Гарда DLP
Данное руководство описывает процесс настройки сбора и отправки событий комплекса Гарда DLP в R-Vision SIEM.
Настройка Гарда DLP
| Система позволяет отправлять события безопасности во внешние системы посредством syslog. Для настройки передачи система требует ввести шаблон сообщения syslog. В рамках инструкции подготовлены шаблоны для передачи событий, генерируемых профилями безопасности по умолчанию. |
Для настройки передачи событий syslog на Гарда DLP:
-
Войдите в консоль администратора Гарда DLP.
-
Перейдите на вкладку Настройки → Экспорт в SIEM.
-
Создайте шаблоны экспорта в SIEM под каждый профиль по умолчанию. Для этого нажмите на кнопку Добавить новый шаблон экспорта в SIEM.
-
Заполните поля:
-
Общие поля для всех профилей:
-
IP-адрес -ш укажите IP-адрес коллектора SIEM.
-
Порт — укажите порт, который настроен в SIEM для приема событий с источника.
-
Протокол — выберите протокол, настроенный в SIEM.
-
Формат — выберите формат CEF.
-
-
Форматы сообщений для каждого профиля:
-
ПДН в почте, мессенджерах, загрузка на сайты:
src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop uni_email=$Garda.uni_email peer_email=$Garda.peer_email have_attach=$Garda.have_attach url=$Garda.url content_type=$Garda.content_type http_type=$Garda.http_type size=$Garda.size web_obj_id=$Garda.web_obj_id web_parent_id=$Garda.web_parent_id web_object_type=$Garda.web_object_type result_code=$Garda.result_code referer=$Garda.referer content_encoding=$Garda.content_encoding web_uni_id=$Garda.web_uni_id web_peer_id=$Garda.web_peer_id web_source_id=$Garda.web_source_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_ident=$Garda.uni_ident peer_ident=$Garda.peer_ident subject=$Garda.subject login=$Garda.login chat_id=$Garda.chat_id send_time=$Garda.send_time mail_partid=$Garda.mail_partid mail_flags=$Garda.mail_flags uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="ПДН_в_почте,_мессенджерах,_загрузка_на_сайты" uni_phone=$Garda.uni_phone peer_phone=$Garda.peer_phone account=$Garda.account user_action=$Garda.user_action type_action=$Garda.type_action prop_text_part=$Garda.prop_text_part
-
Использование подозрительного ПО:
src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop process_name=$Garda.process_name process_id=$Garda.process_id action_type=$Garda.action_type user_action=$Garda.user_action device_name=$Garda.device_name serial_id=$Garda.serial_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Использование_подозрительного_ПО"
-
Документы и архивы с паролем:
src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop uni_email=$Garda.uni_email peer_email=$Garda.peer_email have_attach=$Garda.have_attach path=$Garda.path file_size=$Garda.file_size process_name=$Garda.process_name flags=$Garda.flags device_name=$Garda.device_name serial_id=$Garda.serial_id url=$Garda.url content_type=$Garda.content_type http_type=$Garda.http_type size=$Garda.size web_obj_id=$Garda.web_obj_id web_parent_id=$Garda.web_parent_id web_object_type=$Garda.web_object_type result_code=$Garda.result_code referer=$Garda.referer content_encoding=$Garda.content_encoding web_uni_id=$Garda.web_uni_id web_peer_id=$Garda.web_peer_id web_source_id=$Garda.web_source_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel login=$Garda.login chat_id=$Garda.chat_id send_time=$Garda.send_time mail_partid=$Garda.mail_partid mail_flags=$Garda.mail_flags uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Документы_и_архивы_с_паролем"
-
Выгрузка БД на внешние носители:
src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop path=$Garda.path file_size=$Garda.file_size process_name=$Garda.process_name flags=$Garda.flags device_name=$Garda.device_name serial_id=$Garda.serial_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Выгрузка_БД_на_внешние_носители"
-
ПДН на внешних носителях и в печати:
src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop path=$Garda.path file_size=$Garda.file_size process_name=$Garda.process_name flags=$Garda.flags device_name=$Garda.device_name serial_id=$Garda.serial_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="ПДН_на_внешних_носителях_и_в_печати" prop_text_part=$Garda.prop_text_part
-
Блокировка фразы:
src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop url=$Garda.url content_type=$Garda.content_type http_type=$Garda.http_type size=$Garda.size process_name=$Garda.process_name web_obj_id=$Garda.web_obj_id web_parent_id=$Garda.web_parent_id web_object_type=$Garda.web_object_type result_code=$Garda.result_code referer=$Garda.referer content_encoding=$Garda.content_encoding web_uni_id=$Garda.web_uni_id web_peer_id=$Garda.web_peer_id web_source_id=$Garda.web_source_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Блокировка_фразы" uni_phone=$Garda.uni_phone peer_phone=$Garda.peer_phone account=$Garda.account user_action=$Garda.user_action type_action=$Garda.type_action prop_text_part=$Garda.prop_text_part
-
Передача исполняемых файлов в почте:
src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop uni_email=$Garda.uni_email peer_email=$Garda.peer_email have_attach=$Garda.have_attach subject=$Garda.subject content_type=$Garda.content_type size=$Garda.size send_time=$Garda.send_time mail_partid=$Garda.mail_partid mail_flags=$Garda.mail_flags protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action path=$Garda.path file_size=$Garda.file_size mime_type=$Garda.mime_type hash=$Garda.hash prop_text_part=$Garda.prop_text_part prop_guid=$Garda.prop_guid prop_blob_id=$Garda.prop_blob_id cat="Передача_по_почте_исполняемого_файла"
-
Кредитные карты:
src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop uni_email=$Garda.uni_email peer_email=$Garda.peer_email have_attach=$Garda.have_attach path=$Garda.path file_size=$Garda.file_size process_name=$Garda.process_name flags=$Garda.flags device_name=$Garda.device_name serial_id=$Garda.serial_id url=$Garda.url content_type=$Garda.content_type http_type=$Garda.http_type size=$Garda.size web_obj_id=$Garda.web_obj_id web_parent_id=$Garda.web_parent_id web_object_type=$Garda.web_object_type result_code=$Garda.result_code referer=$Garda.referer content_encoding=$Garda.content_encoding web_uni_id=$Garda.web_uni_id web_peer_id=$Garda.web_peer_id web_source_id=$Garda.web_source_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_ident=$Garda.uni_ident peer_ident=$Garda.peer_ident subject=$Garda.subject login=$Garda.login chat_id=$Garda.chat_id send_time=$Garda.send_time mail_partid=$Garda.mail_partid mail_flags=$Garda.mail_flags uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Кредитные_карты" uni_phone=$Garda.uni_phone peer_phone=$Garda.peer_phone account=$Garda.account user_action=$Garda.user_action type_action=$Garda.type_action prop_text_part=$Garda.prop_text_part
-
Использование удаленного доступа:
src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop process_name=$Garda.process_name process_id=$Garda.process_id action_type=$Garda.action_type user_action=$Garda.user_action device_name=$Garda.device_name serial_id=$Garda.serial_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Использование_программы_удаленного_доступа"
-
Конфиденциальная информация:
src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop uni_email=$Garda.uni_email peer_email=$Garda.peer_email have_attach=$Garda.have_attach path=$Garda.path file_size=$Garda.file_size process_name=$Garda.process_name flags=$Garda.flags device_name=$Garda.device_name serial_id=$Garda.serial_id url=$Garda.url content_type=$Garda.content_type http_type=$Garda.http_type size=$Garda.size web_obj_id=$Garda.web_obj_id web_parent_id=$Garda.web_parent_id web_object_type=$Garda.web_object_type result_code=$Garda.result_code referer=$Garda.referer content_encoding=$Garda.content_encoding web_uni_id=$Garda.web_uni_id web_peer_id=$Garda.web_peer_id web_source_id=$Garda.web_source_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_ident=$Garda.uni_ident peer_ident=$Garda.peer_ident subject=$Garda.subject login=$Garda.login chat_id=$Garda.chat_id send_time=$Garda.send_time mail_partid=$Garda.mail_partid mail_flags=$Garda.mail_flags uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Конфиденциальная_информация" uni_phone=$Garda.uni_phone peer_phone=$Garda.peer_phone account=$Garda.account user_action=$Garda.user_action type_action=$Garda.type_action prop_text_part=$Garda.prop_text_part
-
В результате получится 10 шаблонов:
-
-
Перейдите на вкладку Политики.
-
Выберите одну из политик по умолчанию.
-
В открывшемся меню включите функцию Загружать данные в SIEM систему, используя шаблон и выберите шаблон одноименный политике.
-
Повторите последний шаг для оставшихся политик.
Настройка Гарда DLP завершена.
Настройка R-Vision SIEM
Для интеграции источника с R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Тип точки входа: Syslog.
-
Порт точки входа: в соответствии с настройками на стороне Гарда DLP.
-
Протокол: TCP или UDP.
-
-
Добавьте на конвейер элемент Нормализатор с правилом
RV-N-171. Соедините нормализатор с точкой входа. -
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
