Первоначальная настройка
 
Описание

UserGate SIEM поставляется в виде программно-аппаратного комплекса (ПАК, appliance) либо в виде образа виртуальной машины (virtual appliance), предназначенного для развертывания в виртуальной среде. В случае виртуальной машины SIEM поставляется с четырьмя Ethernet-интерфейсами. В случае поставки в виде ПАК SIEM может содержать 8 или более Ethernet-портов.

Развертывание программно-аппаратного комплекса

В случае поставки решения в виде ПАК, программное обеспечение уже загружено и готово к первоначальной настройке. Перейдите к главе Подключение к устройству для дальнейшей настройки.

Развертывание виртуального образа

SIEM Virtual Appliance позволяет быстро развернуть виртуальную машину, с уже настроенными компонентами. Образ предоставляется в формате OVF (Open Virtualization Format), который поддерживают такие платформы, как VMWare, Oracle VirtualBox. Для Microsoft Hyper-v и KVM поставляются образы дисков виртуальной машины.

ПримечаниеДля корректной работы виртуальной машины рекомендуется использовать минимум 8 Гб оперативной памяти и 2-ядерный виртуальный процессор. Гипервизор должен поддерживать работу 64-битных операционных систем.

Для начала работы с виртуальным образом, выполните следующие шаги:

Наименование

Описание

Шаг 1. Скачайте образ и распакуйте

Скачайте последнюю версию виртуального образа с официального сайта https://www.usergate.com/ru.

Шаг 2. Импортируйте образ в свою систему виртуализации

Инструкцию по импорту образа вы можете посмотреть на сайтах VirtualBox и VMWare. Для Microsoft Hyper-v и KVM необходимо создать виртуальную машину и указать в качестве диска скачанный образ, после чего отключить службы интеграции в настройках созданной виртуальной машины.

Шаг 3. Настройте параметры виртуальной машины

Увеличьте размер оперативной памяти виртуальной машины. Используя свойства виртуальной машины, установите минимум 8Gb.

Шаг 4. Важно! Увеличьте размер диска виртуальной машины

Размер диска по умолчанию составляет 100Gb, что обычно недостаточно для хранения всех журналов и настроек. Используя свойства виртуальной машины, установите размер диска в 300Gb или более. Рекомендованный размер - 1000Gb или более.

Шаг 5. Настройте виртуальные сети

UserGate LogAn поставляется с двумя интерфейсами, назначенными в зоны:

  • Management — первый интерфейс виртуальной машины.

  • Trusted — второй интерфейс виртуальной машины.

Шаг 6. Выполните сброс к заводским настройкам

Запустите виртуальную машину SIEM.

Во время загрузки выберите Support Menu и выполните Factory reset. Этот шаг крайне важен. Во время этого шага настраивает сетевые адаптеры и увеличивает размер раздела на жестком диске до полного размера диска, увеличенного в 4-м пункте.

Подключение к устройству

Интерфейс port0 настроен на получение IP-адреса в автоматическом режиме (DHCP) и назначен в зону Management. Первоначальная настройка осуществляется через подключение администратора к веб-консоли через интерфейс port0.

Если нет возможности назначить адрес для Management-интерфейса в автоматическом режиме с помощью DHCP, то его можно явно задать, используя CLI (Command Line Interface). Более подробно об использовании CLI смотрите в главе Интерфейс командной строки (CLI).

Примечание Если устройство не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля — usergate.

Остальные интерфейсы отключены и требуют последующей настройки.

Первоначальная настройка требует выполнения следующих шагов:

Наименование

Описание

Шаг 1. Подключиться к интерфейсу управления

При наличии DHCP-сервера. Подключить интерфейс port0 в сеть предприятия с работающим DHCP-сервером. Включить устройство. После загрузки устройство укажет IP-адрес, на который необходимо подключиться для дальнейшей активации продукта.

Статический IP-адрес. Включить устройство. Используя CLI (Command Line Interface), назначить необходимый IP-адрес на интерфейс port0. Детали использования CLI смотрите в главе Интерфейс командной строки (CLI). Подключиться к веб-консоли SIEM по указанному адресу, он должен выглядеть примерно следующим образом: https://SIEM_IP_address:8010.

Шаг 2. Выбрать язык

Выбрать язык, на котором будет продолжена первоначальная настройка.

Шаг 3. Задать пароль

Задать логин и пароль для входа в веб-интерфейс управления.

Шаг 4. Зарегистрировать систему

Ввести ПИН-код для активации продукта и заполнить регистрационную форму. Для активации системы необходим доступ устройства в Интернет. Если на данном этапе выполнить регистрацию не удается, то ее следует повторить после настройки сетевых интерфейсов на шаге 8.

Шаг 5. Настроить зоны, IP-адреса интерфейсов, подключить UserGate SIEM в сеть предприятия

В разделе Интерфейсы включить необходимые интерфейсы, установить корректные IP-адреса, соответствующие вашим сетям, и назначить интерфейсы соответствующим зонам. Подробно об управлении интерфейсами читайте в главе Настройка интерфейсов. Система поставляется с предопределенными зонами:

  • Зона Management (сеть управления), интерфейс port0.

  • Зона Trusted (LAN). Предполагается, что через зону Trusted LogAn будет подключен в сеть, через которую шлюзы UserGate будут отсылать на него журналы, а также через которую SIEM получит доступ в Интернет.

Для работы SIEM достаточно одного настроенного интерфейса. Разделение функций управления устройством и сбора данных на разные сетевые интерфейсы рекомендовано для обеспечения безопасности, но не является жестким требованием.

Шаг 6. Настроить шлюз в Интернет

В разделе Шлюзы указать IP-адрес шлюза в Интернет на интерфейсе, имеющим доступ в Интернет, как правило, это зона Trusted. Подробно о настройке шлюзов в Интернет читайте в главе Настройка шлюзов.

Шаг 7. Указать системные DNS-серверы

В разделе DNS укажите IP-адреса серверов DNS, вашего провайдера или серверов, используемых в вашей организации. Подробно об управлении DNS читайте в главе Раздел настройки.

Шаг 8. Зарегистрировать продукт (если не был зарегистрирован на шаге 4)

Зарегистрировать продукт с помощью ПИН-кода. Для успешной регистрации необходимо подключение к Интернету и выполнение предыдущих шагов. Более подробно о лицензировании продукта читайте в главе Лицензирование SIEM.

Шаг 9. Создать дополнительных администраторов (опционально)

В разделе Администраторы создать дополнительных администраторов системы, наделить их необходимыми полномочиями (ролями).

После выполнения вышеперечисленных действий SIEM готов к работе. Для более детальной настройки обратитесь к необходимым главам справочного руководства.