Гарда DLP: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий комплекса Гарда DLP в R-Vision SIEM.

Предварительные требования

Перед настройкой сбора событий в R-Vision SIEM убедитесь в выполнении следующих условий:

Сетевая связность между сервером Гарда DLP или промежуточным сервером syslog обеспечена, а необходимые порты открыты.

Настройка Гарда DLP

Система позволяет отправлять события безопасности во внешние системы посредством syslog. Для настройки передачи система требует ввести шаблон сообщения syslog. В рамках инструкции подготовлены шаблоны для передачи событий, генерируемых профилями безопасности по умолчанию.

Для настройки передачи событий syslog в Гарда DLP:

Войдите в консоль администратора Гарда DLP.
Перейдите по пути Настройки → Экспорт в SIEM.
Нажмите на кнопку Добавить новый шаблон экспорта в SIEM, чтобы создать шаблоны экспорта под каждый профиль по умолчанию.
Заполните общие поля для создаваемого шаблона:
- IP-адрес: укажите IP-адрес коллектора SIEM.
- Порт: укажите порт, который настроен в SIEM для приема событий с источника.
- Протокол: выберите протокол, настроенный в SIEM.
- Формат: выберите вариант CEF.

Укажите шаблон сообщения для каждого профиля:

Для профиля ПДН в почте, мессенджерах, загрузка на сайты используйте следующий шаблон:

src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop uni_email=$Garda.uni_email peer_email=$Garda.peer_email have_attach=$Garda.have_attach url=$Garda.url content_type=$Garda.content_type http_type=$Garda.http_type size=$Garda.size web_obj_id=$Garda.web_obj_id web_parent_id=$Garda.web_parent_id web_object_type=$Garda.web_object_type result_code=$Garda.result_code referer=$Garda.referer content_encoding=$Garda.content_encoding web_uni_id=$Garda.web_uni_id web_peer_id=$Garda.web_peer_id web_source_id=$Garda.web_source_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_ident=$Garda.uni_ident peer_ident=$Garda.peer_ident subject=$Garda.subject login=$Garda.login chat_id=$Garda.chat_id send_time=$Garda.send_time mail_partid=$Garda.mail_partid mail_flags=$Garda.mail_flags uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="ПДН_в_почте,_мессенджерах,_загрузка_на_сайты" uni_phone=$Garda.uni_phone peer_phone=$Garda.peer_phone account=$Garda.account user_action=$Garda.user_action type_action=$Garda.type_action prop_text_part=$Garda.prop_text_part

Для профиля Использование подозрительного ПО используйте следующий шаблон:

src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop process_name=$Garda.process_name process_id=$Garda.process_id action_type=$Garda.action_type user_action=$Garda.user_action device_name=$Garda.device_name serial_id=$Garda.serial_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Использование_подозрительного_ПО"

Для профиля Документы и архивы с паролем используйте следующий шаблон:

src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop uni_email=$Garda.uni_email peer_email=$Garda.peer_email have_attach=$Garda.have_attach path=$Garda.path file_size=$Garda.file_size process_name=$Garda.process_name flags=$Garda.flags device_name=$Garda.device_name serial_id=$Garda.serial_id url=$Garda.url content_type=$Garda.content_type http_type=$Garda.http_type size=$Garda.size web_obj_id=$Garda.web_obj_id web_parent_id=$Garda.web_parent_id web_object_type=$Garda.web_object_type result_code=$Garda.result_code referer=$Garda.referer content_encoding=$Garda.content_encoding web_uni_id=$Garda.web_uni_id web_peer_id=$Garda.web_peer_id web_source_id=$Garda.web_source_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel login=$Garda.login chat_id=$Garda.chat_id send_time=$Garda.send_time mail_partid=$Garda.mail_partid mail_flags=$Garda.mail_flags uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Документы_и_архивы_с_паролем"

Для профиля Выгрузка БД на внешние носители используйте следующий шаблон:

src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop path=$Garda.path file_size=$Garda.file_size process_name=$Garda.process_name flags=$Garda.flags device_name=$Garda.device_name serial_id=$Garda.serial_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Выгрузка_БД_на_внешние_носители"

Для профиля ПДН на внешних носителях и в печати используйте следующий шаблон:

src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop path=$Garda.path file_size=$Garda.file_size process_name=$Garda.process_name flags=$Garda.flags device_name=$Garda.device_name serial_id=$Garda.serial_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="ПДН_на_внешних_носителях_и_в_печати"  prop_text_part=$Garda.prop_text_part

Для профиля Блокировка фразы используйте следующий шаблон:

src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop url=$Garda.url content_type=$Garda.content_type http_type=$Garda.http_type size=$Garda.size process_name=$Garda.process_name web_obj_id=$Garda.web_obj_id web_parent_id=$Garda.web_parent_id web_object_type=$Garda.web_object_type result_code=$Garda.result_code referer=$Garda.referer content_encoding=$Garda.content_encoding web_uni_id=$Garda.web_uni_id web_peer_id=$Garda.web_peer_id web_source_id=$Garda.web_source_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Блокировка_фразы" uni_phone=$Garda.uni_phone peer_phone=$Garda.peer_phone account=$Garda.account user_action=$Garda.user_action type_action=$Garda.type_action prop_text_part=$Garda.prop_text_part

Для профиля Передача исполняемых файлов в почте используйте следующий шаблон:

src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop uni_email=$Garda.uni_email peer_email=$Garda.peer_email have_attach=$Garda.have_attach subject=$Garda.subject content_type=$Garda.content_type size=$Garda.size send_time=$Garda.send_time mail_partid=$Garda.mail_partid mail_flags=$Garda.mail_flags protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action path=$Garda.path file_size=$Garda.file_size mime_type=$Garda.mime_type hash=$Garda.hash prop_text_part=$Garda.prop_text_part prop_guid=$Garda.prop_guid prop_blob_id=$Garda.prop_blob_id cat="Передача_по_почте_исполняемого_файла"

Для профиля Кредитные карты используйте следующий шаблон:

src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop uni_email=$Garda.uni_email peer_email=$Garda.peer_email have_attach=$Garda.have_attach path=$Garda.path file_size=$Garda.file_size process_name=$Garda.process_name flags=$Garda.flags device_name=$Garda.device_name serial_id=$Garda.serial_id url=$Garda.url content_type=$Garda.content_type http_type=$Garda.http_type size=$Garda.size web_obj_id=$Garda.web_obj_id web_parent_id=$Garda.web_parent_id web_object_type=$Garda.web_object_type result_code=$Garda.result_code referer=$Garda.referer content_encoding=$Garda.content_encoding web_uni_id=$Garda.web_uni_id web_peer_id=$Garda.web_peer_id web_source_id=$Garda.web_source_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_ident=$Garda.uni_ident peer_ident=$Garda.peer_ident subject=$Garda.subject login=$Garda.login chat_id=$Garda.chat_id send_time=$Garda.send_time mail_partid=$Garda.mail_partid mail_flags=$Garda.mail_flags uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Кредитные_карты" uni_phone=$Garda.uni_phone peer_phone=$Garda.peer_phone account=$Garda.account user_action=$Garda.user_action type_action=$Garda.type_action prop_text_part=$Garda.prop_text_part

Для профиля Использование удаленного доступа используйте следующий шаблон:

src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop process_name=$Garda.process_name process_id=$Garda.process_id action_type=$Garda.action_type user_action=$Garda.user_action device_name=$Garda.device_name serial_id=$Garda.serial_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Использование_программы_удаленного_доступа"

Для профиля Конфиденциальная информация используйте следующий шаблон:

src=$Garda.uni_ip dst=$Garda.peer_ip sport=$Garda.uni_port dport=$Garda.peer_port suser=$Garda.account cs1=$Garda.action_type action=$Garda.user_action objType=$Garda.type count_pages=$Garda.count name=$Garda.name time=$Garda.time time_real=$Garda.time_real time_start=$Garda.time_start time_stop=$Garda.time_stop uni_email=$Garda.uni_email peer_email=$Garda.peer_email have_attach=$Garda.have_attach path=$Garda.path file_size=$Garda.file_size process_name=$Garda.process_name flags=$Garda.flags device_name=$Garda.device_name serial_id=$Garda.serial_id url=$Garda.url content_type=$Garda.content_type http_type=$Garda.http_type size=$Garda.size web_obj_id=$Garda.web_obj_id web_parent_id=$Garda.web_parent_id web_object_type=$Garda.web_object_type result_code=$Garda.result_code referer=$Garda.referer content_encoding=$Garda.content_encoding web_uni_id=$Garda.web_uni_id web_peer_id=$Garda.web_peer_id web_source_id=$Garda.web_source_id protocol=$Garda.protocol proto_descr=$Garda.proto_descr channel=$Garda.channel uni_ident=$Garda.uni_ident peer_ident=$Garda.peer_ident subject=$Garda.subject login=$Garda.login chat_id=$Garda.chat_id send_time=$Garda.send_time mail_partid=$Garda.mail_partid mail_flags=$Garda.mail_flags uni_is_server=$Garda.uni_is_server uni_is_sender=$Garda.uni_is_sender blocking_action=$Garda.blocking_action cat="Конфиденциальная_информация" uni_phone=$Garda.uni_phone peer_phone=$Garda.peer_phone account=$Garda.account user_action=$Garda.user_action type_action=$Garda.type_action prop_text_part=$Garda.prop_text_part

Убедитесь, что в результате получилось 10 шаблонов:
Перейдите на вкладку Политики.
Выберите одну из политик по умолчанию.
В открывшемся окне включите функцию Загружать данные в SIEM систему, используя шаблон.
Выберите шаблон, соответствующий политике:
Повторите настройку для оставшихся политик.

Настройка Гарда DLP завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Гарда DLP.
- Протокол: выберите вариант в соответствии с настройками на стороне Гарда DLP.
Добавьте на конвейер элемент Нормализатор с правилом Garda DLP (идентификатор правила: RV-N-326).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.