Network
Подключение сетевых источников событий: маршрутизаторы, коммутаторы, FW, NGFW и т.п.
- Usergate
- ViPNet Coordinator
- Ideco UTM
- Cisco IOS
- Настройка отправки событий с FortiGate (CEF)
- Континент версия 4
Usergate
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка Usergate
Для настройки отправки событий с Usergate в KUMA выполните следующие действия:
1. В веб-интерфейсе Usergate перейдите на вкладку Журналы и отчеты.
2. Выберите Экспорт журналов и нажмите кнопку Добавить.
3. На вкладке Общие поставьте галочку напротив параметра Включено и задайте имя правилу экспорта журналов.
4. На вкладке Удаленный сервер задайте следующие настройки:
- Тип сервера - Syslog
- Адрес - коллектора KUMA
- Порт - порт коллектора KUMA
- Транспорт - UDP или TCP (настройка должна совпадать с настройками коллектора KUMA).
- Протокол - Syslog (RFC 5424).
- Критичность и Объект выберите в соответствии с потребностями в логировании.
В поле Имя хоста по умолчанию указано имя хоста Usergate с символом @. Замените символ «@» на символ «.» для корректной нормализации событий Usergate на стороне KUMA.
5. На вкладке Журналы для экспорта поставьте галочки напротив Журналов, которые необходимо экспортировать в KUMA. Для каждого экспортируемого журнала выберите Формат CEF.
6. Сохраните внесенные изменения.
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне Usergate.
2. На шаге Парсинг событий выберите нормализатор [OOTB] Syslog-CEF.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Экспорт журналов (документация UserGate): https://docs.usergate.com/eksport-zhurnalov_178.html
ViPNet Coordinator
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка ViPNet Coordinator
Для отправки событий ViPNet Coordinator в KUMA выполните следующее:
1. Подключитесь к консоли ViPNet Coordinator локально или через ssh.
2. Перейдите режим в Администратора с помощью следующей команды:
enable
3. Из командной строки в режиме Администратора выполните команду:
machine set loghost <ip-адрес коллектора KUMA>
После выполненных настроек ViPNet Coordinator будет отправлять системный журнал на адрес коллектора KUMA по протоколу UDP и 514-му порту.
В случае если коллектор KUMA является открытым узлом по отношению к ViPNet Coordinator, то также необходимо создать фильтр открытой сети, разрешающий исходящий трафик по протоколу UDP на 514-й порт коллектора KUMA.
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий ViPNet Coordinator.
1. На шаге Транспорт укажите тип UDP и порт 514.
2. На шаге Парсинг событий выберите нормализатор [OOTB] VipNet Coordinator syslog.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Дополнительная настройка коллектора
После установки коллектора, необходимо внести изменения в файл сервиса коллектора для того, чтобы коллектор мог слушать входящие соединения на порту 514.
Для этого выполните следующие действия:
1. Остановите выполнение сервиса коллектора командой
systemctl stop kuma-collector-<id>
2. Откройте на редактирование файл коллектора /usr/lib/systemd/system/kuma-collector-<id>.service
3. В разделе [Service] добавьте следующую строку
AmbientCapabilities=CAP_NET_BIND_SERVICE
4. Сохраните полученный файл
5. Обновите параметры сервисов следующей командой
systemctl daemon-reload
6. Запустите службу коллектора следующей командой
systemctl start kuma-collector-<id>
Ideco UTM
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm
Настройка Ideco UTM
Для передачи событий из Ideco UTM в KUMA выполните следующие действия:
1. Подключитесь к веб-интерфейсу Ideco UTM под учётной записью, обладающей административными привилегиями.
2. В меню Пересылка системных сообщений переведите переключатель Syslog в положение включено.
3. В параметре IP-адрес укажите IP-адрес коллектора KUMA.
4. В параметре Порт введите порт, который прослушивает коллектор KUMA.
5. Нажмите Сохранить для применения внесённых изменений.
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Ideco UTM.
1. На шаге Транспорт укажите тип UDP и порт в соответствии с настройками на стороне Ideco UTM.
2. На шаге Парсинг событий выберите нормализатор [OOTB] Ideco UTM syslog.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Настройка получения событий Ideco UTM (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm
Расшифровка передаваемых логов: https://docs.ideco.dev/settings/monitor/syslog
Cisco IOS
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка Cisco IOS
Войдите на источник Cisco IOS коммутатор или маршрутизатор.
Введите следующую команду для входа в маршрутизатор в привилегированный режим: enable
Переключитесь в режим конфигурации (configure terminal):
conf t
Перед включением ведения журнала убедитесь, что ваш маршрутизатор правильно настроен для получения времени от сервера NTP, или настройте его вручную, чтобы получать время. Используйте команду set clock
или ntp server x.x.x.x
для синхронизации часов.
Включите журналирование:
logging on
Укажите IP-адрес коллектора и порт (можно использовать UDP или TCP транспорт):
logging host <IP-адрес коллектора> transport udp port <порт коллектора>
Укажите уровень важности событий (рекомендуется informational):
logging trap informational
Уровни критичности в CISCO:
Level Keyword |
Level |
Description |
Syslog Definition |
emergencies |
0 |
Система нестабильна |
LOG_EMERG |
alerts |
1 |
Требуются немедленные действия |
LOG_ALERT |
critical |
2 |
Критические условия |
LOG_CRIT |
errors |
3 |
Условия ошибки (по умолчанию) |
LOG_ERR |
warnings |
4 |
Условия предупреждения |
LOG_WARNING |
notifications |
5 |
Нормальное, но значимое состояние |
LOG_NOTICE |
informational |
6 |
Только информационные сообщения |
LOG_INFO |
debugging |
7 |
Отладка сообщений |
LOG_DEBUG |
Укажите интерфейса источника для отправки событий:
logging source-interface <Имя интерфейса>
<Имя интерфейса> - это имя интерфейса, например, dmz, lan, ethernet0 или ethernet1.
Настройте средство для системного журнала:
logging facility syslog
Настройте идентификатор событий:
logging origin-id ip
Настройте временные метки событий и идентификаторы событий в логировании:
service timestamps log datetime year show-timezone
service sequence numbers
Маршрутизатор по умолчанию не проверяет, авторизован ли пользователь в консольном порту или к нему подключено устройство; если ведение журнала консоли включено, на консольный порт всегда отправляются сообщения, которые могут вызвать нагрузку на процессор. Поэтому ниже включим логирование только необходимых событий. (вместо включения logging console warning
)
Включите регистрацию событий входа пользователей:
logging userinfo
login on-success log
login on-failure log
ip ssh logging events
Включите регистрацию событий выполнения конфигурационных команд:
archive
log config
logging enable
notify syslog contenttype plaintext
Опционально. Включите регистрацию событий VPN:
crypto logging ezvpn
crypto logging session
crypto logging ikev2
Выйдите из режима конфигурирования:
end
Сохраните изменения даже после перезагрузки:
на старых Cisco:
write memory
на новых Cisco (копирование рабочей конфигурации):
copy running-config startup-config
Чтобы отобразить состояние системного журнала (syslog) и содержимое стандартного буфера сообщений системного журнала, используйте команду из привилегированного режима:
show logging
Настройка отправки событий с FortiGate (CEF)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка коллектора KUMA
Создание коллектора KUMA
Для приема и обработки событий с FortiGate необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите на вкладку Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:
- На шаге Подключение источников укажите Имя коллектора и Тенант, к которому будет принадлежать создаваемый коллектор
- На шаге Транспорт укажите Тип и Порт (данные параметры должны соответствовать настройкам на стороне FortiGate: set mode и set port соответственно)
Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL
- На шаге Парсинг событий укажите нормализатор. Рекомендуется использовать предустановленный нормализатор [OOTB] Syslog-CEF (https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/255782.htm).
Если планируете использовать правила корреляции для FortiGate из Community-Pack необходимо использовать нормализатор [2024-04-22] FortiGate Syslog-CEF, также доступный в Community-Pack
- Шаги мастера настройки с четвертого по шестой можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище. В случае если предполагается также корреляция по событиям добавьте точку назначения типа Коррелятор.
- На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.
Также после выполнения вышеуказанных действий на вкладке Ресурсы > Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root).
Перед установкой рекомендуется выполнить из командной строки команду, скопированную на прошлом шаге без ключа --install, чтобы убедиться в отсутствии ошибок.
В случае отсутствия ошибок в выводе командной строки, прервите исполнение в командной строке, после чего можно переходить к установке.
Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге.
При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.
firewall-cmd --add-port=<порт, выбранный для коллектора>/udp –permanent
firewall-cmd --reload
После успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на зеленый.
Настройка FortiGate
Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия:
- Подключитесь к CLI FortiGate по SSH
- Перейдите в секцию настройки параметров Syslog:
config log syslogd setting
- Выполните настройку параметров Syslog:
set status enable # включить отправку событий на удаленный Syslog-сервер
set server <IP-адреса сервера-коллектора KUMA>
set mode udp # отправлять события по UDP
set port <порт, заданный в параметрах коллектора KUMA>
set source-ip <IP-адрес FortiGate> # IP-адрес, который будет использоваться в качестве Source IP при взаимодействии c коллектором KUMA [опционально]
set format cef # отправлять события в формате CEF
set interface-select-method <auto|sdwan|specify> # если выбран specify указать вручную исходящий интерфейс для взаимодействия с коллектором KUMA с помощью команды set interface <наименование интерфейса> [опционально]
end
Проверка поступления событий FortiGate в KUMA
Для проверки, что сбор событий с FortiGate успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор для FortiGate и нажмите Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события с FortiGate.
Полезные ссылки
Отправка событий в формате CEF - https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiGate-Logs-can-be-sent-to-syslog-servers-in/ta-p/190617
Континент версия 4
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройки Континента
Откройте Менеджер конфигурации Континента.
В настройках узла безопасности раскройте пункт Журналирование и оповещение, затем нажмите и пропишете IP адрес и порт коллектора KUMA, рекомендуется использовать протокол TCP.
Уровени детализации журнала в Континенте (Рекомендуемый уровень детализации Высокий):
Уровень детализации журнала | Уровень важности события |
Отладочный | Отладка (DEBUG) |
Минимальный | Информация (INFO) |
Низкий | Ошибка (ERR) |
Средний | Критическая ошибка (CRIT) |
Высокий | Тревога (ALERT) |
Предустановленный | Предупреждение (Warning) |
Пример настройки ниже:
Нажмите Применить и ОК.
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне Континента.
2. На шаге Парсинг событий выберите нормализатор [2024-05-03] Unix AuditD (REGEX) из папки нормализоторов Community-Pack.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Справка по Континенту версия 4 - тут
Статья в HABR по интеграции Континента и KUMA - https://habr.com/ru/companies/tssolution/articles/792078/