Поддерживаемые источники событий
| Система | Описание |
|---|---|
| Absolute Data and Device Security (DDS) | Предназначен для обработки событий в формате CEF. |
| Ahnlab | Предназначен для обработки событий от системы Ahnlab. Источник событий – системные, операционные журналы, подключения, модуль IPS. |
| Apache Cassandra | Предназначен для обработки событий в журналах СУБД Apache Cassandra версии 4.0. |
| Avigilon Access Control Manager (ACM) | |
| Barracuda Networks NG Firewall | |
| BeyondTrust Privilege Management Console | |
| Brinqa Risk Analytics | |
| Broadcom Symantec Advanced Threat Protection (ATP) | |
| Broadcom Symantec Endpoint Protection | Предназначен для обработки событий от системы Symantec Endpoint Protection. |
| Broadcom Symantec Endpoint Protection Mobile | |
| Broadcom Symantec Threat Hunting Center | |
| Canonical LXD | Предназначен для обработки событий, поступающих по syslog от системы Canonical LXD версии 5.18. |
| Checkpoint | Предназначен для обработки событий, поступающих от источника событий Checkpoint по протоколу Syslog в формате CEF. |
| Cisco Access Control Server (ACS) | Предназначен для обработки событий системы Cisco Access Control Server (ACS), поступающих по Syslog. |
| Cisco ASA | Предназначен для обработки событий устройств Cisco ASA. Cisco ASA базовый расширенный набор событий. |
| Cisco Email Security Appliance (WSA) | |
| Cisco Identity Services Engine (ISE) | Предназначен для обработки событий системы Cisco Identity Services Engine (ISE), поступающих по Syslog. |
| Cisco Netflow v5 | |
| Cisco NetFlow v9 | |
| Cisco Prime | Предназначен для обработки событий системы системы Cisco Prime версии 3.10, поступающих по syslog. |
| Cisco Secure Email Gateway (SEG) | |
| Cisco Secure Firewall Management Center | |
| Citrix Netscaller | Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix Netscaller версии 13.7. |
| Claroty Continuous Threat Detection | |
| Сodemaster Mirada | Предназначен для обработки событий системы Сodemaster Mirada, поступающих по syslog. |
| Corvil Network Analytics | |
| CrowdStrike Falcon Host | |
| CyberArk Privileged Threat Analytics (PTA) | |
| CyberPeak Spektr | Предназначен для обработки событий системы CyberPeak Spektr версии 3, поступающих по syslog. |
| Delinea Secret Server | |
| Digital Guardian Endpoint Threat Detection | |
| DNS сервер BIND | Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog. Источник событий — журналы POP3/IMAP. |
| EclecticIQ Intelligence Center | |
| Edge Technologies AppBoard and enPortal | |
| Eltex MES Switches | Предназначен для обработки событий от сетевых устройств Eltex. |
Описание
KUMA поддерживает нормализацию событий, которые поступают от систем, перечисленных в таблице Поддерживаемые источники событий. Нормализаторы для указанных систем включены в поставку.
Предназначен для обработки журнала событий системы 1С. Источник событий — журнал регистрации 1C.
Технологический журнал 1С
Предназначен для обработки технологического журнала событий. Источник событий — технологический журнал 1C.
F5 BigIP Advanced Firewall Manager (AFM)
FFRI FFR yarai
FireEye CM Series
Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate по syslog. Источник событий – журналы FortiGate в формате key-value.
FFRI FFR yarai
FireEye CM Series
Предназначен для обработки событий системы защиты электронной почты FortiMail. Источник событий — журналы почтовой системы Fortimail.
FreeIPA
Предназначен для обработки событий, поступающих от системы FreeIPA. Источник событий — журналы службы каталогов Free IPA.
FreeRADIUS
Предназначен для обработки событий системы FreeRADIUS, поступающих по Syslog. Нормализатор поддерживает события от FreeRADIUS версии 3.0.
Gardatech GardaDB
Предназначен для обработки событий системы Gardatech GardaDB, поступающих по syslog в формате, схожим с CEF.
Gardatech Perimeter
Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, поступающих по syslog.
HAProxy
Предназначен для обработки журналов системы HAProxy. Нормализатор поддерживает события типа HTTP log, TCP log, Error log от HAProxy версии 2.8.
Huawei Eudemon
Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon. Источник событий — журналы межсетевых экранов Huawei Eudemon.
Huawei USG
Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog.
IBM InfoSphere Guardium
Предназначен для обработки событий, поступающих от Ideco UTM по Syslog. Нормализатор поддерживает обработку событий Ideco UTM версии 14.7, 14.10.
Illumio Policy Compute Engine (PCE)
Предназначен для обработки событий системы виртуализации Orion Soft версии 3.1.
Indeed PAM (Privileged Access Manager)
Предназначен для обработки событий Indeed PAM (Privileged Access Manager) версии 2.6.
Indeed SSO (Single Sign-On)
Предназначен для обработки событий системы Indeed SSO (Single Sign-On).
InfoWatch Traffic Monitor
Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor.
Предназначен для обработки событий в формате IP Flow Information Export (IPFIX).
Juniper
Предназначен для обработки событий аудита, поступающих от сетевых устройств Juniper.
Kaspersky Anti Targeted Attack (KATA)
Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack.
Kaspersky CyberTrace
Предназначен для обработки событий Kaspersky CyberTrace.
Kaspersky Endpoint Detection and Response (KEDR)
Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA. Источник событий — kafka, EnrichedEventTopic
Kaspersky Industrial CyberSecurity for Networks
Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 2.х.
Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 3.х.
Kaspersky Security Center
Предназначен для обработки событий Kaspersky Security Center по Syslog.
Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center.
Kaspersky Security for Linux Mail Server (KLMS)
Предназначен для обработки событий, поступающих от Kaspersky Security for Linux Mail Server в формате CEF по Syslog.
Kaspersky Security Mail Gateway (KSMG)
Поддерживаемые нормализаторы для SIEM
Kaspersky Security Mail Gateway
Предназначен для обработки событий Kaspersky Security Mail Gateway версии 2.0 в формате CEF по Syslog.
Kaspersky Web Traffic Security (KWTS)
Предназначен для обработки событий, поступающих от Kaspersky Web Traffic Security в формате CEF по Syslog.
Kaspersky Web Traffic Security (KWTS)
Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value.
Kerio Control
Предназначен для обработки событий межсетевых экранов Kerio Control.
KUMA
Предназначен для обработки событий, перенаправленных из KUMA.
Libvirt
Предназначен для обработки событий Libvirt версии 8.0.0, поступающих по syslog.
Lieberman Software ERPM
Предназначен для обработки событий операционной системы Linux.
Журналы безопасности Linux
Предназначен для обработки журналов безопасности операционных систем семейства Linux, поступающих по Syslog.
MariaDB Audit
Предназначен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.
Microsoft DHCP-сервер
Предназначен для обработки событий от DHCP-сервера Microsoft. Источник событий — журналы DHCP сервера Windows.
Microsoft DNS-сервер
Предназначен для обработки событий DNS сервера Microsoft. Источник событий — журналы DNS сервера Windows.
Microsoft Exchange
Предназначен для обработки журнала событий системы Microsoft Exchange. Источник событий — журналы MTA сервера Exchange.
Microsoft IIS
Нормализатор обрабатывает события в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging. Источник событий — журналы Microsoft IIS.
Microsoft Network Policy Server (NPS)
Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — события Network Policy Server.
Microsoft Sysmon
Нормализатор предназначен для обработки событий модуля Microsoft Sysmon.
Microsoft SQL Server
Предназначен для обработки событий MS SQL Server версии 2008, 2012, 2014, 2016.
Microsoft Windows Remote Desktop Services
Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — журнал Applications and Services Logs – Microsoft – Windows – TerminalServices-LocalSessionManager – Operational
Microsoft Windows XP/2003
Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP.
MikroTik
Предназначен для событий, поступающих от устройств MikroTik по Syslog.
Minerva Labs Minerva EDR
Предназначен для обработки событий от EDR системы Minerva.
NetIQ Identity Manager
NetScout Systems nGenius Performance Manager
Netskope Cloud Access Security Broker
Nextcloud
Предназначен для событий Nextcloud версии 26.0.4, поступающих по syslog. Нормализатор не сохраняет информацию из поля Trace.
Nginx
Предназначен для обработки событий журнала веб-сервера Nginx.
One Identity Privileged Session Management
Предназначен для обработки журнала системы OpenVPN.
Oracle
Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle.
Palo Alto Cortex Data Lake
Palo Alto Networks NGFW
Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog в формате CSV.
## Palo Alto Networks PANOS
## Penta Security WAPPLES
## Positive Technologies ISIM
- Предназначен для обработки событий от системы PT Industrial Security Incident Manager.
## Positive Technologies Network Attack Discovery (NAD)
- Предназначен для обработки событий от PT Network Attack Discovery (NAD), поступающих по Syslog.
## Positive Technologies Sandbox
- Предназначен для обработки событий системы PT Sandbox.
## Positive Technologies Web Application Firewall
- Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall).
## Postgres pgaudit
- Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog.
## Proofpoint Insider Threat Management
- Предназначен для событий системы Proxmox версии 7.2-3, хранящихся в файле. Нормализатор поддерживает обработку событий в журналах access и pveam.
## PT NAD
- Предназначен для обработки событий, поступающий от PT NAD в формате json. Нормализатор поддерживает обработку событий PT NAD версий 11.1, 11.0.
## QEMU - журналы гипервизора
- Предназначен для обработки событий гипервизора QEMU, хранящихся в файле. Поддерживаются версии QEMU 6.2.0, Libvirt 8.0.0.
## QEMU - журналы виртуальных машин
- Предназначен для обработки событий из журналов виртуальных машин гипервизора QEMU версии 6.2.0, хранящихся в файле.
## Radware DefensePro AntiDDoS
## Reak Soft Blitz Identity Provider
- Предназначен для обработки событий системы Reak Soft Blitz Identity Provider версии 5.16, хранящихся в файле.
## Recorded Future Threat Intelligence Platform
## ReversingLabs N1000 Appliance
## Rubicon Communications pfSense
- Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, поступающих по Syslog.
- Предназначен для обработки событий, поступающих от межсетевого экрана pfSense. Syslog-заголовок этих событий не содержит имени хоста.
## Sendmail
- Предназначен для обработки событий Sendmail версии 8.15.2, поступающих по syslog.
## Snort
- Предназначен для обработки cобытий Snort версии 3 в формате JSON.
## Sonicwall TZ
- Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана Sonicwall TZ.
## Sophos XG
- Предназначен для обработки событий от межсетевого экрана Sophos XG.
## Squid
- Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog.
- Предназначен для обработки событий журнала Squid прокси-сервера Squid. Источник событий — журналы access.log
## S-Terra VPN Gate
- Предназначен для обработки событий от устройств S-Terra VPN Gate.
## Suricata
- Пакет содержит нормализатор для событий Suricata версии 7.0.1, хранящихся в файле в формате JSON.
- Нормализатор поддерживает обработку следующих типов событий: flow, anomaly, alert, dns, http, ssl, tls, ftp, ftp_data, ftp, smb, rdp, pgsql, modbus, quic, dhcp, bittorrent_dht, rfb.
## ThreatConnect Threat Intelligence Platform
## Trend Micro Control Manager
## Trend Micro Deep Security
## Trend Micro NGFW
## Trustwave Application Security DbProtect
- Предназначен для обработки событий, поступающих по Syslog от DNS-сервера Unbound.
- Предназначен для обработки событий системы VipNet TIAS версии 3.8, поступающих по Syslog.
Предназначен для обработки событий VMware ESXi (поддержка ограниченного количества событий от ESXi с версиями 5.5, 6.0, 6.5, 7.0), поступающих по Syslog.
Предназначен для обработки событий, поступающих от системы VMWare Horizon версии 2106 по Syslog.
VMwareCarbon Black EDR
Vormetric Data Security Manager
Votiro Disarmer for Windows
WatchGuard – Firebox
Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog.
Предназначен для обработки событий системы регистрации сбоев Winchill Fracas.
Предназначен для обработки событий Zabbix версии 6.4.
Предназначен для обработки журналов системы ZEEK IDS в формате JSON. Нормализатор поддерживает события от ZEEK IDS версии 1.8.
Zscaler Nanolog Streaming Service (NSS)
АйТи Бастион – СКДПУ
Предназначен для обработки событий в формате CEF, поступающих от системы АйТи Бастион – СКДПУ по Syslog.
А-реал Интернет Контроль Сервер (ИКС)
Предназначен для обработки событий системы А-реал Интернет Контроль Сервер (ИКС), поступающих по Syslog. Нормализатор поддерживает события от A-real IKS версии 7.0 и выше.
Предназначен для обработки событий Apache HTTP Server версии 2.4, хранящихся в файле. Нормализатор поддерживает обработку событий журнала Application в форматах Common или Combined Log, и журнала Error.
Ожидаемый формат журнала Error:
Предназначен для обработки событий системы Apache HTTP Server, поступающих по syslog. Нормализатор поддерживает обработку событий Apache HTTP Server версии 2.4 журнала Access в формате Common или Combined Log, и журнала Error.
Ожидаемый формат событий журнала Error:
Предназначен для обработки событий Access системы Lighttpd, поступающих по syslog. Нормализатор поддерживает обработку событий Lighttpd версии 1.4.
Ожидаемый формат событий журнала Access:
Предназначен для обработки событий, поступающих от системы ИВК Кольчуга-К, версии ЛКНВ.466217.002 по Syslog.
ИнфоТеКС ViPNet IDS
Предназначен для обработки событий в формате CEF, поступающих от системы ИнфоТеКС ViPNet IDS по Syslog.
ИнфоТеКС ViPNet Coordinator
Предназначен для обработки событий от системы ViPNet Coordinator, поступающих по Syslog.
Код безопасности – Континент
Предназначен для обработки журнала событий устройств Континент IPS/IDS.
Предназначен для колучения событий системы Континент из базы данных.
Код Безопасности SecretNet 7
Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet.
Конфидент – Dallas Lock
Предназначен для обработки событий, поступающих от системы защиты информации Dallas Lock версии 8.
Предназначен для обработки событий, поступающих от системы КриптПро Ngate по Syslog.
НТ Мониторинг и аналитика
Предназначен для обработки событий в формате CEF, поступающих от системы НТ Мониторинг и аналитика по Syslog.
Предназначен для обработки событий прокси-сервера BlueCoat. Источник событий — журнал событий прокси-сервера BlueCoat.
СКДПУ НТ Шлюз доступа
Предназначен для обработки событий системы СКДПУ НТ Шлюз доступа, поступающих по Syslog.
Предназначен для обработки событий, поступающийх от системы Солар Дозор версии 7.9 по Syslog. Нормализатор поддерживает обработку событий в пользовательском формате и не поддерживает обработку событий в формате CEF.
Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами.
Содержимое конфигурационного файла rsyslog.confСоздание правил в системеДругие варианты написания правилОтправка лог-сообщений на удаленный сервер
Rsyslog — это очень быстрый, расширяемый сервис для управления логами с огромным количеством возможностей. Среди его возможностей можно отметить поддержку фильтрации контента, а также передачу логов по сетям. Основные возможности:
На нашем Youtube-канале вы можете подробнее ознакомиться с работой сервиса управления логами Rsyslog, просмотрев видео Rsyslog – сервис управления логами, а также найти много другой полезной информации.
Каталогом по умолчанию для хранения логов является каталог /var/log, в файлы которого записывается вся информация о состоянии системы и используемых программ, а также информация об ошибках. Лог-файлы можно просмотреть, выполнив команду:
ls -l /var/log/
Содержимое конфигурационного файла rsyslog.conf
Главным конфигурационным файлом сервиса rsyslog является rsyslog.conf. Для просмотра содержимого конфигурационного файла можно воспользоваться командой:
Файл разделен на 3 основных секции:
Секция Modules
В секции Modules загружаются все необходимые модули программы. Секция имеет следующим вид:
#### MODULES ####
module(load="imuxsock" # provides support for local system logging (e.g. via logger command) SysSock.Use="off") # Turn off message reception via local log socket; # local messages are retrieved through imjournal now. module(load="imjournal" # provides access to the systemd journal StateFile="imjournal.state") # File to store the position in the journal #module(load="imklog") # reads kernel messages (the same are read from journald) #module(load"immark") # provides –MARK– message capability
# Provides UDP syslog reception # for parameters see http://www.rsyslog.com/doc/imudp.html #module(load="imudp") # needs to be done just once #input(type="imudp" port="514")
# Provides TCP syslog reception # for parameters see http://www.rsyslog.com/doc/imtcp.html #module(load="imtcp") # needs to be done just once #input(type="imtcp" port="514")
Существует четыре типа модулей:
Модуль imuxsock позволяет сервису получать сообщения от приложений, работающих в локальной системе. По умолчанию отключено прослушивание сокета /dev/log из-за параметра SysSock.Use="off".
Модуль imjournal предоставляет возможность импорта сообщений структурированного журнала из журнала systemd в системный журнал. Обратите внимание, что этот модуль читает базу данных журнала, что считается относительно интенсивной операцией. Таким образом, производительность конфигурации с использованием этого модуля может быть заметно ниже, чем при использовании imuxsock. По умолчанию ограничение скорости активировано и позволяет обрабатывать 20 000 сообщений в течение 10 минут, чего должно быть достаточно для большинства случаев использования. Если импорт структурированных данных необходим, используйте imjournal, в противном случае следует задействовать модуль imuxsock.
Модуль imklog предназначен для получения сообщений ядра.
Модуль mark позволяет маркировать соединения или выводить сообщения о том, что syslog все еще работает.
Секция Global directives
Глобальные директивы используются для настройки службы rsyslog. Как правило, они указывают значение для конкретной предопределенной переменной, которая влияет на функциональность правил или самой службы rsyslog.
Секция Global directives имеет следующий вид:
#### GLOBAL DIRECTIVES ####
# Where to place auxiliary files global(workDirectory="/var/lib/rsyslog")
# Use default timestamp format module(load="builtin:omfile" Template="RSYSLOG_TraditionalFileFormat")
# Include all config files in /etc/rsyslog.d/ include(file="/etc/rsyslog.d/*.conf" mode="optional")
Секция Rules
Данный раздел содержит правила сортировки логов. Каждое правило имеет свой синтаксис: сначала идет источник и приоритет, затем действие. Если источник и приоритет совпадают, сообщение отправляется в указанный файл. Источников и приоритетов может быть несколько, их можно разделять точкой с запятой.
Содержимое секции имеет следующий вид:
#### RULES ####
# Log anything (except mail) of level info or higher. # Don’t log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access. authpriv.* /var/log/secure
# Log all the mail messages in one place. mail.* -/var/log/maillog
# Log cron stuff cron.* /var/log/cron
# Everybody gets emergency messages *.emerg :omusrmsg:* # Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log local7.* /var/log/boot.log
Источниками являются места, откуда поступают сообщения.
Источники могут принимать следующие значения:
Приоритетом является степень важности сообщения.
Приоритеты могут принимать следующие значения:
Действием является отправка сообщений, которые подходят под заданные ранее параметры в заданное место.
Действия могут принимать следующие значения:
Создание правил в системе
В общем случае синтаксис правил выглядит следующим образом:
В качестве примера разберем правило:
Первым источником событий являются все сообщения с приоритетом info. Также к источникам добавляются и другие сообщения, разделенные между собой точкой с запятой. Из правил следует, что источники mail, authpriv, cron будут исключены, так как имеют приоритет none. Действием для данного правила является отправка сообщений в файл /var/log/messages.
Другие варианты написания правил
Фильтрация данного вида имеет следующий синтаксис:
:, , ""
Переменные могут принимать значение:
Операция сравнения может принимать значение:
Искомое значение может принимать значение имени программы, службы или источника (источники были рассмотрены ранее в данной статье).
Действие принимает значения, рассмотренные ранее в статье.
Теперь можно составить правило для логирования приложения. Пример составления правила:
:syslogtag, isequal, "wireguard:" /var/log/wireguard.log &stop
& stop необходим для того, чтобы остановить регистрацию сообщения после его совпадения.
Фильтрация RainerScript
if $ "" then
Операция сравнения может принимать значения:
Пример правила для логирования приложения будет выглядеть следующим образом:
if $syslogtag == "wireguard" then /var/log/wireguard.log
Отправка лог-сообщений на удаленный сервер
Если на сервере используется брандмауэр, необходимо открыть порты TCP/UDP 514. На примере iptables открытие портов производится командами:
iptables -A INPUT -p tcp –dport 514 -j ACCEPT iptables -A INPUT -p udp –dport 514 -j ACCEPT
Затем настройте SELinux, если он используется:
semanage port -m -t syslogd_port_t -p tcp 514 semanage port -m -t syslogd_port_t -p udp 514
Для разрешения серверу принимать соединение по TCP и UDP в конфигурационном файле /etc/rsyslog.conf раскомментируйте строки в секции Modules:
module(load="imudp") # needs to be done just once input(type="imudp" port="514")
module(load="imtcp") # needs to be done just once input(type="imtcp" port="514")
Не обязательно открывать соединение по обоим протоколам, можно выбрать только тот, который необходим именно вам.
В эту же секцию после модулей для TCP- и UDP-соединения необходимо добавить следующее:
$template RemoteLogs,"/var/log/rsyslog/%HOSTNAME%/%PROGRAMNAME%.log" *.* ?RemoteLogs & ~
После проделанных настроек необходимо перезагрузить службу rsyslog командой:
systemctl restart rsyslog.service
Настройка сервера на этом закончена. Для проверки открытия порта выполните команду:
Настройка клиента, который будет отправлять лог-сообщения
Для создания правила на клиенте воспользуйтесь директорией rsyslog.d, которая является дополнительной для конфигурационных файлов.
Создайте конфигурационный файл, который будет отправлять на сервер сообщения от источника auth с любым приоритетом. Для этого выполните команду:
И добавьте правило:
Сохраните изменения и перезагрузите службу rsyslog командой:
При корректной настройке на сервере в каталоге /var/log/rsyslog должна появиться директория с именем (hostname) ПК, который отправляет лог-файлы, и, непосредственно, лог-файлы.
Эта информация оказалась полезной? ДА НЕТ
Дата последнего изменения: 19.06.2023
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.
Кибер Бэкап — российская система резервного копирования и восстановления данных с защитой от вирусов-шифровальщиков.
С помощью KOMRAD Enterprise SIEM можно получить информацию об инцидентах, зарегистрированных в Кибер Бэкап, но для этого должно быть настроено взаимодействие (передача информации о событиях и инцидентах) между агентом Кибер Бэкап и KOMRAD Enterprise SIEM.
Настройка агента Кибер Бэкап для передачи информации в KOMRAD Enterprise SIEM
Подразумевается, что агенты Кибер Бэкап развёрнуты на подконтрольных рабочих станциях и функционируют в полном объёме, соответствующие политики настроены.
Убедитесь, что установлен Агент журнала событий Windows (WMI), включён и настроен WMI-коллектор в KOMRAD Enterprise SIEM, включён журнал Application и максимальный уровень логирования:
