Вы можете настраивать интеграцию UserGate SIEM с межсетевыми экранами UserGate NGFW (далее также — сенсоры UserGate). Для подключенных сенсоров это позволяет использовать UserGate SIEM в качестве базы данных журналов, в которой выполняется их хранение, последующая обработка и анализ.

При первоначальном сетевом взаимодействии UserGate SIEM обменивается с сенсорами UserGate ключами шифрования и устанавливает канал управления (порты TCP 9713 и TCP 2023). Далее сенсоры передают данные журналов на сервер UserGate SIEM (порт TCP 22711) и данные о своем состоянии по протоколу SNMP (порт UDP 161). Для SNMP-мониторинга на каждом сенсоре UserGate автоматически создается соответствующее правило. Подробная информация о сетевом взаимодействии устройств приведена в разделе «Требования к сетевому окружению».

В разделе Настройки ➜ Сенсоры ➜ Сенсоры UserGate вы можете управлять подключенными сенсорами UserGate, а также отслеживать состояние этих устройств (например, объем используемой памяти и время непрерывной работы). Кроме того, в разделе Дашборды вы можете добавлять виджеты сенсоров UserGate и просматривать на них информацию о состоянии устройств в графическом представлении.

Данные о событиях, полученные от сенсоров UserGate, отображаются в разделе Журналы и отчеты в виде записей в соответствующих журналах. Вы можете управлять этими данными: фильтровать их, скачивать в CSV-формате, а также экспортировать на внешние серверы и создавать сводные отчеты. Кроме того, в разделе Аналитика доступен анализ данных.

Настройка интеграции с UserGate NGFW

Для настройки интеграции UserGate SIEM с UserGate NGFW необходимо:

1. В веб-консоли UserGate NGFW в свойствах зоны для подключения UserGate SIEM разрешить использование сервисов Log Analyzer/SIEM и SNMP. Подробнее — в Руководстве администратора UserGate NGFW в разделе «Настройка зон».

2. В веб-консоли UserGate NGFW получить уникальный код устройства и передать его администратору UserGate SIEM.

3. В веб-консоли UserGate SIEM в свойствах зоны для подключения UserGate NGFW разрешить использование сервиса База данных журналов.

4. Подключить UserGate NGFW к UserGate SIEM в качестве сенсора.

Получение кода устройства UserGate NGFW

ПримечаниеИнструкция ниже выполняется в веб-консоли UserGate NGFW.

Чтобы получить код устройства:

В разделе Настройки ➜ Консоль администратора ➜ Настройки в блоке Состояние базы данных журналов ➜ Код устройства нажмите Показать.

Полученный код необходимо скопировать в буфер обмена и передать его администратору UserGate SIEM.

Подключение UserGate NGFW в качестве сенсора

ПримечаниеИнструкция ниже выполняется в веб-консоли UserGate SIEM.

Чтобы подключить UserGate NGFW к UserGate SIEM в качестве сенсора:

1. В разделе Настройки ➜ Сенсоры ➜ Сенсоры UserGate нажмите Добавить.

2. В окне свойств сенсора выполните следующие действия:

установите флажок Включено для активации соединения с сервером UserGate NGFW;
укажите название и при необходимости описание сенсора;
укажите IP-адрес или доменное имя сервера UserGate NGFW (например, 198.51.100.22);
в поле SIEM адрес выберите IP-адрес UserGate SIEM;
укажите код устройства, полученный от администратора UserGate NGFW.

3. Нажмите Сохранить.

Подключенный сенсор отобразится в таблице Сенсоры UserGate.

Управление сенсорами UserGate

В разделе Настройки ➜ Сенсоры ➜ Сенсоры UserGate отображается список устройств UserGate NGFW, подключенных к UserGate SIEM в качестве сенсоров.

В таблице вы можете отслеживать статус подключения каждого сенсора к UserGate SIEM с помощью следующих цветовых индикаторов:

Зеленый — соединение между серверами сенсора UserGate и UserGate SIEM установлено.
Красный — соединение между серверами сенсора UserGate и UserGate SIEM не установлено, сенсор отключен или недоступен.

Вы можете управлять подключенными сенсорами:

Включать и отключать сенсоры от UserGate SIEM по кнопкам Включить и Отключить соответственно.

ПримечаниеПри выборе нескольких сенсоров в таблице с помощью клавиши Ctrl или Shift доступно их одновременное включение или отключение.

Удалять сенсор по кнопке Удалить.
Изменять параметры сенсора по кнопке Редактировать.

При редактировании в окне свойств сенсора доступна кнопка Перенастроить, по нажатию которой выполняется переподключение сенсора к UserGate SIEM. Это может понадобиться, например, при изменении IP-адреса или кода устройства UserGate.

Кроме того, вы можете настраивать отображение сенсоров в таблице с помощью следующих фильтров:

Все — все сенсоры (фильтр по умолчанию).
Включенные и Выключенные — сенсоры в выбранном состоянии.
Онлайн — сенсоры, для которых установлено соединение с сервером UserGate SIEM.
Офлайн — сенсоры, для которых не установлено соединение с сервером UserGate SIEM.

По умолчанию для сенсора в таблице отображаются следующие данные:

название;
IP-адрес или доменное имя;
название и модель устройства;
версия ПО;
информация о лицензии;
время непрерывной работы;
параметры мониторинга состояния сенсора, включая объем используемой оперативной памяти и загруженность центрального процессора.