Network

Подключение сетевых источников событий: маршрутизаторы, коммутаторы, FW, NGFW и т.п.

Usergate

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка Usergate

Для настройки отправки событий с Usergate в KUMA выполните следующие действия:

1. В веб-интерфейсе Usergate перейдите на вкладку Журналы и отчеты.

image.png

2. Выберите Экспорт журналов и нажмите кнопку Добавить.

image.png

3. На вкладке Общие поставьте галочку напротив параметра Включено и задайте имя правилу экспорта журналов.

image.png

4. На вкладке Удаленный сервер задайте следующие настройки:

В поле Имя хоста по умолчанию указано имя хоста Usergate с символом @. Замените символ «@» на символ «.» для корректной нормализации событий Usergate на стороне KUMA.

image.png

5. На вкладке Журналы для экспорта поставьте галочки напротив Журналов, которые необходимо экспортировать в KUMA. Для каждого экспортируемого журнала выберите Формат CEF.
 
6. Сохраните внесенные изменения.


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне Usergate.

2. На шаге Парсинг событий выберите нормализатор [OOTB] Syslog-CEF.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Экспорт журналов (документация UserGate): https://docs.usergate.com/eksport-zhurnalov_178.html 

ViPNet Coordinator

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка ViPNet Coordinator

Для отправки событий ViPNet Coordinator в KUMA выполните следующее:

1. Подключитесь к консоли ViPNet Coordinator локально или через ssh.

2. Перейдите режим в Администратора с помощью следующей команды:

enable

3. Из командной строки в режиме Администратора выполните команду:

machine set loghost <ip-адрес коллектора KUMA>

После выполненных настроек ViPNet Coordinator будет отправлять системный журнал на адрес коллектора KUMA по протоколу UDP и 514-му порту.

В случае если коллектор KUMA является открытым узлом по отношению к ViPNet Coordinator, то также необходимо создать фильтр открытой сети, разрешающий исходящий трафик по протоколу UDP на 514-й порт коллектора KUMA.


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий ViPNet Coordinator.

1. На шаге Транспорт укажите тип UDP и порт 514.

2. На шаге Парсинг событий выберите нормализатор [OOTB] VipNet Coordinator syslog.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Дополнительная настройка коллектора

После установки коллектора, необходимо внести изменения в файл сервиса коллектора для того, чтобы коллектор мог слушать входящие соединения на порту 514.

Для этого выполните следующие действия:

1. Остановите выполнение сервиса коллектора командой 

systemctl stop kuma-collector-<id>

2. Откройте на редактирование файл коллектора /usr/lib/systemd/system/kuma-collector-<id>.service

3. В разделе [Service] добавьте следующую строку

AmbientCapabilities=CAP_NET_BIND_SERVICE

4. Сохраните полученный файл

5. Обновите параметры сервисов следующей командой 

systemctl daemon-reload

6. Запустите службу коллектора следующей командой

systemctl start kuma-collector-<id>


Ideco UTM

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm

Настройка Ideco UTM

Для передачи событий из Ideco UTM в KUMA выполните следующие действия:

1. Подключитесь к веб-интерфейсу Ideco UTM под учётной записью, обладающей административными привилегиями.

2. В меню Пересылка системных сообщений переведите переключатель Syslog в положение включено.

3. В параметре IP-адрес укажите IP-адрес коллектора KUMA.

4. В параметре Порт введите порт, который прослушивает коллектор KUMA.

5. Нажмите Сохранить для применения внесённых изменений.

image.png


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Ideco UTM.

1. На шаге Транспорт укажите тип UDP и порт в соответствии с настройками на стороне Ideco UTM.

2. На шаге Парсинг событий выберите нормализатор [OOTB] Ideco UTM syslog.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Настройка получения событий Ideco UTM (онлайн-справка KUMA): https://support.kaspersky.com/help/KUMA/2.1/ru-RU/255211.htm

Расшифровка передаваемых логов: https://docs.ideco.dev/settings/monitor/syslog 

Cisco IOS

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка Cisco IOS

Войдите на источник Cisco IOS коммутатор или маршрутизатор.

Введите следующую команду для входа в маршрутизатор в привилегированный режим: enable

Переключитесь в режим конфигурации (configure terminal): 

conf t

Перед включением ведения журнала убедитесь, что ваш маршрутизатор правильно настроен для получения времени от сервера NTP, или настройте его вручную, чтобы получать время. Используйте команду set clock или ntp server x.x.x.x для синхронизации часов.

Включите журналирование: 

logging on

Укажите IP-адрес коллектора и порт (можно использовать UDP или TCP транспорт): 

logging host <IP-адрес коллектора> transport udp port <порт коллектора>

Укажите уровень важности событий (рекомендуется informational):

logging trap informational

Уровни критичности в CISCO:

Level Keyword

Level

Description

Syslog Definition

emergencies

0

Система нестабильна

LOG_EMERG

alerts

1

Требуются немедленные действия

LOG_ALERT

critical

2

Критические условия

LOG_CRIT

errors

3

Условия ошибки (по умолчанию)

LOG_ERR

warnings

4

Условия предупреждения

LOG_WARNING

notifications

5

Нормальное, но значимое состояние

LOG_NOTICE

informational

6

Только информационные сообщения

LOG_INFO

debugging

7

Отладка сообщений

LOG_DEBUG

Укажите интерфейса источника для отправки событий:

logging source-interface <Имя интерфейса>

<Имя интерфейса> - это имя интерфейса, например, dmz, lan, ethernet0 или ethernet1.

Настройте средство для системного журнала:

logging facility syslog

Настройте идентификатор событий: 

logging origin-id ip

Настройте временные метки событий и идентификаторы событий в логировании: 

service timestamps log datetime year show-timezone
service sequence numbers

Маршрутизатор по умолчанию не проверяет, авторизован ли пользователь в консольном порту или к нему подключено устройство; если ведение журнала консоли включено, на консольный порт всегда отправляются сообщения, которые могут вызвать нагрузку на процессор. Поэтому ниже включим логирование только необходимых событий. (вместо включения logging console warning)

Включите регистрацию событий входа пользователей:

logging userinfo
login on-success log 
login on-failure log 
ip ssh logging events

Включите регистрацию событий выполнения конфигурационных команд:

archive
log config
logging enable
notify syslog contenttype plaintext

Опционально. Включите регистрацию событий VPN:

crypto logging ezvpn 
crypto logging session
crypto logging ikev2

Выйдите из режима конфигурирования:

end

Сохраните изменения даже после перезагрузки:

на старых Cisco:

write memory

на новых Cisco (копирование рабочей конфигурации):

copy running-config startup-config

Чтобы отобразить состояние системного журнала (syslog) и содержимое стандартного буфера сообщений системного журнала, используйте команду из привилегированного режима: 

show logging

FortiGate (CEF)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий с FortiGate необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите на вкладку Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

image.png

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL

image.png

Если планируете использовать правила корреляции для FortiGate из Community-Pack необходимо использовать нормализатор [2024-04-22] FortiGate Syslog-CEF, также доступный в Community-Pack

image.png

image.png

image.png

Также после выполнения вышеуказанных действий на вкладке Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root).

Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

firewall-cmd --add-port=<порт, выбранный для коллектора>/udp –permanent
firewall-cmd --reload

После успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на зеленый.

image.png


Настройка FortiGate

Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия:

config log syslogd setting
set status enable # включить отправку событий на удаленный Syslog-сервер
set server <IP-адреса сервера-коллектора KUMA>
set mode udp # отправлять события по UDP
set port <порт, заданный в параметрах коллектора KUMA> 
set source-ip <IP-адрес FortiGate> # IP-адрес, который будет использоваться в качестве Source IP при взаимодействии c коллектором KUMA [опционально]
set format cef # отправлять события в формате CEF
set interface-select-method <auto|sdwan|specify> # если выбран specify указать вручную исходящий интерфейс для взаимодействия с коллектором KUMA с помощью команды set interface <наименование интерфейса> [опционально]
end

Проверка поступления событий FortiGate в KUMA

Для проверки, что сбор событий с FortiGate успешно настроен перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор для FortiGate и нажмите Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события с FortiGate.

image.png


Полезные ссылки

Отправка событий в формате CEF - https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiGate-Logs-can-be-sent-to-syslog-servers-in/ta-p/190617

Check Point NGFW (CEF)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий Check Point NGFW необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

image.png

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL

Указанные параметры должны соответствовать настройкам на стороне Check Point

image.png

image.png

image.png

image.png

image.png

Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload

После успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на Вкл с зеленой индикацией.

image.png


Настройка Check Point NGFW

Отправка событий Check Point NGFW осуществляется средствами Log Exporter с Management Server/Log Server. Настройку конфигурации Log Exporter можно выполнить двумя способами:

SmartConsole

image.pngimage.png

CLI

cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cef
cp_log_export restart name <Наименование конфигурации>

Проверка поступления событий Check Point NGFW в KUMA

Для проверки, что сбор событий с Check Point NGFW успешно настроен перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор Check Point NGFW > ПКМ > Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события Check Point NGFW.

image.png


Полезные ссылки

Настройка отправки событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323

Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192

FortiGate-FortiAnalyzer (CEF)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

FortiAnalyzer — это аналитическая платформа для управления событиями, журналами и формирования отчетности, разработанная компанией Fortinet. В данной статье рассматривается настройка отправки событий FortiGate, которые централизованно собираются и хранятся в FortiAnalyzer.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий FortiGate, отправляемых с FortiAnalyzer, необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

image.png

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL

Указанные параметры должны соответствовать настройкам на стороне FortiAnalyzer

image.png

image.png

image.png

image.png

Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

# Пример для firewalld
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload

После успешной установки сервиса в столбце Статус в веб-интерфейсе KUMA появится зеленая индикация.

image.png


Настройка FortiAnalyzer

Пересылка событий FortiGate в KUMA выполняется средствами механизма Log Forwarding, доступного в FortiAnalyzer. Для настройки пересылки в веб-интерфейсе FortiAnalyzer:

image.png

image.png

image.png


Проверка поступления событий FortiGate в KUMA

Для проверки, что пересылка событий FortiGate с FortiAnalyzer успешно настроена перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор FortiGate-FortiAnalyzer > ПКМ > Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события FortiGate.

image.png


Полезные ссылки

Континент версия 4

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройки Континента

Откройте Менеджер конфигурации Континента. 

В настройках узла безопасности раскройте пункт Журналирование и оповещение, затем  нажмите image.png и пропишете IP адрес и порт коллектора KUMA, рекомендуется использовать протокол TCP.

Уровени детализации журнала в Континенте (Рекомендуемый уровень детализации Высокий): 

Уровень детализации журнала Уровень важности события
Отладочный Отладка (DEBUG)
Минимальный Информация (INFO)
Низкий Ошибка (ERR)
Средний Критическая ошибка (CRIT)
Высокий Тревога (ALERT)
Предустановленный Предупреждение (Warning)

 Пример настройки ниже:

image.png

Нажмите Применить и ОК.


Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Usergate.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне Континента.

2. На шаге Парсинг событий выберите нормализатор [2024-05-03] Unix AuditD (REGEX) из папки нормализоторов Community-Pack.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.


Полезные ссылки

Справка по Континенту версия 4 - тут

Статья в HABR по интеграции Континента и KUMA - https://habr.com/ru/companies/tssolution/articles/792078/ 

Mikrotik

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Инструкция применима для MikroTik с RouterOS 6 и 7+

Настройка Mikrotik

Настройка может выполняется с помощью WinBox (рассматривается этот метод), либо через веб-интерфейс MikroTik RouterOS под учетной записью с правами администратора или через командную строку.

Перейдите в раздел System - Logging, во вкладке Actions добавляем новый элемент (по умолчанию используется протокол UDP):

image.png

Cохраните настройку, нажав Apply и OK.

Настройка через командную строку:

/system logging action
/system/logging/action> add bsd-syslog=yes name=kuma remote=(KUMA_IP) remote=KUMA_PORT syslog-facility=syslog target=remote

Каждое событие в журналах Mikrotik может находиться одновременно в разных Topics, пример ниже: 

image.png

В правилах логирования необходимо укаказать Topics, не пересекающиеся в других правилах. Иными словами, нужно создать отдельные правила с указанием отдельных Topics и если необходимо указать исключения, для категорий событий, которые не нужно отправлять на коллектора, установите флаг ! перед Topics. В раскрывающемся списке Action выберите созданное ранее действие kuma, затем нажмите ОК.

image.png

Настройка через командную строку:

/system logging
add topics=critical prefix=critical action=kuma

При включении определенных Topics, особенно firewall может возрастать нагрузка на МЭ MikroTik, обращайте внимание на нагрузку системы после влючения логирования, особенно это касается моделей со слабой аппаратной начинкой

 

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий MikroTik.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне MikroTik.

2. На шаге Парсинг событий выберите нормализатор [OOTB] MikroTik syslog.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.