|
Для сбора информации с различных устройств и последующего ее анализа LogAn использует сенсоры. Сенсор — это совместимое с LogAn устройство, которое может передавать определенные данные на LogAn. Сенсорами могут выступать NGFW, конечные устройства UserGate Client, компьютеры под управлением ОС Windows, а также любые другие сетевые устройства, способные передавать данные по протоколу SNMP.
Сенсор UserGate подключает одно устройство типа межсетевого экрана UserGate к LogAn. Для подключения сенсора UserGate необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. На узле UserGate разрешить сервисы Log Analyzer и SNMP на требуемой зоне
|
На узле UserGate, который вы хотите добавить в качестве сенсора, в разделе Сеть ➜ Зоны выберите зону, через интерфейсы которой будет происходить сетевой обмен с сервером LogAn, и разрешите сервисы Log Analyzer и SNMP.
|
Шаг 2. На узле UserGate скопируйте код устройства в буфер обмена
|
На узле UserGate, который вы хотите добавить в качестве сенсора, в разделе Настройки ➜ Log Analyzer скопируйте значение кода устройства в буфер обмена. Он понадобится на шаге 4.
|
Шаг 3. На LogAn разрешить сервис Log Analyzer на требуемой зоне
|
На LogAn в разделе Сеть ➜ Зоны выберите зону, через интерфейсы которой будет происходить сетевой обмен с узлом UserGate, и разрешите сервис Log Analyzer.
|
Шаг 4. Создайте сенсор UserGate
|
На сервере LogAn в разделе Сенсоры ➜ Сенсоры UserGate нажмите кнопку Добавить и заполните необходимые поля.
|
При создании сенсора UserGate необходимо заполнить следующие поля:
Наименование
|
Описание
|
Включено
|
Включает или выключает данный сенсор UserGate.
|
Название
|
Название сенсора UserGate.
|
Описание
|
Опциональное описание сенсора UserGate.
|
Адрес сервера
|
IP-адрес узла UserGate, для которого создается данный сенсор.
|
Log Analyzer адрес
|
IP-адрес сервера LogAn, который будет использоваться на узле UserGate, в качестве назначения для отсылки журналов. Для выбора отображаются только те адреса, на интерфейсах зон которых разрешен сервис Log Analyzer.
|
Код устройства
|
Код устройства, полученный на узле UserGate.
|
После создания сенсора, узел UserGate начинает отсылать данные на LogAn.
ПримечаниеПосле подключения LogAn обработка и экспорт журналов, создание отчётов и обработка других статистических данных сенсора UserGate производятся сервером LogAn.
На узле UserGate произошли следующие изменения конфигурации:
-
В разделе Настройки ➜ Log Analyzer изменился адрес сервера Log Analyzer на адрес, указанный при создании сенсора UserGate.
-
В разделе Диагностика и мониторинг ➜ Оповещения ➜ SNMP добавилось правило SNMP, разрешающее LogAn получать информацию по протоколу SNMP.
На LogAn добавились следующие элементы:
-
В разделе Журналы и отчеты ➜ Журналы появились записи с созданного сенсора UserGate.
-
В Дашборде появилась возможность добавить новый виджет — График сенсора UserGate, содержащий информацию, полученную с сенсора UserGate.
ПримечаниеВ случае изменения администратором правила SNMP на узле UserGate, LogAn вернет настройки или пересоздаст правило при включении/отключении сенсора на сервере LogAn.
После того, как сенсор UserGate создан, в окне настроек сенсора появится дополнительная кнопка Перенастроить:
Нажатие кнопки производит перенастройку соединения между узлом SIEM и устройством UserGate. Это бывает необходимо, например, при изменении IP-адреса или кода устройства UserGate.
С помощью сенсора SNMP администратор может подключить SNMP-совместимое сетевое устройство к серверу LogAn для сбора и анализа его метрик. LogAn может отображать любые счетчики, полученные по SNMP с помощью запросов SNMP. Для настройки сенсора SNMP необходимо иметь базы MIB (Management Information Base) на управляемое устройство. Подробнее об управлении базами MIB смотрите раздел данного руководства Управление SNMP MIB.
Для настройки сенсора SNMP необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Загрузите базу MIB того устройства, которое хотите добавить для мониторинга.
|
На сервере LogAn в разделе Сенсоры ➜ Управление SNMP MIB загрузите файл с MIB.
|
Шаг 2. Создайте сенсор SNMP
|
На сервере LogAn в разделе Сенсоры ➜ Сенсоры SNMP нажмите кнопку Добавить и заполните необходимые поля.
|
При создании сенсора SNMP необходимо заполнить следующие поля:
Наименование
|
Описание
|
Включено
|
Включает или выключает данный сенсор SNMP.
|
Название
|
Название сенсора SNMP.
|
Описание
|
Опциональное описание сенсора SNMP.
|
Адрес сервера
|
IP-адрес сенсора SNMP.
|
Порт
|
Порт сенсора SNMP. Обычно для запросов данных по протоколу SNMP используется порт TCP 161.
|
Версия
|
Указывает версию протокола SNMP, которая будет использоваться в данном сенсоре. Возможны варианты SNMP v2 и SNMP v3.
|
Community
|
SNMP community — строка для идентификации сервера LogAn и сетевого устройства для версии SNMP v2. Используйте только латинские буквы и цифры.
|
Интервал опроса (сек)
|
Интервал, через который сервер LogAn будет инициировать получение данных с сетевого устройства.
|
Пользователь
|
Только для SNMP v3. Имя пользователя для аутентификации на сетевом устройстве.
|
Тип аутентификации
|
Выбор режима аутентификации. Возможны варианты:
-
Без аутентификации, без шифрования (noAuthNoPriv).
-
С аутентификацией, без шифрования (authNoPriv).
-
С аутентификацией, с шифрованием (authPriv).
Наиболее безопасным считается режим работы authPriv.
|
Алгоритм аутентификации
|
Алгоритм, используемый для аутентификации.
|
Пароль аутентификации
|
Пароль, используемый для аутентификации.
|
Алгоритм шифрования
|
Алгоритм, используемый для шифрования. Возможно использовать DES и AES.
|
Пароль шифрования
|
Пароль, используемый для шифрования.
|
Счётчики
|
Укажите здесь все требуемые данные, которые LogAn будет запрашивать на сетевом устройстве. Счетчики выбираются из баз MIB, которые загружены на устройство.
Выберите в дереве SNMP необходимый раздел и добавьте соответствующий счетчик либо укажите в строке SNMP OID счетчика и его тип.
|
После успешного добавления сенсора в разделе Дашборд появится возможность добавить виджет с графиками данных SNMP, полученными с данного сенсора.
В данном разделе администратор может добавлять и удалять базы MIB (Management Information Base) на LogAn.
Для получения специфических MIB обратитесь к производителю вашего устройства. LogAn уже содержит наиболее популярные базы сетевых устройств.
С помощью сенсора WMI администратор может подключить WMI-совместимое сетевое устройство (компьютер под управлением ОС Windows) к LogAn для сбора и анализа его метрик.
Для создания сенсора WMI необходимо перейти в раздел Сенсоры ➜ WMI cенсоры, нажать кнопку Добавить и заполнить необходимые поля:
Наименование
|
Описание
|
Включено
|
Включает или выключает данный сенсор WMI.
|
Название
|
Название сенсора WMI.
|
Описание
|
Опциональное описание сенсора.
|
Адрес сервера
|
IP-адрес устройства WMI.
|
Namespace
|
Пространство имен идентификаторов на устройстве WMI.
|
Интервал опроса (сек)
|
Интервал, через который сенсор WMI будет инициировать получение данных с сетевого устройства.
|
Пользователь
|
Имя пользователя для аутентификации на сетевом устройстве.
|
Пароль
|
Пароль, используемый для аутентификации.
|
Счётчики
|
Указать параметры Windows event log, которые LogAn будет мониторить на сетевом устройстве.
|
Данный раздел содержит список конечных устройств с установленным программным обеспечением UserGate Client.
ПримечаниеКонечное устройство будет отображено при выборе на UGMC данного устройства LogAn в качестве сервера для передачи информации о событиях, соответственно, LogAn должен быть предварительно зарегистрирован на UGMC.
Отображена следующая информация:
-
Название конечного устройства, заданное на UGMC.
-
Версия ПО UserGate Client, установленная на устройстве.
-
Время последнего подключения к устройству.
-
IP-адрес устройства.
-
Netbios имя.
-
Версия операционной системы (ОС) устройства.
-
Телеметрическая информация.
В LogAn реализована возможность удалённого управления устройствами UserGate Client. Для этого нажмите Послать команду и выберите необходимое действие:
-
Отключить от сети.
-
Разрешить передачу данных по сети.
-
Завершить процесс. При выборе данного действия необходимо указать идентификатор процесса.
-
Запустить/остановить службу. Для выполнения данных действий необходимо указать название службы.
Коннекторы используются для возможности подключения устройства SIEM к различным средствам защиты или службам обмена данными об инцидентах информационной безопасности.
Для добавления коннектора необходимо указать следующие данные:
Наименование
|
Описание
|
Имя
|
Название коннектора.
|
Описание
|
Описание коннектора (опционально).
|
Тип сервера
|
Выбор типа сервера:
|
Адрес сервера
|
Тип:
|
IP-адрес
|
IP-адрес сервера; указывается в случае выбора адреса сервера типа IP.
|
Порт
|
Порт сервера; указывается в случае выбора адреса сервера типа IP.
|
FQDN
|
FQDN сервера; указывается в случае выбора адреса сервера типа FQDN.
|
URL-путь
|
Используется при управлении устройством по API.
|
Логин
|
Логин пользователя для авторизации на коннекторе.
|
Пароль
|
Пароль учётной записи пользователя, необходимый для авторизации на коннекторе.
|
Группа команд
|
Указание группы команд доступно только для SSH-сервера, подробнее читайте в разделе Команды.
|
HTTP заголовки
|
Указание заголовков доступно только для серверов HTTP и HTTPS.
|
Кнопка Тест предназначена для проверки корректности настройки коннектора с типом сервера SSH. После нажатия Тест будет предложено выбрать команду из указанной группы для отправки на коннектор; в случае наличия в команде переменных, будут отображены дополнительные поля, в которых необходимо указать их значения.
В UserGate SIEM, по умолчанию, создан коннектор Gossopka, предназначенный для автоматизации обмена информацией об инцидентах информационной безопасности с ГосСОПКА (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак). Подробнее читайте в разделе Передача отчётов об инцидентах информационной безопасности в ГосСОПКА.
|