Secret Net Studio

Secret Net Studio средство защиты информации от несанкционированного доступа, выполняющее функции контроля конфиденциальности, целостности и доступа к информации на рабочих станция.

Настройка СУБД MSSQL

  1. Для создания сервисной УЗ необходимо подключиться к СУБД посредством SQL Server Management Studio административной УЗ. Вызовите контекстное меню для Security → Logins и выберите опцию New Login.

    SNS mssql 1

  2. И создайте сервисную УЗ со следующими параметрами:

    • Login name - произвольное

    • Метод аутентификации - SQL Server authentication

    • Default database - База данных Secret Net Studio

      SNS mssql 2

  3. Перейдите в раздел User Mapping, отметьте галочкой базу данных Secret Net Studio и выберите для пользователя роли public и db_datareader

    SNS mssql 3

  4. В настройках SQL Server Configuration Manager убедитесь, что TCP/IP включен в конфигурации сети SQL Server.

    SNS mssql 4

Настройка Secret Net Studio

  1. Запустите "Центр управления Secret Net Studio".

  2. В левом меню нажмите на вкладку Компьютеры.

  3. В открывшейся панели выберите группу узлов/ узел для настройки.

  4. Нажмите на вкладку Настройки.

  5. В списке выберите раздел Регистрация событий.

  6. Включите типы событий, необходимые для журналирования. Внимание Рекомендуется включить журналирование для всех типов событий, кроме Запуск процесса, Завершение процесса в категории Контроль приложений.

  7. Перейдите во вкладку Параметры → Сбор журналов.

  8. Включите следующие функции:

    • Производить сбор журналов при подключении агента к серверу безопасности.

    • Производить сбор журналов при заполнении на 80% и более.

  9. Снимите флажки для Приложений, Системный и Безопасности.

  10. Раскройте список Расписание сбора журналов, выберите Периодическое и укажите интервал в 1 минуту.

  11. Примените изменения.

Сбор событий безопасности для защищаемых АРМ (Настройка SIEM)

Для сбора событий SIEM необходимо создать конвейер:

  1. Точка входа:

    • Название - любое понятное.

    • Тип точки входа - Database.

    • Драйвер базы данных - необходимый для MSSQL.

    • Адрес подключения - укажите подготовленный секрет.

    • SQL-запрос - введите следующий:

      SELECT
    EventLogRecID as event_id,
    DATEADD (
        hour,
        DATEDIFF (hour, GETUTCDATE (), GETDATE ()),
        TimeWritten
    ) as rt,
    Version as dversion,
    EventCategory as deviceEventClassId,
    CategoryMessage as cat,
    EventMessage as msg,
    TypeDescription as facillity,
    SourceName as destinationServiceName,
    Computername as shost,
    Msid as machineid,
    UserSid as suid,
    UserName as suser,
    UserDomainName as sntdom,
    ThreatLevel as severity,
    LogName as dproduct,
    replace(@@SERVERNAME,@@SERVICENAME, '') + DEFAULT_DOMAIN() as dvchost
,
    CONNECTIONPROPERTY ('local_net_address') AS dvc,
    'SNS security events' as EventFilter
FROM
    SN7_SERVER_SCHEMA.dbo.EventLogRec as ev
    LEFT JOIN dbo.EventLog as evlog ON ev.EventLogType = evlog.LogType
    LEFT JOIN dbo.Client as clients ON ev.ClientId = clients.ClientID
WHERE
    EVENTLOGTYPE = 4
    AND EVENTLOGRECID > ?

      • Поле идентификатор - введите event_id со значением 1.

      • Интервал запроса - 60 секунд.

  2. Нормализатор - выберите правило с id: RV-N-109

  3. Хранилище:

    • Название - любое понятное.

    • Тип конечной точки - на усмотрение (по умолчанию хранилище событий).

    • Хранилище событий - выберите необходимое хранилище.

    • Модель события - универсальная модель события.

Сбор событий аудита сервера безопасности Secret Net Studio (Настройка SIEM)

Конвейер для сбора событий аудита СБ Secret Net Studio аналогичен описанному выше, поэтому далее уточняются только параметры, которые будут отличаться (если параметр не указан, опирайтесь в его настройке на инструкцию описанную выше для событий безопасности).

  1. Точка входа:

    • SQL-запрос - введите следующий:

      SELECT
    ClientClass,
    ClientType,
    MName,
    MSid,
    UName,
    USid,
    DATEADD (
        hour,
        DATEDIFF (hour, GETUTCDATE (), GETDATE ()),
        DateStart
    ) as DateStart,
    DATEADD (
        hour,
        DATEDIFF (hour, GETUTCDATE (), GETDATE ()),
        DateEnd
    ) as DateEnd,
    ExitCode,
    SessionGUID,
    ActionCode,
    TemplateCode,
    DATEADD (
        hour,
        DATEDIFF (hour, GETUTCDATE (), GETDATE ()),
        ActionTime
    ) as ActionTime,
    ActionParameters as msg,
    ResultCode,
    ClientSessionID,
    SessionActionID,
    GETDATE () as rt,
    replace(@@SERVERNAME,@@SERVICENAME, '') + DEFAULT_DOMAIN() as dvchost
,
    CONNECTIONPROPERTY ('local_net_address') AS dvc,
    'SNS audit events' as EventFilter
FROM
    SN7_SERVER_SCHEMA.dbo.ServerLog
where
    (
        DATEADD (
            hour,
            DATEDIFF (hour, GETUTCDATE (), GETDATE ()),
            ActionTime
        ) >= DATEADD (SECOND, -15, GetDate ())
    )

      • Поле идентификатор - не нужно.

      • Интервал запроса - 15 секунд.

  2. Нормализатор - выберите правило с id: RV-N-110 Таким образом заведение событий Secret Net Studio в SIEM успешно завершено.

Пример конфигурации конвейера

SNSPipelineScheme
+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение