Вы можете настраивать интеграцию UserGate SIEM с межсетевыми экранами UserGate NGFW (далее также — сенсоры UserGate). Для подключенных сенсоров это позволяет использовать UserGate SIEM в качестве базы данных журналов, в которой выполняется их хранение, последующая обработка и анализ.

При первоначальном сетевом взаимодействии UserGate SIEM обменивается с сенсорами UserGate ключами шифрования и устанавливает канал управления (порты TCP 9713 и TCP 2023). Далее сенсоры передают данные журналов на сервер UserGate SIEM (порт TCP 22711) и данные о своем состоянии по протоколу SNMP (порт UDP 161). Для SNMP-мониторинга на каждом сенсоре UserGate автоматически создается соответствующее правило. Подробная информация о сетевом взаимодействии устройств приведена в разделе «Требования к сетевому окружению». 

В разделе Настройки ➜ Сенсоры ➜ Сенсоры UserGate вы можете управлять подключенными сенсорами UserGate, а также отслеживать состояние этих устройств (например, объем используемой памяти и время непрерывной работы). Кроме того, в разделе Дашборды вы можете добавлять виджеты сенсоров UserGate и просматривать на них информацию о состоянии устройств в графическом представлении.

Данные о событиях, полученные от сенсоров UserGate, отображаются в разделе Журналы и отчеты в виде записей в соответствующих журналах. Вы можете управлять этими данными: фильтровать их, скачивать в CSV-формате, а также экспортировать на внешние серверы и создавать сводные отчеты. Кроме того, в разделе Аналитика доступен анализ данных.

Настройка интеграции с UserGate NGFW

Для настройки интеграции UserGate SIEM с UserGate NGFW необходимо:

1. В веб-консоли UserGate NGFW в свойствах зоны для подключения UserGate SIEM разрешить использование сервисов Log Analyzer/SIEM и SNMP. Подробнее — в Руководстве администратора UserGate NGFW в разделе «Настройка зон».

2. В веб-консоли UserGate NGFW получить уникальный код устройства и передать его администратору UserGate SIEM.

3. В веб-консоли UserGate SIEM в свойствах зоны для подключения UserGate NGFW разрешить использование сервиса База данных журналов.

4. Подключить UserGate NGFW к UserGate SIEM в качестве сенсора.

Получение кода устройства UserGate NGFW

Чтобы получить код устройства:

В разделе Настройки ➜ Консоль администратора ➜ Настройки в блоке Состояние базы данных журналов ➜ Код устройства нажмите Показать.

Полученный код необходимо скопировать в буфер обмена и передать его администратору UserGate SIEM.

Подключение UserGate NGFW в качестве сенсора

Чтобы подключить UserGate NGFW к UserGate SIEM в качестве сенсора:

1. В разделе Настройки ➜ Сенсоры ➜ Сенсоры UserGate нажмите Добавить.

2. В окне свойств сенсора выполните следующие действия:

• установите флажок Включено для активации соединения с сервером UserGate NGFW;

• укажите название и при необходимости описание сенсора;

• укажите IP-адрес или доменное имя сервера UserGate NGFW (например, 198.51.100.22);

• в поле SIEM адрес выберите IP-адрес UserGate SIEM;

• укажите код устройства, полученный от администратора UserGate NGFW.

3. Нажмите Сохранить.

Подключенный сенсор отобразится в таблице Сенсоры UserGate.

Управление сенсорами UserGate

В разделе Настройки ➜ Сенсоры ➜ Сенсоры UserGate отображается список устройств UserGate NGFW, подключенных к UserGate SIEM в качестве сенсоров.

В таблице вы можете отслеживать статус подключения каждого сенсора к UserGate SIEM с помощью следующих цветовых индикаторов:

• Зеленый — соединение между серверами сенсора UserGate и UserGate SIEM установлено.

• Красный — соединение между серверами сенсора UserGate и UserGate SIEM не установлено, сенсор отключен или недоступен.

Вы можете управлять подключенными сенсорами:

• Включать и отключать сенсоры от UserGate SIEM по кнопкам Включить и Отключить соответственно.

• Удалять сенсор по кнопке Удалить.

• Изменять параметры сенсора по кнопке Редактировать.

При редактировании в окне свойств сенсора доступна кнопка Перенастроить, по нажатию которой выполняется переподключение сенсора к UserGate SIEM. Это может понадобиться, например, при изменении IP-адреса или кода устройства UserGate.

Кроме того, вы можете настраивать отображение сенсоров в таблице с помощью следующих фильтров:

• Все — все сенсоры (фильтр по умолчанию).

• Включенные и Выключенные — сенсоры в выбранном состоянии.

• Онлайн — сенсоры, для которых установлено соединение с сервером UserGate SIEM.

• Офлайн — сенсоры, для которых не установлено соединение с сервером UserGate SIEM.

По умолчанию для сенсора в таблице отображаются следующие данные:

• название;

• IP-адрес или доменное имя;

• название и модель устройства;

• версия ПО;

• информация о лицензии;

• время непрерывной работы;

• параметры мониторинга состояния сенсора, включая объем используемой оперативной памяти и загруженность центрального процессора.

С помощью сенсора SNMP администратор может подключить SNMP-совместимое сетевое устройство к серверу UserGate SIEM для сбора и анализа его метрик. UserGate SIEM может отображать любые счетчики, полученные по SNMP с помощью запросов SNMP. Для настройки сенсора SNMP необходимо иметь базы MIB (Management Information Base) на управляемое устройство. Подробнее об управлении базами MIB смотрите раздел данного руководства Управление SNMP MIB.

Для настройки сенсора SNMP необходимо выполнить следующие шаги:

При создании сенсора SNMP необходимо заполнить следующие поля:

После успешного добавления сенсора в разделе Дашборд появится возможность добавить виджет с графиками данных SNMP, полученными с данного сенсора.