syslog

Существует возможность передачи сообщений о различных событиях во внешнюю систему (например, SIEM) по syslog-протоколу.
В поле "Сервер" нужно указать "udp://сервер:порт" (для протокола UDP) или "tcp://сервер:порт" (для протокола TCP), также необходимо выбрать типы сообщений/событий, которые будут передаваться на сервер.

Описание формата syslog-сообщений

Сообщения передаются в соответствии с RFC5425 в след. виде:

    SYSLOG-MSG      = HEADER SP STRUCTURED-DATA
    HEADER          = PRI VERSION SP TIMESTAMP SP HOSTNAME SP APP-NAME SP PROCID SP MSGID
    STRUCTURED-DATA = "[" SD-ID *(SP SD-PARAM) "]"
    SD-PARAM        = PARAM-NAME "=" %d34 PARAM-VALUE %d34

В целом сообщения максимально дублируют соответствующие таблицы в БД комплекса для большей совместимости.
Пример сообщения:

<134>1 2025-01-15T10:43:48.121Z SERVER-PC stsrv - - [TReportUserEvents@60366 comp_loc="company.org" comp_name="PC-0001" user_domain="COMPANY" user_name="user1" event_time="2025-01-15T10:10:12.012Z" event_type="106" priority="1" description="\"D:\\filename.exe\" -> \"virustotal.com\""]

Описание:

PRI=<134>
VERSION=1
TIMESTAMP=время в UTC передачи сообщения на сервер, но не время самого события! (событие может произойти значительно раньше).
HOSTNAME=имя машины сервера, с которого отправляется сообщение
APP-NAME=stsrv
PROCID=
MSGID=
SD-ID=имя_таблицы_БД@60366
Примечание: имя_таблицы_БД сейчас TReportUserEvents, TReportCompEvents, но в дальнейшем могут быть добавлены новые.
Примечание: @60366 – идентификатор в IANA
PARAM-NAME=название поля таблицы БД, некоторые могут присутствовать или отсутствовать, в зависимости от самой таблицы.

Ниже приведены основные поля и их описание:
comp_loc – домен компьютера, на котором произошло событие (например, “company.local”)
comp_name – NetBIOS имя компьютера, на котором произошло событие (например, “PC-001”)
user_domain – NetBIOS имя домена залогиненного пользователя, для которого произошло событие (например, “COMPANY”)
user_name – логин пользователя (например, “user1”)
event_time – время события в UTC (в общем случае может сильно отличаться от TIMESTAMP пакета!)
event_type – тип события, см. ниже приложение-расшифровку констант
priority – приоритет события (0 – высокий, 1 - обычный)
description – описание события в текстовом виде (UTF-8)

Приложение: коды событий event_type

100:  "запуск программы из списка угроз"
101:  "запуск сайта из списка угроз"
102:  "ввод текста из списка угроз"
103:  "печать документа"
104:  "копирование на flash-диск"
105:  "копирование в выбранные папки"
106:  "отправка файла"
107:  "вставка flash-диска"
108:  "изображение в буфере обмена"
109:  "DLP: чтение документа"
110:  "DLP: документ в буфере обмена"
111:  "DLP: текст в буфере обмена"
112:  "DLP: снимок экрана"
113:  "DLP: копирование на flash-диск"
114:  "DLP: копирование в выбранные папки"
115:  "DLP: отправка документа"
116:  "DLP: голос"
117:  "нетипичное поведение"
118:  "изменение оборудования/софта"
119:  "возможное удаление клиента"
120:  "нет лица перед веб-камерой"
121:  "чужое лицо перед веб-камерой"
122:  "более 1-го лица перед веб-камерой"
123:  "отсрочка выключения ПК"
124:  "проблема на клиенте"
125:  "изменение состояния микрофона"
126:  "критическое приложение/сайт"
127:  "вход пользователя в систему"
128:  "запуск программы из черного списка"
129:  "DLP: печать документа"
130:  "запуск запрещенной команды в терминале Linux"
131:  "USB-устройство было заблокировано"
132:  "DLP: файл в папке"
133:  "крипто-адрес в буфере обмена"

Пример интеграции с RUSIEM

Важно: для RUSIEM рекомендуется использовать UDP-отправку сообщений (а не TCP!) на порт 514.

Все сообщения, отправляемые сервером комплекса, попадут в RUSIEM-раздел "События". Чтобы найти такие события и посмотреть все их поля, рекомендуется использовать фильтр "stsrv":

Кликнув на нужное событие, справа появится список его полей:

Для настройки инцидентов по данным событиям нужно перейти в раздел "Корреляция" и нажать на кнопку "Добавить" (+).
Покажем на примере, как создать правило для события комплекса "крипто-адрес в буфере обмена" (id=133).
На вкладке "Основные настройки" нужно установить выделенные поля:

На вкладке "Условия срабатывания правила" нужно установить program и event.id (см. таблицу "коды событий event_type" выше):

После сохранения правила, при возникновении НОВОГО события данного типа, для группы "Аналитик ИБ" будет создан соотв. инцидент, который можно просмотреть на странице "Инциденты":

v10.74 (build: Apr 15 2025)
Введение +Структура комплекса +Установка комплекса +Удаление комплекса +Обновление комплекса -Глобальные настройки Пользователи базы -Настройки комплекса Общее описание настроек -Серверные настройки Общие настройки Отложенный мониторинг Мониторинг - Снимки экранов Мониторинг - Веб-камеры Мониторинг - Автопрослушка Мониторинг - Печать на принтере Мониторинг - Теневое копирование Мониторинг - Цифровые отпечатки Мониторинг - Пользователи онлайн Мониторинг - Глобальный поиск Мониторинг - Чаты-звонки Распознавание лиц Распознавание текста (OCR) Сервер нейронной сети Azure-интеграция Webex-интеграция Генератор отчетов - Параметры Генератор отчетов - Отчеты (начальникам) Генератор отчетов - Отчеты (сотрудникам) Генератор отчетов - Сохранение в папку Генератор отчетов - Отправка по FTP Генератор отчетов - Отправка на e-mail Генератор отчетов - Отправка на веб-сайт Генератор отчетов - Отправка в файлообменник Генератор отчетов - Угрозы Генератор уведомлений - Отправка на e-mail Генератор уведомлений - Отправка по SMS Генератор уведомлений - Интеграция с Telegram Генератор уведомлений - 2FA Защита клиента События Регулярные выражения Рабочий график syslog +Клиентские настройки (компьютера) +Клиентские настройки (пользователя) Группы Структура компании Графики работы Досье сотрудников Синхронизация с Active Directory Анализатор рисков и производительности Шаблоны отчетов Цифровые отпечатки Тарифы Списки пользователей Работа с базой SQL-консоль Журнал +Прочее +Интерфейс и отчеты +Вопросы и ответы (FAQ) +Техподдержка	syslog Существует возможность передачи сообщений о различных событиях во внешнюю систему (например, SIEM) по syslog-протоколу. В поле "Сервер" нужно указать "udp://сервер:порт" (для протокола UDP) или "tcp://сервер:порт" (для протокола TCP), также необходимо выбрать типы сообщений/событий, которые будут передаваться на сервер. Описание формата syslog-сообщений Сообщения передаются в соответствии с RFC5425 в след. виде: SYSLOG-MSG = HEADER SP STRUCTURED-DATA HEADER = PRI VERSION SP TIMESTAMP SP HOSTNAME SP APP-NAME SP PROCID SP MSGID STRUCTURED-DATA = "[" SD-ID (SP SD-PARAM) "]" SD-PARAM = PARAM-NAME "=" %d34 PARAM-VALUE %d34 В целом сообщения максимально дублируют соответствующие таблицы в БД комплекса для большей совместимости. Пример сообщения: <134>1 2025-01-15T10:43:48.121Z SERVER-PC stsrv - - [TReportUserEvents@60366 comp_loc="company.org" comp_name="PC-0001" user_domain="COMPANY" user_name="user1" event_time="2025-01-15T10:10:12.012Z" event_type="106" priority="1" description="\"D:\\filename.exe\" -> \"virustotal.com\""] Описание: PRI=<134> VERSION=1 TIMESTAMP=время в UTC* передачи сообщения на сервер, но не время самого события! (событие может произойти значительно раньше). HOSTNAME=имя машины сервера, с которого отправляется сообщение APP-NAME=stsrv PROCID= MSGID= SD-ID=имя_таблицы_БД@60366 Примечание: имя_таблицы_БД сейчас TReportUserEvents, TReportCompEvents, но в дальнейшем могут быть добавлены новые. Примечание: @60366 – идентификатор в IANA PARAM-NAME=название поля таблицы БД, некоторые могут присутствовать или отсутствовать, в зависимости от самой таблицы. Ниже приведены основные поля и их описание: comp_loc – домен компьютера, на котором произошло событие (например, “company.local”) comp_name – NetBIOS имя компьютера, на котором произошло событие (например, “PC-001”) user_domain – NetBIOS имя домена залогиненного пользователя, для которого произошло событие (например, “COMPANY”) user_name – логин пользователя (например, “user1”) event_time – время события в UTC (в общем случае может сильно отличаться от TIMESTAMP пакета!) event_type – тип события, см. ниже приложение-расшифровку констант priority – приоритет события (0 – высокий, 1 - обычный) description – описание события в текстовом виде (UTF-8) Приложение: коды событий event_type 100: "запуск программы из списка угроз" 101: "запуск сайта из списка угроз" 102: "ввод текста из списка угроз" 103: "печать документа" 104: "копирование на flash-диск" 105: "копирование в выбранные папки" 106: "отправка файла" 107: "вставка flash-диска" 108: "изображение в буфере обмена" 109: "DLP: чтение документа" 110: "DLP: документ в буфере обмена" 111: "DLP: текст в буфере обмена" 112: "DLP: снимок экрана" 113: "DLP: копирование на flash-диск" 114: "DLP: копирование в выбранные папки" 115: "DLP: отправка документа" 116: "DLP: голос" 117: "нетипичное поведение" 118: "изменение оборудования/софта" 119: "возможное удаление клиента" 120: "нет лица перед веб-камерой" 121: "чужое лицо перед веб-камерой" 122: "более 1-го лица перед веб-камерой" 123: "отсрочка выключения ПК" 124: "проблема на клиенте" 125: "изменение состояния микрофона" 126: "критическое приложение/сайт" 127: "вход пользователя в систему" 128: "запуск программы из черного списка" 129: "DLP: печать документа" 130: "запуск запрещенной команды в терминале Linux" 131: "USB-устройство было заблокировано" 132: "DLP: файл в папке" 133: "крипто-адрес в буфере обмена" Пример интеграции с RUSIEM Важно: для RUSIEM рекомендуется использовать UDP-отправку сообщений (а не TCP!) на порт 514. Все сообщения, отправляемые сервером комплекса, попадут в RUSIEM-раздел "События". Чтобы найти такие события и посмотреть все их поля, рекомендуется использовать фильтр "stsrv": Кликнув на нужное событие, справа появится список его полей: Для настройки инцидентов по данным событиям нужно перейти в раздел "Корреляция" и нажать на кнопку "Добавить" (+). Покажем на примере, как создать правило для события комплекса "крипто-адрес в буфере обмена" (id=133). На вкладке "Основные настройки" нужно установить выделенные поля: На вкладке "Условия срабатывания правила" нужно установить program и event.id (см. таблицу "коды событий event_type" выше): После сохранения правила, при возникновении НОВОГО события данного типа, для группы "Аналитик ИБ" будет создан соотв. инцидент, который можно просмотреть на странице "Инциденты":
© СТАХАНОВЕЦ