Network

Подключение сетевых источников событий: маршрутизаторы, коммутаторы, FW, NGFW и т.п.

Usergate

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка Usergate

Для настройки отправки событий с Usergate в KUMA выполните следующие действия:

1. В веб-интерфейсе Usergate перейдите на вкладку Журналы и отчеты.

image.png

2. Выберите Экспорт журналов и нажмите кнопку Добавить.

image.png

3. На вкладке Общие поставьте галочку напротив параметра Включено и задайте имя правилу экспорта журналов.

image.png

4. На вкладке Удаленный сервер задайте следующие настройки:

В поле Имя хоста по умолчанию указано имя хоста Usergate с символом @. Замените символ «@» на символ «.» для корректной нормализации событий Usergate на стороне KUMA.

image.png

5. На вкладке Журналы для экспорта поставьте галочки напротив Журналов, которые необходимо экспортировать в KUMA. Для каждого экспортируемого журнала выберите Формат CEF.

image.png 
6. Сохраните внесенные изменения.


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне Usergate.

2. На шаге Парсинг событий выберите нормализатор [OOTB] Syslog-CEF.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Экспорт журналов (документация UserGate): https://docs.usergate.com/eksport-zhurnalov_178.html 

ViPNet Coordinator

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка ViPNet Coordinator

Чтобы собирать события с МСЭ надо выполнить следующее (для VipNet Coordinator HW4):

  1. Откройте интерфейс командной строки источника.
  2. Перейдите в привилегированный режим: enable
  3. Введите пароль учетной записи с правами администратора.
  4. Выполните команду: machine set loghost <IP-адрес коллектора KUMA>
  5. Остановите работу службы iplircfg: iplir stop
  6. Откройте файл конфигурации iplir.conf: iplir config
  7. В секции misc выставите значения:
    cef_enabled = yes
    cef_ip = <IP-адрес коллектора KUMA>
    cef_port = <Укажите порт, отличный от 514>

  8. Сохраните изменения с помощью комбинации клавиш Ctrl+O и клавиши Enter.
  9. Закройте файл.
  10. Откройте файл конфигурации сетевого интерфейса, с которого вы хотите получать данные о пакетах:
    iplir config <Имя интерфейса>
  11. Если вы хотите получать события о всем сетевом трафике, в секции cef укажите значение event = all, в секции db — значение registerall = on.
  12. Если вы хотите получать только события о заблокированных пакетах, в секции cef укажите значение event = blocked.
  13. Сохраните изменения  с помощью комбинации клавиш Ctrl+O и клавиши Enter, закройте файл.
  14. Запустите службу iplircfg:
    iplir start
  15. Настройте фильтр открытой сети, выполнив команду:
    firewall local add 3 rule "Allow Syslog" src @local dst <IP-адрес сервера коллектора KUMA> udp dport 514 pass
  16. Затем установите:
    1) Коллектор с парсером [OOTB] VipNet Coordinator CEF для разбора событий в формате CEF с межсетевого экрана VipNet
    2) Коллектор с парсером [OOTB] VipNet Coordinator syslog для разбора событий syslog из системного журнала VipNet

Если же собирать системные события VipNet не нужно, то п.4 и 17.2 выполнять не нужно. После выполненных настроек ViPNet Coordinator будет отправлять системный журнал на адрес коллектора KUMA по протоколу UDP и 514-му порту.

Для  VipNet Coordinator HW5 проделайте все аналогично, но для пункта 7 установите параметры:

cef_enabled = yes
cef_ip =
cef_port = 514
cef_format= xf

А также в пункте 16 укажите:

firewall local add 3 rule "Allow Syslog" src @local dst <IP-адрес сервера коллектора KUMA> udp dport 514 pass
firewall local add 3 rule "Allow CEF" src @local dst <IP-адрес сервера коллектора KUMA> udp dport 5514 pass

В случае если коллектор KUMA является открытым узлом по отношению к ViPNet Coordinator, то также необходимо создать фильтр открытой сети, разрешающий исходящий трафик по протоколу UDP на 514-й порт коллектора KUMA.


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий ViPNet Coordinator.

1. На шаге Транспорт укажите тип UDP и порт 514.

2. На шаге Парсинг событий выберите нормализатор [OOTB] VipNet Coordinator syslog.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Дополнительная настройка коллектора

После установки коллектора, необходимо внести изменения в файл сервиса коллектора для того, чтобы коллектор мог слушать входящие соединения на порту 514.

Для этого выполните следующие действия:

1. Остановите выполнение сервиса коллектора командой 

systemctl stop kuma-collector-<id>

2. Откройте на редактирование файл коллектора /usr/lib/systemd/system/kuma-collector-<id>.service

3. В разделе [Service] добавьте следующую строку

AmbientCapabilities=CAP_NET_BIND_SERVICE

4. Сохраните полученный файл

5. Обновите параметры сервисов следующей командой 

systemctl daemon-reload

6. Запустите службу коллектора следующей командой

systemctl start kuma-collector-<id>


Ideco UTM

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm

Настройка Ideco UTM

Для передачи событий из Ideco UTM в KUMA выполните следующие действия:

1. Подключитесь к веб-интерфейсу Ideco UTM под учётной записью, обладающей административными привилегиями.

2. В меню Пересылка системных сообщений переведите переключатель Syslog в положение включено.

3. В параметре IP-адрес укажите IP-адрес коллектора KUMA.

4. В параметре Порт введите порт, который прослушивает коллектор KUMA.

5. Нажмите Сохранить для применения внесённых изменений.

image.png


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Ideco UTM.

1. На шаге Транспорт укажите тип UDP и порт в соответствии с настройками на стороне Ideco UTM.

2. На шаге Парсинг событий выберите нормализатор [OOTB] Ideco UTM syslog.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Настройка получения событий Ideco UTM (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm

Расшифровка передаваемых логов: https://docs.ideco.dev/settings/monitor/syslog 

Cisco IOS

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка Cisco IOS

Войдите на источник Cisco IOS коммутатор или маршрутизатор.

Введите следующую команду для входа в маршрутизатор в привилегированный режим: enable

Переключитесь в режим конфигурации (configure terminal): 

conf t

Перед включением ведения журнала убедитесь, что ваш маршрутизатор правильно настроен для получения времени от сервера NTP, или настройте его вручную, чтобы получать время. Используйте команду set clock или ntp server x.x.x.x для синхронизации часов.

Включите журналирование: 

logging on

Укажите IP-адрес коллектора и порт (можно использовать UDP или TCP транспорт): 

logging host <IP-адрес коллектора> transport udp port <порт коллектора>

Укажите уровень важности событий (рекомендуется informational):

logging trap informational

Уровни критичности в CISCO:

Level Keyword

Level

Description

Syslog Definition

emergencies

0

Система нестабильна

LOG_EMERG

alerts

1

Требуются немедленные действия

LOG_ALERT

critical

2

Критические условия

LOG_CRIT

errors

3

Условия ошибки (по умолчанию)

LOG_ERR

warnings

4

Условия предупреждения

LOG_WARNING

notifications

5

Нормальное, но значимое состояние

LOG_NOTICE

informational

6

Только информационные сообщения

LOG_INFO

debugging

7

Отладка сообщений

LOG_DEBUG

Укажите интерфейса источника для отправки событий:

logging source-interface <Имя интерфейса>

<Имя интерфейса> - это имя интерфейса, например, dmz, lan, ethernet0 или ethernet1.

Настройте средство для системного журнала:

logging facility syslog

Настройте идентификатор событий: 

logging origin-id ip

Настройте временные метки событий и идентификаторы событий в логировании: 

service timestamps log datetime year show-timezone
service sequence numbers

Маршрутизатор по умолчанию не проверяет, авторизован ли пользователь в консольном порту или к нему подключено устройство; если ведение журнала консоли включено, на консольный порт всегда отправляются сообщения, которые могут вызвать нагрузку на процессор. Поэтому ниже включим логирование только необходимых событий. (вместо включения logging console warning)

Включите регистрацию событий входа пользователей:

logging userinfo
login on-success log 
login on-failure log 
ip ssh logging events

Включите регистрацию событий выполнения конфигурационных команд:

archive
log config
logging enable
notify syslog contenttype plaintext

Опционально. Включите регистрацию событий VPN:

crypto logging ezvpn 
crypto logging session
crypto logging ikev2

Выйдите из режима конфигурирования:

end

Сохраните изменения даже после перезагрузки:

на старых Cisco:

write memory

на новых Cisco (копирование рабочей конфигурации):

copy running-config startup-config

Чтобы отобразить состояние системного журнала (syslog) и содержимое стандартного буфера сообщений системного журнала, используйте команду из привилегированного режима: 

show logging

FortiGate (CEF)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий с FortiGate необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите на вкладку Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

image.png

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL

image.png

Если планируете использовать правила корреляции для FortiGate из Community-Pack необходимо использовать нормализатор [2024-04-22] FortiGate Syslog-CEF, также доступный в Community-Pack

image.png

image.png

image.png

Также после выполнения вышеуказанных действий на вкладке Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root).

Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

firewall-cmd --add-port=<порт, выбранный для коллектора>/udp –permanent
firewall-cmd --reload

После успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на зеленый.

image.png


Настройка FortiGate

Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия:

config log syslogd setting
set status enable # включить отправку событий на удаленный Syslog-сервер
set server <IP-адреса сервера-коллектора KUMA>
set mode udp # отправлять события по UDP
set port <порт, заданный в параметрах коллектора KUMA> 
set source-ip <IP-адрес FortiGate> # IP-адрес, который будет использоваться в качестве Source IP при взаимодействии c коллектором KUMA [опционально]
set format cef # отправлять события в формате CEF
set interface-select-method <auto|sdwan|specify> # если выбран specify указать вручную исходящий интерфейс для взаимодействия с коллектором KUMA с помощью команды set interface <наименование интерфейса> [опционально]
end

Проверка поступления событий FortiGate в KUMA

Для проверки, что сбор событий с FortiGate успешно настроен перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор для FortiGate и нажмите Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события с FortiGate.

image.png


Полезные ссылки

Отправка событий в формате CEF - https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiGate-Logs-can-be-sent-to-syslog-servers-in/ta-p/190617

Check Point NGFW (CEF)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий Check Point NGFW необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

image.png

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL

Указанные параметры должны соответствовать настройкам на стороне Check Point

image.png

image.png

image.png

image.png

image.png

Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload

После успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на Вкл с зеленой индикацией.

image.png


Настройка Check Point NGFW

Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку конфигурации Log Exporter можно выполнить двумя способами:

SmartConsole

image.pngimage.png

CLI

cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cef
cp_log_export restart name <Наименование конфигурации>

Проверка поступления событий Check Point NGFW в KUMA

Для проверки, что сбор событий с Check Point NGFW успешно настроен перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор Check Point NGFW > ПКМ > Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события Check Point NGFW.

image.png


Полезные ссылки

Настройка отправки событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323

Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192

АПКШ Континент 3.9

Информация, приведенная на данной странице, является дополнением к официальной статье по Настройке получения событий АПКШ Континент. Статья разработана командой pre-sales и НЕ является официальной рекомендацией вендора.

Подготовительные действия для получения событий АПКШ Континент

Создание роли базы данных

Для получения событий АПКШ Континент 3.9 из MS SQL требуется учетная запись с минимальным набором прав для подключения и чтения данных в таблицах: ALERTLOG, SERVERACCESSLOG, SYSTEMLOG, PACKETLOG, FILTERS. Чтобы создать роль для доступа к таблицам БД АПКШ Континент выполните следующие действия:

image175.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

Итоговый перечень защищаемых объектов:

image.png

Создание учётной записи

Чтобы создать учетную запись в MS SQL для доступа к таблицам БД АПКШ Континент выполните следующие действия:

image.png

image.png

image.png

image.png


Настройка утилиты kuma-kont

Создание конфигурационного файла kuma-kont-config.yaml

Пример конфигурационного файла kuma-kont-config.yaml:

image.png

Если при запуске утилиты kuma-kont присутствуют ошибки вида "Unsupported TLS version..." и нет возможности включить поддержку TLS 1.2 на стороне сервера MS SQL, добавьте параметр ";encrypt=disable" к имени БД. Рекомендуется установить соотвествующие обновления на сервере MS SQL для поддержки TLS 1.2. Вариант с отключением шифрования не рекомендуется к использованию, так как данные буду передаваться в открытом виде.

FortiGate-FortiAnalyzer (CEF)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

FortiAnalyzer — это аналитическая платформа для управления событиями, журналами и формирования отчетности, разработанная компанией Fortinet. В данной статье рассматривается настройка отправки событий FortiGate, которые централизованно собираются и хранятся в FortiAnalyzer.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий FortiGate, отправляемых с FortiAnalyzer, необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

image.png

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL

Указанные параметры должны соответствовать настройкам на стороне FortiAnalyzer

image.png

image.png

image.png

image.png

Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

# Пример для firewalld
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload

После успешной установки сервиса в столбце Статус в веб-интерфейсе KUMA появится зеленая индикация.

image.png


Настройка FortiAnalyzer

Пересылка событий FortiGate в KUMA выполняется средствами механизма Log Forwarding, доступного в FortiAnalyzer. Для настройки пересылки в веб-интерфейсе FortiAnalyzer:

image.png

image.png

image.png


Проверка поступления событий FortiGate в KUMA

Для проверки, что пересылка событий FortiGate с FortiAnalyzer успешно настроена перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор FortiGate-FortiAnalyzer > ПКМ > Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события FortiGate.

image.png


Полезные ссылки

Континент версия 4

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройки Континента

Откройте Менеджер конфигурации Континента. 

В настройках узла безопасности раскройте пункт Журналирование и оповещение, затем  нажмите image.png и пропишете IP адрес и порт коллектора KUMA, рекомендуется использовать протокол TCP.

Уровени детализации журнала в Континенте (Рекомендуемый уровень детализации Высокий): 

Уровень детализации журнала Уровень важности события
Отладочный Отладка (DEBUG)
Минимальный Информация (INFO)
Низкий Ошибка (ERR)
Средний Критическая ошибка (CRIT)
Высокий Тревога (ALERT)
Предустановленный Предупреждение (Warning)

 Пример настройки ниже:

image.png

Нажмите Применить и ОК.


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне Континента.

2. На шаге Парсинг событий выберите нормализатор [2024-05-03] Unix AuditD (REGEX) из папки нормализоторов Community-Pack.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Справка по Континенту версия 4 - тут

Статья в HABR по интеграции Континента и KUMA - https://habr.com/ru/companies/tssolution/articles/792078/ 

Mikrotik

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Инструкция применима для MikroTik с RouterOS 6 и 7+

Настройка Mikrotik

Настройка может выполняется с помощью WinBox (рассматривается этот метод), либо через веб-интерфейс MikroTik RouterOS под учетной записью с правами администратора или через командную строку.

Перейдите в раздел System - Logging, во вкладке Actions добавляем новый элемент (по умолчанию используется протокол UDP):

image.png

Cохраните настройку, нажав Apply и OK.

Настройка через командную строку:

/system logging action
/system/logging/action> add bsd-syslog=yes name=kuma remote=(KUMA_IP) remote=KUMA_PORT syslog-facility=syslog target=remote

Каждое событие в журналах Mikrotik может находиться одновременно в разных Topics, пример ниже: 

image.png

В правилах логирования необходимо укаказать Topics, не пересекающиеся в других правилах. Иными словами, нужно создать отдельные правила с указанием отдельных Topics и если необходимо указать исключения, для категорий событий, которые не нужно отправлять на коллектора, установите флаг ! перед Topics. В раскрывающемся списке Action выберите созданное ранее действие kuma, затем нажмите ОК.

image.png

Настройка через командную строку:

/system logging
add topics=critical prefix=critical action=kuma

При включении определенных Topics, особенно firewall может возрастать нагрузка на МЭ MikroTik, обращайте внимание на нагрузку системы после влючения логирования, особенно это касается моделей со слабой аппаратной начинкой

 

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий MikroTik.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне MikroTik.

2. На шаге Парсинг событий выберите нормализатор [OOTB] MikroTik syslog.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Huawei (Syslog и NetFlow)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка Syslog

Настройка может выполняться через командную строку под учетной записью с правами администратора.

#Настройка syslog
info-center channel 6 name Syslog_KUMA
info-center source default channel 6 log level informational
info-center loghost source <Название интерфейса, с которого будет происходить отправка событий>
info-center loghost <IP-адрес коллектора KUMA> port <Порт коллектора KUMA> facility local7 severity warning
#Включение регистрации событий ввода команд
info-center command-log enable
info-center command-log size 100
info-center command-log timestamp
quit 
save

Настройка NetFlow

Настройка может выполняться через командную строку под учетной записью с правами администратора.

#Укажите интерфейс, из которого будут экспортироваться данные о потоке. Замените цифру «3» фактическим номером интерфейса , если он отличается.
slot 3 (Replace "3" with your actual slot number if different.)
ip netstream sampler fix-packets 500 inbound
ip netstream sampler fix-packets 500 outbound
#Настройка параметров экспорта NetStream.Задайте параметры экспорта NetStream, включая версию, исходный IP-адрес и IP-адрес хоста.
ip netstream timeout active 1
ip netstream timeout inactive 15
ip netstream export version 9 #вариативно, 5 или 9 версия
ip netstream export index-switch 32
ip netstream export template timeout-rate 1
ip netstream export source <адрес устройства>
ip netstream export host <IP-адрес KUMA коллектора> 2055 #порт по умолчанию - 2055, при необходимости меняем
ip netstream export template option sampler
ip netstream export template option timeout-rate 1
ip netstream as-mode 32
#Включите NetFlow на интерфейсах, которые будут экспортировать данные о потоке.
ip netstream inbound
quit 
save

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллекторы в веб-интерфейсе KUMA для событий Huawei. Отдельно - коллектор для Syslog и отдельный коллектор для приёма NetFlow.

Создание коллектора для приёма Syslog:

1. На шаге Транспорт укажите тип и порт в соответствии с настройками Syslog на стороне Huawei.

2. На шаге Парсинг событий выберите нормализатор [OOTB] Huawei USG Basic (либо другой нормализатор, подходящий под Ваше устройство).

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Создание коллектора для приёма NetFlow:

1. На шаге Транспорт укажите тип и порт в соответствии с настройками Netflow на стороне Huawei.

Задаём:
Тип  netflow
url  :2055 (либо порт - который был задан на этапе настройки со стороны Huawei)

2. На шаге Парсинг событий выберите нормализатор [OOTB] NetFlow v5 или [OOTB] NetFlow v9, в зависимости от выбранной версии на этапе настройки Huawei.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

pfSense

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий pfSense необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

image.png

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL.

Указанные параметры должны соответствовать настройкам на стороне pfSense.

image.png

Демон syslog поддерживает отправку syslog-сообщений только с помощью протокола UDP. Для отправки событий по протоколу TCP необходимо использовать пакет syslog-ng.

image.png

image.png

image.png

Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

Если используется firewall-cmd:

firewall-cmd --add-port=5152/udp –permanent
firewall-cmd –reload

Если используется ufw:

ufw allow 5152/udp
ufw reload

После успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на Вкл с зеленой индикацией.

image.png


Настройка pfSense

Отправка событий pfSense осуществляется с помощью демона syslog. Для настройки отправки событий в KUMA:

image.png

image.png


Проверка поступления событий pfSense в KUMA

Для проверки, что сбор событий с pfSense успешно настроен перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор pfSense > ПКМ > Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события pfSense.

image.png

События, отправляемые способом, описанным выше, пересылаются в открытом (незашифрованном) виде. Рекомендуется использование пакета Stunnel или пакета syslog-ng, который поддерживает передачу syslog-сообщений в зашифрованном виде.


Полезные ссылки

PaloAlto

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Palo Alto Networks (PAN-OS) — источник событий безопасности и сетевой активности, поступающих с NGFW. Логи включают данные о сессиях, трафике, угрозах, системных событиях, аутентификации и администрировании. Используются для корреляции инцидентов, выявления атак и анализа сетевого поведения. 

Типы собираемых событий

Способ интеграции - Syslog

Примеры событий 

<14>Oct 23 19:57:20 DEMO-NGFW 1,2025/10/23 19:57:20,007954000611466,TRAFFIC,end,2562,2025/10/23 19:57:20,172.16.1.101,8.8.8.8,1.2.9.5,8.8.8.8,Allow - to Internet,,,dns-base,vsys1,Zone1,Zone2,ethernet1/5,ethernet1/4,Rule1,2025/10/23 19:57:20,226468,1,62119,53,1757,53,0x400019,udp,allow,262,99,163,2,2025/10/23 19:56:48,0,any,,7553303471644639363,0x0,172.16.0.0-172.31.255.255,United States,,1,1,aged-out,0,0,0,0,,DEMO-NGFW,from-policy,,,0,,0,,N/A,0,0,0,0,c950b3fc-0861-4869-b734-cda049e8efb9,0,0,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,2025-10-23T19:57:20.110+05:00,,,infrastructure,networking,network-protocol,3,"used-by-malware,has-known-vulnerability,pervasive-use",dns,dns-base,no,no,0
<12>Oct 23 20:07:11 DEMO-NGFW 1,2025/10/23 20:07:11,007954000611466,SYSTEM,auth,2562,2025/10/23 20:07:11,,auth-fail,,0,0,general,medium,"failed authentication for user 'admin'.  Reason: Invalid username/password. From: 172.16.1.2.",7553303475874058474,0x0,0,0,0,0,,DEMO-NGFW,0,0,2025-10-23T20:07:11.169+05:00
<14>Oct 23 20:05:01 DEMO-NGFW 1,2025/10/23 20:05:01,007954000611466,SYSTEM,auth,2562,2025/10/23 20:05:01,,auth-success,,0,0,general,informational,"authenticated for user 'admin'.   From: 172.16.1.2.",7553303475874058376,0x0,0,0,0,0,,DEMO-NGFW,0,0,2025-10-23T20:05:01.544+05:00
<14>Oct 23 20:09:16 DEMO-NGFW 1,2025/10/23 20:09:16,007954000611466,SYSTEM,general,2562,2025/10/23 20:09:16,,general,,0,0,general,informational,"Connection to Update server: updates.paloaltonetworks.com completed successfully, initiated by 18.22.91.5",7553303475874058563,0x0,0,0,0,0,,DEMO-NGFW,0,0,2025-10-23T20:09:16.798+05:00
<14>Oct 23 20:07:20 DEMO-NGFW 1,2025/10/23 20:07:20,007954000611466,SYSTEM,general,2562,2025/10/23 20:07:20,,general,,0,0,general,informational,"User admin logged in via Web from 172.16.1.2 using https",7553303475874058485,0x0,0,0,0,0,,DEMO-NGFW,0,0,2025-10-23T20:07:20.811+05:00
<14>Oct 23 20:10:21 DEMO-NGFW 1,2025/10/23 20:10:20,007954000611466,SYSTEM,vpn,2562,2025/10/23 20:10:21,,ike-generic-event,,0,0,general,informational,"unknown ikev2 peer",7553303475874058609,0x0,0,0,0,0,,DEMO-NGFW,0,0,2025-10-23T20:10:21.145+05:00


Пошаговая настройка отправки событий web UI

Рекомендуется настраивать фильтрацию сетевых событий (src, dst, port) на принимающем сервере для снижения утилизации лицензии

Настройка производится через Web-интерфейс Palo Alto NGFW, для выполнения настроек откройте в браузере Web-консоль и войдите под учетной записью с правами администратора.

Добавление Syslog-профиля
  1. Перейдите в раздел “Device” → “Server Profiles” → “Syslog”, нажмите “Add” для добавления нового профиля.

image.png

2. В окне создания профиля (Syslog Server Profile) укажите удобное имя в поле “Name” и нажмите “Add” для добавления Syslog-сервера, в параметрах сервера укажите:

image.png

Сохраните изменения - “ОК

Настройка отправки системных событий
  1. Передите в раздел “DeviceLog Settings

image.png

  1. Добавьте идентичные настройки для блоков:

    1. System
    2. Configuration
    3. User-ID
    4. GlobalProtect

    Для добавления конфигурации нажмите “Add” в каждой необходимой секции (System, Configuration, User-ID, GlobalProtect) и заполните следующие параметры:

Создайте аналогичные профили настроек для Configuration, User-ID, GlobalProtect

image.png

Сохраните изменения - “ОК

Добавление профиля отправки событий
  1. Перейдите в раздел “Objects” → “Log Forwarding”, нажмите “Add” для добавления нового профиля

image.png

2. В открывшемся окне (Log Forwarding Profile) укажите произвольное имя (поле ”Name”) и нажмите “Add” для добавления списка соответствия

image.png

3. Добавьте список соответствия для событий о сетевых сессиях (traffic), для этого в окне добавления списка соответствия (Log Forwarding Profile Match List) укажите:

image.png

Сохраните изменения - “ОК

4.  Добавьте список соответствия для событий аутентификации (auth), для этого в окне добавления списка соответствия (Log Forwarding Profile Match List) укажите:

image.png

Сохраните изменения - “ОК

5. Добавьте список соответствия для событий об угрозах (threat), для этого в окне добавления списка соответствия (Log Forwarding Profile Match List) укажите:

image.png

Сохраните изменения - “ОК

6. Добавьте список соответствия для событий о фильтрации URL (url), для этого в окне добавления списка соответствия (Log Forwarding Profile Match List) укажите:

image.png

Сохраните изменения - “ОК

  1. В результате, в окне Log Forwarding Profile, у вас должно быть 4 списка соответствия, для сохранения нажмите “OK

image.png

Настройка логирования сетевых сессий в правилах Firewall

Для того, чтобы NGFW логировал события о сетевых сессиях и мог их передать на внешний Syslog-сервер необходимо включить логирование в правилах FW.

Рекомендуется включать логирование во всех правилах для полноценной видимости трафика.

image.png

  1. Перейдите в раздел “Policies” → “Security

  2. Откройте необходимое правило (рекомендуется сделать для всех правил), в разделе “Action” укажите:

    • Log at Session End - включить
    • Log forwarding - выберите профиль отправки отправки событий, созданный на предыдущем этапе

    Сохраните изменения - “ОК

Настройка адреса источника

Для того, чтобы NGFW отправлял события по Syslog необходимо выбрать сетевой интерфейс NGFW и адрес на этом интерфейсе с которого будет осуществляться отправка.

image.png

  1. Перейдите в раздел “Device” → “Setup” → “Services”, откройте настройки маршрутизации для сервисов (Service Route Configuration);

  2. В открывшемся окне (Service Route Configuration), во вкладке IPv4 выберите “Syslog”

  3. В настройках маршрутизации сервиса Syslog укажите:

    • Source Interface - выберите сетевой интерфейс NGFW, с которого должна осуществляться отправка
    • Source Address - выберите IP-адрес с которого будут отправляться события

    Сохраните изменения - “ОК

  4. В окне “Service Route Configuration” сохраните изменения - ОК

Примените изменения
  1. В Web-консоли, в верхнем правом углу нажмите “Commit”, валидируйте изменения и приметите их - “Commit

image.png

Cisco FMC

Cisco Firepower Management Center (Cisco FMC) - централизованная платформа управления и администрирования решений Cisco Firepower. Cisco FMC используется для настройки, мониторинга и сопровождения устройств Firepower Threat Defense (FTD), включая управление политиками безопасности, обновлениями, лицензированием и интеграциями.

В рамках задач информационной безопасности Cisco FMC является источником событий технического и административного аудита. События FMC позволяют отслеживать действия администраторов, изменения конфигурации, операции управления устройствами и системные события, что используется для контроля доступа, расследования инцидентов и формирования технического аудита в системах класса SIEM.

Типы собираемых событий:

Настройка отправки Audit log:

  1. Войдите в веб-консоль Cisco Firepower Management Center под учетной записью, обладающей административными правами.

  2. В правом верхнем углу интерфейса нажмите на значок System (шестерёнка).

  3. В открывшемся меню выберите Configuration.

    image.png

  4. В левой части окна перейдите в раздел Audit Log.

  5. В параметре Send Audit Log to Syslog выберите значение Enabled.

  6. В параметре Send Configuration Changes выберите формат отправки событий (Send as JSON).

  7. В поле Hosts (Up to 5) укажите адрес сервера приёма syslog.

  8. В параметре Facility выберите используемую facility в соответствии с принятой схемой.

  9. В параметре Severity укажите уровень важности собираемых событий, рекомендуется INFO

  10. В поле Tag укажите произвольную метку для идентификации источника в SIEM, например FMC

  11. Нажмите кнопку Test Syslog Server

  12. Убедитесь, что отображается сообщение об успешной доступности syslog-сервера (Syslog server has been reached).

    image.png

Cisco FTD

Cisco Firepower Threat Defense (Cisco FTD) - межсетевой экран нового поколения, объединяющий функции классического firewall, системы предотвращения вторжений (IPS), контроля приложений и сетевого трафика. Cisco FTD используется для защиты сетевых сегментов, контроля доступа и мониторинга сетевой активности на границе и внутри корпоративной инфраструктуры.

В рамках задач информационной безопасности Cisco FTD является источником событий сетевого и технического аудита. События FTD позволяют отслеживать действия администраторов, изменения конфигурации, а также факты установления и завершения сетевых соединений, что используется для мониторинга трафика, выявления инцидентов и последующего анализа в системах класса SIEM.

Типы собираемых событий

Настройка Cisco FTD через FMC для отправки событий в SIEM

Настройка логирования и отправки сетевого трафика (Access Control Policy)

  1. Войдите в веб-консоль Cisco FMC под учетной записью с правами администратора.

  2. В главном меню слева перейдите в раздел Policies.

  3. Выберите Access Control.

    image.png

  4. Откройте используемую Access Control Policy.

  5. В списке правил выберите правило, нажмите Edit, одним из следующих способов:

    • нажмите на значок (Edit) справа от имени правила;
    • либо щёлкните по правилу правой кнопкой мыши и выберите Rule Actions → Edit Rule.image.png
    • В верхней правой части открывшегося окна нажмите на надпись Logging.

    • В окне Logging Settings for Rule установите следующие параметры:

      • **Log at beginning of connection (**Опционально. Включается при необходимости фиксации начала сетевого соединения и в соответствии с требованиями и рекомендациями по журналированию безопасности)
      • Log at end of connection
    • В разделе Send Connection Events to выберите:

      • Firewall Management Center (опционально, при необходимости отображения логов в FMC)
      • Syslog server

      image.png

    • Нажмите Show overrides.

    • Установите флаг Override default syslog destination.

image.png

  1. При первичной настройке нажмите кнопку + для cоздания syslog-назначения.

  2. В открывшемся окне задайте конфигурацию syslog-назначения:

    • В поле Name укажите имя конфигурации, например to_siem;
    • задайте адрес,в поле Host, и порт, в поле Port, сервера приёма syslog;
    • выберите Facility в соответствии с требованиями SIEM, например syslog;
    • выберите Severity в соответствии с требованиями SIEM, например INFO;
    • Опционально, в поле Tag укажите произвольную метку для идентификации источника в SIEM, например FTDNE

    image.png

  3. Сохраните конфигурацию syslog-назначения, нажав на кнопку Save.

  4. В окне Select a syslog alert configuration, выберите созданный syslog destination, в нашем примере to_siem

  5. В окне Logging Settings for Rule нажмите Confirm для сохранения настроек логирования правила.

  6. Нажмите кнопку Apply в правом нижнем углу страницы

  7. Повторите шаги 5–10 и 14-16 для всех правил в вашей Access Control Policy, шаги 11-13 по созданию syslog destination выполнять не нужно, используйте ранее созданный syslog destintation. В нашем примере to_siem

  8. В нижней части страницы ранее открытой Access Control Policy, справа от надписи Default Action, нажмите на значок шестеренки

    image.png

  9. В открывшемся окне Default Logging and Inspection, включите:

    • Log at beginning of connection (Опционально. Включается при необходимости фиксации начала сетевого соединения и в соответствии с требованиями и рекомендациями по журналированию безопасности)
    • Log at end of connection
    • Firewall Management Center (опционально, при необходимости отображения логов в FMC)
    • Syslog server
  10. Нажмите Show overrides.

  11. Установите флаг Override default syslog destination.

  12. В окне Select a syslog alert configuration, выберите созданный syslog destination, в нашем примере to_siemimage.png

    1. Нажмите кноппку Apply.

    2. В правом верхнем углу нажмите Save для сохранения изменений в политике


    3. Выполните Deploy для примения конфигурации к целевомым устройствам FTD

    4. В списке профилей Platform Settings выберите профиль, нажмите Edit, одним из следующих способов:
      • нажмите на значок (Edit) справа от имени правила;
      • либо щёлкните по профилю правой кнопкой мыши и выберите Edit.
    5. В настройках профиля перейдите на вкладку Syslog
    6. В открытом профиле Syslog перейдите на вкладку Logging Setup.
    7. В разделе Basic Logging Settings установите следующие параметры:
      • Enable logging — включено.
      • Enable logging on the failover standby unit — включено.
      • Send syslogs in EMBLEM format — включено.
      • Send debug messages as syslogs — выключено.
      • Memory Size of the Internal Buffer (bytes)524288
    8. Продейлайте шаги 3-10, 14-24 для всех используемых Access Control Policy в вашей компании

      image.png

      Настройка логирования и отправки собтий аудита FTD (Platform Settings)
      1. Войдите в веб-консоль Cisco FMC под учетной записью с правами администратора.
      2. В левом меню выберите Devices.
      3. В открывшемся окне выберите Platform Settings

      image.png

       


      1. В списке профилей Platform Settings выберите профиль, нажмите Edit, одним из следующих способов:
        • нажмите на значок (Edit) справа от имени правила;
        • либо щёлкните по профилю правой кнопкой мыши и выберите Edit.
      2. В настройках профиля перейдите на вкладку Syslog
      3. В открытом профиле Syslog перейдите на вкладку Logging Setup.
      4. В разделе Basic Logging Settings установите следующие параметры:
        • Enable logging — включено.
        • Enable logging on the failover standby unit — включено.
        • Send syslogs in EMBLEM format — включено.
        • Send debug messages as syslogs — выключено.
        • Memory Size of the Internal Buffer (bytes)524288

      image.png

      1. Сохраните изменения, нажав Save в правом верхнем углу
      2. Перейдите на вкладку Event Lists.
      3. Нажмите кнопку Add.

      image.png

В открывшемся окне в поле Name укажите имя списка, например: to_siem

image.png

  1. ерейдите на вкладку Message ID, нажимая на кнопку +Add, добавьте следующие идентификаторы событий, разрешно добавлять значения по одному, либо диапазоном:
    • 199017-199021
    • 111008
    • 111010-111012
    • 110003
    • 110005
    • 110006
    • 110201-110206
    • 110101-110106
    • 110301-110304
  2. Нажмите OK.
  3. Сохраните изменения, нажав Save в правом верхнем углу
  4. Перейдите на вкладку Logging Destinations.
  5. В строке Syslog Servers нажмите на значок редактирования ✎ Editimage.png

Если у вас отсутсвует Syslog Servers в качестве Logging Destination, нажмите +Add, у вас откроется окно с такими же параметрами для конфигурации.

  1. В открывшемся окне Edit Logging Filter установите следующие параметры:
    • Logging Destination → Syslog Servers
    • Event Class → Use Event List → Выбирте созданный ранее Event List, в нашем примере to_siem

image.png

  1. Нажмите OK.
  2. Сохраните изменения, нажав Save в правом верхнем углу
  3. Перейдите на вкладку Syslog Settings.

image.png

  1. Установите параметры:
    • FacilityLOCAL4 (20).
    • Enable timestamp on syslog messages — включено.
    • Timestamp FormatLegacy (MMM dd yyyy HH:mm:ss) или RFC 5424 (**yyyy-MM-ddTHH:mm:ss**).
    • Enable syslog device ID — включено.
    • Device IDHost Name.
    • Выберите Enable All Syslog Messages.
    • Logging Level5 - notifications.
  2. Сохраните изменения, нажав Save в правом верхнем углу
  3. Перейдите на вкладку Syslog Servers

image.png

  1. становите:
    • Allow user traffic to pass when TCP syslog server is down — включено.
    • Message Queue Size (Messages)8192.
  2. Нажмите Add чтобы добавить новый syslog server.
  3. Заполните параметры:
    • IP Address - IP-адрес системы, принимающей syslog-сообщения (SIEM / log-collector).
    • Protocol - протокол передачи журналов:
      • UDP - стандартный вариант передачи syslog-сообщений; (рекомендуемый формат)
      • TCP - используется при необходимости гарантированной доставки;
      • Secure Syslog (TLS) - используется при передаче логов по защищённому каналу.
    • Port - порт приёма syslog-сообщений на стороне принимающей системы, согласно настройкам вашей SIEM.
    • Log Messages in Cisco EMBLEM format (UDP only) - включить при использовании UDP для передачи сообщений в расширенном формате Cisco EMBLEM.
    • Enable secure syslog - включается при использовании защищённого соединения (TLS).
    • Reachable By - установить Device Management Interface - рекомендуется для отправки событий аудита и управления

image.png

  1. Нажмите OK.
  2. Сохраните изменения, нажав Save в правом верхнем углу
  3. Выполните Deploy конфигурации на FTD.
  4. Если в Platform Settings используется несколько профилей, необходимо выполнить настройки, описанные в пунктах 4–29, для каждого профиля отдельно

Cisco ISE

Информация об источнике

Cisco Identity Services Engine (Cisco ISE) - централизованная платформа управления сетевым доступом, аутентификацией и авторизацией пользователей и устройств в корпоративной сети. Используется для реализации политик контроля доступа на основе идентичности при работе с проводными, беспроводными и VPN-подключениями, а также для интеграции с сетевым оборудованием и системами информационной безопасности.

В рамках задач информационной безопасности Cisco ISE является источником событий аутентификации и авторизации, административных действий и учёта сессий доступа. Эти события применяются для мониторинга доступа, анализа инцидентов и формирования аудита в системах класса SIEM.

Настройка отправки событий Cisco ISE во внешнюю SIEM по syslog

Подключение к интерфейсу управления:

  1. В адресной строке браузера введите IP-адрес или доменное имя Cisco ISE.
  2. Выполните вход под учетной записью, входящей в группу администраторов.

Создание профиля внешнего syslog-сервера:

  1. В главном меню выберите Administration → System → Logging.
  2. В левой части окна выберите Remote Logging Targets.
  3. В панели инструментов нажмите кнопку Add.

image.png

  1. В поле Name укажите имя профиля внешнего syslog-сервера.
  2. В поле IP/Host Address укажите IP-адрес или доменное имя сервера приёма syslog.
  3. В поле Port укажите порт, используемый для приёма syslog-сообщений.
  4. В поле Target Type выберите тип отправки (UPD syslog / TCP syslog / Secure TCP)
  5. В поле Facility Code выберите facility (например, LOCAL0LOCAL7) согласно принятой схеме на стороне SIEM
  6. В поле Maximum Length укажите максимальную длину syslog-сообщения 8192
  7. Comply to RFC 3164 - Включите при необходимости, если SIEM ожидает формат сообщений по RFC 3164
  8. Установите Status = Enabled
  9. Нажмите кнопку Submit

пример законченной конфигурации:image.png

Настройка категорий журналирования

  1. В левой части окна выберите Logging Categories.
  2. Выберите категорию AAA Audit и в панели инструментов нажмите кнопку Edit.
  3. В списке Available выберите созданный профиль syslog-сервера, в нашем случае to_siem.
  4. Переместите выбранный профиль в список Selected, нажав на >.

image.png

Параметры Severity и Local Log

  1. Нажмите кнопку Save.
  2. Повторите шаги с 1 по 5 для следующих категорий событий:

Проверка настройки отправки событий

  1. В веб-интерфейсе Cisco ISE перейдите в раздел

    Administration → System → Logging → Logging Categories.

  2. В списке категорий просмотрите колонку Targets.

  3. Для ранее настроенных категорий событий убедитесь, что в колонке Targets указан созданный профиль внешнего syslog-сервера, в нашем случае to_siem.image.png

Проверка выполняется для ранее настроенных категорий:

AAA Audit
Failed Attempts
Passed Authentications
Administrator Authentication and Authorization
Accounting
RADIUS Accounting
TACACS Accounting
Administrative and Operational Audit

Если для указанных категорий в колонке Targets отображается созданный профиль, в нашем случае to_siem, настройка выполнена корректно, и события будут отправляться во внешнюю систему SIEM

После выполнения указанных шагов Cisco ISE начинает отправлять выбранные категории событий во внешнюю систему SIEM по протоколу syslog

Radware DefencePro

Информация об источнике

Radware DefensePro — это аппаратно-программная платформа защиты сети, предназначенная для предотвращения DDoS-атак, обнаружения аномалий трафика и защиты сервисов на уровнях L2–L7. Устройство обеспечивает анализ трафика в реальном времени, применяет поведенческие и сигнатурные модели, автоматически блокирует сетевые атаки и передаёт информацию о состоянии защищаемой инфраструктуры.

Типы собираемых событий:

Настройка отправки событий через Syslog

Для интеграции Radware DefensePro с внешними системами мониторинга и SIEM необходимо настроить передачу событий по протоколу Syslog.

Ниже представлены два поддерживаемых способа конфигурирования: через интерфейс APSolute Vision и через Web UI DefensePro. Вы можете использовать любой из методов в зависимости от доступного интерфейса управления устройством

Настройка через APSolute Vision
  1. В интерфейсе APSolute перейдите в:

    "Configuration" > "Setup" → "Reporting Settings" → "Syslog"

    В ряде версий APSolute OS 10.x путь к настройкам syslog может отображаться как "Setup" > "System" > "Logging" > "Syslog".Это связано только с изменением структуры меню.

    Функциональность настройки syslog полностью соответствует инструкции


  2. Установите флажок "Enable Syslog"

  3. Выполните одно из действий:

    • Чтобы добавить новый syslog-сервер, нажмите кнопку "Add".
    • Чтобы изменить существующую запись, дважды щёлкните по ней в таблице.
  4. Заполните следующие параметры, в соответствии с конфигруацией и требованиями вашей SIEM, и нажмите "Submit":

    • "Enable Syslog Server" — включает или отключает отправку сообщений.
    • "Syslog Server" — IP-адрес сервера, принимающего syslog (SIEM).
    • "Source Port" — порт, который DefensePro использует для отправки сообщений.
      • По умолчанию: 514
      • Значение 0 означает использование случайного порта.
    • "Destination Port" — порт на стороне SIEM, принимающий syslog-сообщения.
      • По умолчанию: 514
    • "Facility" — категория syslog-сообщений.
      • По умолчанию: Local Use 6
    • "Protocol" — выбирается протокол передачи сообщений (выберите UDP)
    • Убедитесь, что включены все типы отчётов:
      • "Send Security-Event Reports to Syslog" — отправка событий безопасности и атак.
      • "Send Health-Event Reports to Syslog" — отправка событий состояния системы и оборудования.
      • "Send Audit-Event Reports to Syslog" — отправка аудита действий пользователей.


    "Syslog Server CA Certificate" — используется только при передаче syslog поверх TLS (Syslog over TLS). При использовании UDP или обычного TCP это поле не заполняется.


Настройка через Web UI DefensePro
  1. Войдите в Web UI DefensePro.

  2. Перейдите "Services" → "Syslog Reporting"

  3. В поле "Syslog Server Operational Status" выберите "Enabled".

  4. Нажмите "Create", чтобы добавить новую запись, или выберите существующую для редактирования.

  5. Заполните следующие параметры, в соответствии с конфигруацией и требованиями вашей SIEM, ****и нажмите "Set":

    • "Syslog Server" — IP-адрес сервера SIEM/syslog.
    • "Syslog Server Source Port" — исходящий порт DefensePro (обычно 514).
    • "Syslog Server Destination Port" — порт приёма на SIEM (обычно 514).
    • "Syslog Server Facility" — оставьте Local Use 6, если нет иных требований.
    • "Syslog Server Protocol" — выберите "UDP Protocol".
    • "Syslog Health Sending""Enabled", отправка системных событий.
    • "Syslog Security Sending""Enabled", отправка security/attack событий.
    • "Syslog User Audit Sending""Enabled", отправка аудита действий пользователей.


    "Syslog Server CA Certificate" — используется только при передаче syslog поверх TLS (Syslog over TLS). При использовании UDP или обычного TCP это поле не заполняется.


Fortinet FortiWeb

Информация об источнике

Fortinet FortiWeb — это специализированный Web Application Firewall, предназначенный для защиты веб-приложений и API от угроз уровня HTTP/HTTPS. Решение выявляет и блокирует атаки из OWASP Top 10, поведенческие аномалии, попытки brute force/credential stuffing, вредоносных ботов, нарушения схем API и ошибки протоколов. FortiWeb может работать в режимах reverse-proxy, transparent и load balancer, контролируя весь трафик между клиентом и backend-серверами.

Помимо классического WAF-функционала, FortiWeb использует машинное обучение для анализа нормального поведения запросов, включает антибот-механизмы, инспекцию загрузок файлов, защиту API, контроль целостности cookie и Web-DLP для предотвращения утечки чувствительных данных (PCI/PII, файлы, ключевые слова). Система формирует отдельные журналы системных событий, трафика, атак, DLP-срабатываний, аномалий ML и ошибок backend-служб, обеспечивая подробную видимость веб-активности и инцидентов безопасности.

Типы собираемых событий:

Если в инфраструктуре используется FortiAnalyzer в качестве централизованного сборщика логов, настройка прямой передачи Syslog с устройства в SIEM не требуется.

В этом случае необходимо убедиться, что:

Передача событий в SIEM выполняется централизованно с FortiAnalyzer

Создание Syslog Policy

  1. Зайдите в веб-интерфейс FortiWeb под учетной записью с правами администратора
  2. В левом меню перейдите: “Log&Report” → “Log Policy”→ “Syslog Policy”

image.png

  1. Нажмите “Create New”
  2. В поле “Name” укажите имя policy, например siem и нажмите OK
  3. В этом же окне “Edit Syslog Policy” нажмите “Create New”

image.png

  1. В открывшимся окне “New Syslog Server” заполните:
    • IP Address(IPv4) – IP адрес коллектора/syslog-сервера SIEM.
    • Port – порт, на котором слушает коллектор (часто 514 для UDP/TCP или 6514 для TLS).
    • ProtocolUDP, TCP или TLS в соответствии с требованиями SIEM.
    • Format – ****CEF , либо другой формат в соответствии с требованиями SIEM.

В разделе “Available Custom Fields” вы можете добавить созданные у вас “Custom Fields”, для этого выделите необходимые поля и нажмите на стрелочку вправо “→”. После чего выбранные “Custom Fields” должны оказаться в блоке “Selected Custom Fields”

image.png

  1. Нажмите “OK”, далее еще раз в окне “Edit Syslog Policy” нажмите “ОК”

Включение отправки логов через Syslog

  1. Перейдите в меню: “Log&Report” → “Log Config” → “Global Log Settings”
  2. В блоке “Syslog” включите тумблер (Enable)
  3. В поле “Syslog Policy” выберите созданную syslog policy, в нашем случае siem
  4. В поле “Log Level” установите минимальный уровень, который хотите отправлять (по умолчанию Information)
  5. В поле “Facility” выберите одно из local-use значений (например, local7) или то, которое принято в вашей SIEM-стандартизации
  6. В блоке “Log Type” отметьте все типы журналов для отправки:
    • Event Log – системные события, логины админов, изменения конфигурации.
    • Attack Log – срабатывания WAF, DLP, ML, ботов и т.д.
    • Traffic Log – журналы HTTP/HTTPS-трафика
  7. В итоге у вас должна получиться следующая конфигурацияimage.png
  8. Нажмите “Apply” для сохранения настроек