Код Безопасности Secret Net Studio: настройка источника

Secret Net Studio — это средство защиты информации от несанкционированного доступа, выполняющее функции контроля конфиденциальности, целостности и доступа к информации на рабочих станциях.

Настройка СУБД MS SQL

Для создания сервисной УЗ необходимо подключиться к СУБД посредством SQL Server Management Studio под административной УЗ.

  1. Откройте контекстное меню для Security → Logins и выберите опцию New Login.

    SNS mssql 1

  2. В разделе General создайте сервисную УЗ со следующими параметрами:

    • В поле Login name введите название учетной записи.

    • Выберите вариант SQL Server authentication.

    • В поле Default database выберите из выпадающего списка базу данных Secret Net Studio.

      SNS mssql 2

  3. Перейдите в раздел User Mapping.

    • Установите флажок напротив базы данных Secret Net Studio.

    • Выберите для пользователя роли db_datareader и public.

      SNS mssql 3

  4. В настройках SQL Server Configuration Manager убедитесь, что протокол TCP/IP включен в конфигурации сети SQL Server.

    SNS mssql 4

Настройка СУБД MS SQL завершена.

Настройка Secret Net Studio

Для настройки источника выполните следующие шаги:

  1. Запустите Центр управления Secret Net Studio.

  2. В главном меню выберите вкладку Компьютеры.

    secret net computers

  3. В открывшемся окне выберите узел или группу узлов для настройки.

  4. Откройте вкладку Настройки.

  5. Выберите из списка раздел Регистрация событий.

    secret net events

  6. Включите типы событий, необходимые для журналирования.

    Рекомендуется включить журналирование для всех типов событий, кроме Запуск процесса и Завершение процесса в категории Контроль приложений.

  7. Перейдите в раздел Параметры → Сбор журналов.

  8. В параметре Производить сбор журналов установите флажки напротив следующих пунктов:

    • При подключении агента к серверу безопасности;

    • При заполнении журнала на 80% и более.

  9. В параметре Включить в сбор следующие журналы снимите флажки напротив следующих пунктов:

    • Приложений;

    • Системный;

    • Безопасности.

  10. Выберите из выпадающего списка Расписание сбора журналов вариант Периодическое.

  11. Укажите интервал в одну минуту.

    secret net journals

  12. Нажмите на кнопку Применить.

Настройка в R-Vision SIEM

Для настройки сбора событий безопасности для защищаемых АРМ и сбора событий аудита сервера безопасности Secret Net Studio в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Строка подключения.

      • Строка подключения: введите строку вида:

        jdbc:sqlserver://DBSERVER:1433;encrypt=false;databaseName=SN7_SERVER_SCHEMA;user=reader;password=passw0rd

        Строка подключения в секрете в случае использования доменной учетной записи:

        jdbc:sqlserver://DBSERVER:1433;encrypt=false;databaseName=SN7_SERVER_SCHEMA;authenticationScheme=NTLM;integratedSecurity=true;user=srv_sns;password=passw0rd

        Здесь:

        • DBSERVER — FQDN или IP-адрес сервера СУБД.

        • 1433 — порт подключения.

        SNS create secret connection string

    4. Нажмите на кнопку Создать.

  2. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  3. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант MS SQL.

    • Адрес подключения: выберите секрет, созданный ранее.

    • SQL-запрос: введите запрос вида:

      SELECT
    EventLogRecID as event_id,
    DATEADD (
        hour,
        DATEDIFF (hour, GETUTCDATE (), GETDATE ()),
        TimeWritten
    ) as rt,
    Version as dversion,
    EventCategory as deviceEventClassId,
    CategoryMessage as cat,
    EventMessage as msg,
    TypeDescription as facillity,
    SourceName as destinationServiceName,
    Computername as shost,
    Msid as machineid,
    UserSid as suid,
    UserName as suser,
    UserDomainName as sntdom,
    ThreatLevel as severity,
    LogName as dproduct,
    replace(@@SERVERNAME,@@SERVICENAME, '') + DEFAULT_DOMAIN() as dvchost
,
    CONNECTIONPROPERTY ('local_net_address') AS dvc,
    'SNS security events' as EventFilter
FROM
    SN7_SERVER_SCHEMA.dbo.EventLogRec as ev
    LEFT JOIN dbo.EventLog as evlog ON ev.EventLogType = evlog.LogType
    LEFT JOIN dbo.Client as clients ON ev.ClientId = clients.ClientID
WHERE
    EVENTLOGTYPE = 4
    AND EVENTLOGRECID > ?

    • Поле идентификатора: введите ключ event_id со значением 1.

    • Интервал запроса, секунд: введите значение 60.

  4. Добавьте на конвейер второй элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант MS SQL.

    • SQL-запрос: введите запрос вида:

      SELECT
    ClientClass,
    ClientType,
    MName,
    MSid,
    UName,
    USid,
    DATEADD (
        hour,
        DATEDIFF (hour, GETUTCDATE (), GETDATE ()),
        DateStart
    ) as DateStart,
    DATEADD (
        hour,
        DATEDIFF (hour, GETUTCDATE (), GETDATE ()),
        DateEnd
    ) as DateEnd,
    ExitCode,
    SessionGUID,
    ActionCode,
    TemplateCode,
    DATEADD (
        hour,
        DATEDIFF (hour, GETUTCDATE (), GETDATE ()),
        ActionTime
    ) as ActionTime,
    ActionParameters as msg,
    ResultCode,
    ClientSessionID,
    SessionActionID,
    GETDATE () as rt,
    replace(@@SERVERNAME,@@SERVICENAME, '') + DEFAULT_DOMAIN() as dvchost
,
    CONNECTIONPROPERTY ('local_net_address') AS dvc,
    'SNS audit events' as EventFilter
FROM
    SN7_SERVER_SCHEMA.dbo.ServerLog
where
    (
        DATEADD (
            hour,
            DATEDIFF (hour, GETUTCDATE (), GETDATE ()),
            ActionTime
        ) >= DATEADD (SECOND, -15, GetDate ())
    )

    • Поле идентификатора: заполнять не нужно.

    • Интервал запроса, секунд: введите значение 15.

  5. Добавьте на конвейер элемент Нормализатор со следующими правилами:

    • Код безопасности Secret Net Studio события аудита с сервера безопасности (идентификатор правила: RV-N-109);

    • Код безопасности Secret Net Studio события безопасности с защищенных АРМ (идентификатор правила: RV-N-110).

  6. Соедините нормализатор с точками входа.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

SNSPipelineScheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Secret Net Studio.

Найти события Secret Net Studio в хранилище можно по следующему фильтру:

dproduct = "Secret Net Studio"

kodbezopasnosti secret net studio storage

Таблицы маппинга

Таблица соответствия полей события для всех рассмотренных типов событий безопасности с защищенных АРМ представлена по ссылке.

Таблица соответствия полей события для всех рассмотренных типов событий аудита с сервера безопасности представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь