Network

Подключение сетевых источников событий: маршрутизаторы, коммутаторы, FW, NGFW и т.п.

Usergate

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка Usergate

Для настройки отправки событий с Usergate в KUMA выполните следующие действия:

1. В веб-интерфейсе Usergate перейдите на вкладку Журналы и отчеты.

image.png

2. Выберите Экспорт журналов и нажмите кнопку Добавить.

image.png

3. На вкладке Общие поставьте галочку напротив параметра Включено и задайте имя правилу экспорта журналов.

image.png

4. На вкладке Удаленный сервер задайте следующие настройки:

В поле Имя хоста по умолчанию указано имя хоста Usergate с символом @. Замените символ «@» на символ «.» для корректной нормализации событий Usergate на стороне KUMA.

image.png

5. На вкладке Журналы для экспорта поставьте галочки напротив Журналов, которые необходимо экспортировать в KUMA. Для каждого экспортируемого журнала выберите Формат CEF.
 
6. Сохраните внесенные изменения.

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне Usergate.

2. На шаге Парсинг событий выберите нормализатор [OOTB] Syslog-CEF.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Экспорт журналов (документация UserGate): https://docs.usergate.com/eksport-zhurnalov_178.html 

ViPNet Coordinator

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка ViPNet Coordinator

Для отправки событий ViPNet Coordinator в KUMA выполните следующее:

1. Подключитесь к консоли ViPNet Coordinator локально или через ssh.

2. Перейдите режим в Администратора с помощью следующей команды:

enable

3. Из командной строки в режиме Администратора выполните команду:

machine set loghost <ip-адрес коллектора KUMA>

После выполненных настроек ViPNet Coordinator будет отправлять системный журнал на адрес коллектора KUMA по протоколу UDP и 514-му порту.

В случае если коллектор KUMA является открытым узлом по отношению к ViPNet Coordinator, то также необходимо создать фильтр открытой сети, разрешающий исходящий трафик по протоколу UDP на 514-й порт коллектора KUMA.

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий ViPNet Coordinator.

1. На шаге Транспорт укажите тип UDP и порт 514.

2. На шаге Парсинг событий выберите нормализатор [OOTB] VipNet Coordinator syslog.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Дополнительная настройка коллектора

После установки коллектора, необходимо внести изменения в файл сервиса коллектора для того, чтобы коллектор мог слушать входящие соединения на порту 514.

Для этого выполните следующие действия:

1. Остановите выполнение сервиса коллектора командой 

systemctl stop kuma-collector-<id>

2. Откройте на редактирование файл коллектора /usr/lib/systemd/system/kuma-collector-<id>.service

3. В разделе [Service] добавьте следующую строку

AmbientCapabilities=CAP_NET_BIND_SERVICE

4. Сохраните полученный файл

5. Обновите параметры сервисов следующей командой 

systemctl daemon-reload

6. Запустите службу коллектора следующей командой

systemctl start kuma-collector-<id>


Ideco UTM

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm

Настройка Ideco UTM

Для передачи событий из Ideco UTM в KUMA выполните следующие действия:

1. Подключитесь к веб-интерфейсу Ideco UTM под учётной записью, обладающей административными привилегиями.

2. В меню Пересылка системных сообщений переведите переключатель Syslog в положение включено.

3. В параметре IP-адрес укажите IP-адрес коллектора KUMA.

4. В параметре Порт введите порт, который прослушивает коллектор KUMA.

5. Нажмите Сохранить для применения внесённых изменений.

image.png

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Ideco UTM.

1. На шаге Транспорт укажите тип UDP и порт в соответствии с настройками на стороне Ideco UTM.

2. На шаге Парсинг событий выберите нормализатор [OOTB] Ideco UTM syslog.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Настройка получения событий Ideco UTM (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm

Расшифровка передаваемых логов: https://docs.ideco.dev/settings/monitor/syslog 

Cisco IOS

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка Cisco IOS

Войдите на источник Cisco IOS коммутатор или маршрутизатор.

Введите следующую команду для входа в маршрутизатор в привилегированный режим: enable

Переключитесь в режим конфигурации (configure terminal): 

conf t

Перед включением ведения журнала убедитесь, что ваш маршрутизатор правильно настроен для получения времени от сервера NTP, или настройте его вручную, чтобы получать время. Используйте команду set clock или ntp server x.x.x.x для синхронизации часов.

Включите журналирование: 

logging on

Укажите IP-адрес коллектора и порт (можно использовать UDP или TCP транспорт): 

logging host <IP-адрес коллектора> transport udp port <порт коллектора>

Укажите уровень важности событий (рекомендуется informational):

logging trap informational

Уровни критичности в CISCO:

Level Keyword

Level

Description

Syslog Definition

emergencies

0

Система нестабильна

LOG_EMERG

alerts

1

Требуются немедленные действия

LOG_ALERT

critical

2

Критические условия

LOG_CRIT

errors

3

Условия ошибки (по умолчанию)

LOG_ERR

warnings

4

Условия предупреждения

LOG_WARNING

notifications

5

Нормальное, но значимое состояние

LOG_NOTICE

informational

6

Только информационные сообщения

LOG_INFO

debugging

7

Отладка сообщений

LOG_DEBUG

Укажите интерфейса источника для отправки событий:

logging source-interface <Имя интерфейса>

<Имя интерфейса> - это имя интерфейса, например, dmz, lan, ethernet0 или ethernet1.

Настройте средство для системного журнала:

logging facility syslog

Настройте идентификатор событий: 

logging origin-id ip

Настройте временные метки событий и идентификаторы событий в логировании: 

service timestamps log datetime year show-timezone
service sequence numbers

Маршрутизатор по умолчанию не проверяет, авторизован ли пользователь в консольном порту или к нему подключено устройство; если ведение журнала консоли включено, на консольный порт всегда отправляются сообщения, которые могут вызвать нагрузку на процессор. Поэтому ниже включим логирование только необходимых событий. (вместо включения logging console warning)

Включите регистрацию событий входа пользователей:

logging userinfo
login on-success log 
login on-failure log 
ip ssh logging events

Включите регистрацию событий выполнения конфигурационных команд:

archive
log config
logging enable
notify syslog contenttype plaintext

Опционально. Включите регистрацию событий VPN:

crypto logging ezvpn 
crypto logging session
crypto logging ikev2

Выйдите из режима конфигурирования:

end

Сохраните изменения даже после перезагрузки:

на старых Cisco:

write memory

на новых Cisco (копирование рабочей конфигурации):

copy running-config startup-config

Чтобы отобразить состояние системного журнала (syslog) и содержимое стандартного буфера сообщений системного журнала, используйте команду из привилегированного режима: 

show logging

Настройка отправки событий с FortiGate (CEF)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий с FortiGate необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите на вкладку Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

image.png

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL

image.png

Если планируете использовать правила корреляции для FortiGate из Community-Pack необходимо использовать нормализатор [2024-04-22] FortiGate Syslog-CEF, также доступный в Community-Pack

image.png

image.png

image.png

Также после выполнения вышеуказанных действий на вкладке Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root).

Перед установкой рекомендуется выполнить из командной строки команду, скопированную на прошлом шаге без ключа --install, чтобы убедиться в отсутствии ошибок.

image.png

В случае отсутствия ошибок в выводе командной строки, прервите исполнение в командной строке, после чего можно переходить к установке.

Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

firewall-cmd --add-port=<порт, выбранный для коллектора>/udp –permanent
firewall-cmd --reload

После успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на зеленый.

image.png

Настройка FortiGate

Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия:

config log syslogd setting
set status enable # включить отправку событий на удаленный Syslog-сервер
set server <IP-адреса сервера-коллектора KUMA>
set mode udp # отправлять события по UDP
set port <порт, заданный в параметрах коллектора KUMA> 
set source-ip <IP-адрес FortiGate> # IP-адрес, который будет использоваться в качестве Source IP при взаимодействии c коллектором KUMA [опционально]
set format cef # отправлять события в формате CEF
set interface-select-method <auto|sdwan|specify> # если выбран specify указать вручную исходящий интерфейс для взаимодействия с коллектором KUMA с помощью команды set interface <наименование интерфейса> [опционально]
end

Проверка поступления событий FortiGate в KUMA

Для проверки, что сбор событий с FortiGate успешно настроен перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор для FortiGate и нажмите Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события с FortiGate.

image.png

Полезные ссылки

Отправка событий в формате CEF - https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiGate-Logs-can-be-sent-to-syslog-servers-in/ta-p/190617

Континент версия 4

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройки Континента

Откройте Менеджер конфигурации Континента. 

В настройках узла безопасности раскройте пункт Журналирование и оповещение, затем  нажмите image.png и пропишете IP адрес и порт коллектора KUMA, рекомендуется использовать протокол TCP.

Уровени детализации журнала в Континенте (Рекомендуемый уровень детализации Высокий): 

Уровень детализации журнала Уровень важности события
Отладочный Отладка (DEBUG)
Минимальный Информация (INFO)
Низкий Ошибка (ERR)
Средний Критическая ошибка (CRIT)
Высокий Тревога (ALERT)
Предустановленный Предупреждение (Warning)

 Пример настройки ниже:

image.png

Нажмите Применить и ОК.

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне Континента.

2. На шаге Парсинг событий выберите нормализатор [2024-05-03] Unix AuditD (REGEX) из папки нормализоторов Community-Pack.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

Полезные ссылки

Справка по Континенту версия 4 - тут

Статья в HABR по интеграции Континента и KUMA - https://habr.com/ru/companies/tssolution/articles/792078/