Similar presentations:
KOMRAD Enterprise SIEM. Лабораторная работа
1.
KOMRAD Enterprise SIEMКаменский Станислав
Специалист группы внедрения СЗИ
uc-echelon.ru
2.
Лабораторная работа №1Статус компонентов
Первоначальный статус компонентов
uc-echelon.ru
2
3.
Лабораторная работа №1Статус компонентов
Выполняем команду и видим результат
uc-echelon.ru
3
4.
Лабораторная работа №1Статус компонентов
Включаем сервис и следим за изменением в статусах
uc-echelon.ru
4
5.
Лабораторная работа №1Статус компонентов
uc-echelon.ru
5
6.
Лабораторная работа №1Статус компонентов
У каждого компонента есть небольшая аналитическая справка
uc-echelon.ru
6
7.
Лабораторная работа №2Команды администрирования
Полезные команды при работе с KOMRAD Enterprise SIEM
uc-echelon.ru
7
8.
Лабораторная работа №3Скрипт реакции
В командной строке создать скрипт реакции на инцидент,
предоставить права на исполнение
uc-echelon.ru
8
9.
Лабораторная работа №3Скрипт реакции
В директиву корреляции №3.1 добавляем следующие настройки
uc-echelon.ru
9
10.
Лабораторная работа №3Скрипт реакции
Посылаем событие, детектируется инцидент, создается папка
исполнения скрипта и в ней происходит активность, указанная в
скрипте реакции
uc-echelon.ru
10
11.
Лабораторная работа №4Регулярные выражения
Написание регулярных выражений для нормализации
uc-echelon.ru
11
12.
Лабораторная работа №4Регулярные выражения
uc-echelon.ru
12
13.
Лабораторная работа №4Регулярные выражения
https://regex101.com/
uc-echelon.ru
13
14.
Лабораторная работа №4Регулярные выражения
<185>date=2022-12-28 time=18:17:35 devname="FortiGate-300E"
devid="FG3H0ETB21900372" logid="0101039426“ logdesc="SSL
VPN login fail" action="ssl-login-fail" tunneltype="ssl-web" tunnelid=0
remip=193.31.103.67 user="adminbackup"
uc-echelon.ru
14
15.
Лабораторная работа №5CEF уведомления
В файле конфигурации по пути /etc/echelon/komrad/komrad-server.yaml
нужно убрать комментирование блока
CEF следующим образом и перезагрузить сервис komrad-server
uc-echelon.ru
15
16.
Лабораторная работа №5CEF уведомления
После генерации любого инцидента на хост, который мы указали в
конфигурационном файле будет поступать сообщение следующего
вида, которое в свою очередь будет разбито на поля CEF
uc-echelon.ru
16
17.
Лабораторная работа 6 (Дополнительная)SMTP-уведомления
В файле конфигурации по пути /etc/echelon/komrad/komradserver.yaml нужно настроить механизм отправки сообщений
примерно следующим образом (используется
стандартный SMTP сервер Яндекса) и перезагрузить сервис
komrad-server
uc-echelon.ru
17
18.
Лабораторная работа 6 (Дополнительная)SMTP-уведомления
Далее необходимо настроить правило уведомления в вебинтерфейсе
uc-echelon.ru
18
19.
Лабораторная работа 6 (Дополнительная)SMTP-уведомления
Отправляем событие, фиксируем инцидент, через минуту на
указанную почту приходит письмо
uc-echelon.ru
19
20.
Полезные ссылки[email protected] – ящик для получения демо-лицензии
KOMRAD Enterprise SIEM;
https://t.me/komrad4 - чат пользователей продукта
https://www.youtube.com/channel/UCIwZEG8EcL7tnZN4Qzjt13w
канал учебного центра «Эшелон»
uc-echelon.ru
20