      Включен

      Установить переключатель в положение.


Рисунок – Пример подключения плагина

После настройки и активации плагина события безопасности автоматически передаются в подключенные целевые системы.

Шаг 3. Проверить настройку в БД

После настройки и подключения плагина необходимо провести проверку БД:

  1. В таблице "SecurityEventLogger" должна появиться запись с данными о настроенном коннекторе. (Таблица содержит информацию о подключенных плагинах для отправки событий.)
  2. В таблице "SecurityEventLoggerSetting" должны быть перечислены все категории событий, которые необходимо отправлять в целевую систему.

Если содержимое таблиц "SecurityEventLogger" и "SecurityEventLoggerSetting" корректно, то настройка подключения к системе логирования завершена.

Обсуждение