# Настройка актива ГИС для мониторинга с помощью SIEM в Linux подобных ОС ###### tags: `Инструкции по SIEM` Данная инструкция предназначена для ОС семейства Linux (протестирована на ОС Ubuntu 20.04). *Настройку актива нужно выполнять от имени учетной записи root либо с использованием sudo* **При использовании межсетевого экрана и других средств для контроля трафика требуется настроить в них правила, разрещающие трафик в сторону SIEM и сборщика логов** На различных средствах контроля трафика должны быть установлены правила, разрешающие трафик от узла информационной системы и узлу SIEM - 172.28.100.2 по порту 514 TCP/UDP, а также от информационной системы к узлу сборщика логов - 172.31.255.35 по порту 8514 TCP/UDP. *** **Обращаем внимание, если вы выполнять настройку актива с помощью Ansible, то переходите сразу к соответствующему пункту в данной инструкции! В случае если Ansible не используется выполняем пункты по порядку, пункт с Ansible пропускается!** *** ### Настройка службы Auditd 1. Проверяем версию демона auditd: ``` sudo auditctl -v ``` где, audictl – инструмент для управления аудитом, -v – запрос версии. 2. В случае если версия демона ниже версии 2.6 или демон отсутствует полностью, необходимо его установить (обновить) для этого выполняем следующую команду: ``` • если установлена ОС ALT Linux: $ sudo apt-get install -y audit • если Astra Linux, Debian или Ubuntu: $ sudo apt-get install -y auditd • если установлены Red Hat Linux: $ sudo yum install -y audit • если SUSE Linux Enterprise Server: $ sudo zypper install audit ``` 3. Настройка формата логов Настройка конфига службы auditd Открываем файл `sudo nano /etc/audit/auditd.conf` (либо любым другим текстовым редактором) Внутри измените следующие строки, если они отличаются: ``` log_format = ENRICHED name_format = NUMERIC disp_qos = lossless ``` Сохраняем конфиг файл и выходим. Перезапускаем службу auditd `sudo systemctl restart auditd` ### Настройка отправки событий в систему мониторинга с помощью Python скрипта 1. Загружаем скрипт полученный в пакете необходимых файлов от специалистов SOC на необходимый сервер. В зависимости от рекомендаций специалиста, а также особенностей сервера выбираем один из скриптов: * [**SIEM_config_python2_full-socket.py**](https://disk.yandex.ru/d/UOe2wflXVakJRA) - полный набор событий, на сервере используется python2 * [**SIEM_config_python3_full-socket.py**](https://disk.yandex.ru/d/veCDSEqxoZVA5g) - полный набор событий, на сервере используется python3 * [**SIEM_config_python2_non-socket.py**](https://disk.yandex.ru/d/3786_JhThdttMw) - исключены события сетевых коннектов, на сервере используется python2 * [**SIEM_config_python3_non-socket.py**](https://disk.yandex.ru/d/H0xmpqhfxtDRcg) - исключены события сетевых коннектов, на сервере используется python3 По умолчанию рекомендуется применять скрипт - **SIEM_config_python2_non-socket.py** 3. Подключаемся к серверу и разрешаем исполнение данного скрипта на сервере командой: <pre><code> sudo chmod +x SIEM_config_python2_non-socket.py </pre></code> 4. Запускаем выполнение скрипта с нужными параметрами: <pre><code> sudo ./SIEM_config_python2_non-socket.py --dst=@172.31.255.35:8514 --syslog_service=rsyslog --restart </pre></code> **Обратите внимание, в случае, если вы не можете отравлять события с данного актива по протоколу UDP, можно реализовать отправку событий по протоколу TCP, в этом случае команда будет выглядеть следующим образом:** <pre><code> sudo ./SIEM_config_python2_non-socket.py --dst=@@172.31.255.35:8514 --syslog_service=rsyslog --restart </pre></code> Готово! *** ### Настройка отправки событий в систему мониторинга с помощью Ansible **Для выполнение настройки активов требуется версия Ansible 2.9 или выше!** 1. Запросите и получите от специалист архив с файлами роли для Ansible. Архив имеет название - lep-src-ansible-role.tar 2. Распакуйте архив, затем в распакованной папке, откройте конфиг файл по следующему пути `sudo nano /roles/lep-src/vars/siem_agents.yml` В данном файле необходимо изменить секцию `defaul` следующим образом, в поле `address` вместо указанного стандартного значения пропишите 172.31.255.35, а в поле `port` пропишите 8514. Сохраните изменения и закройте файл. 3. В корне папки откройте файл `hosts`, командой `sudo nano hosts`. Раскоментируйте строку `ansible_ssh_user` и укажите для неё ваш логин учетной записи Ansible. Затем, необходимо указать строки с адресами активов, на которых будет производиться настройка (ip адрес или FQDN), внутри файла уже есть примеры активов Debian, Ubuntu, RHEL, свои добавляем в конец файла. Сохраните изменения и закройте файл. 4. Для применения роли выполняем следующую команду: ``` ansible-playbook -i hosts --ask-become-pass -k ./lep_src_ansible.yml ``` В случае, если не было допущено ошибок при вводе пароля будет выполнена удаленная настройка. ### Мониторинг событий в MaxPatrol SIEM 1. Для возможности входа в систему мониторинга SIEM (любой компьютер, с которого будет осуществляться вход в систему) необходимо в файл hosts добавить следующие адреса (альтернативный вариант, настройка вашего DNS-сервера, если не используется DNS-правительства): <pre><code> nano /etc/hosts 172.28.100.2 siem.gossopka.local 172.28.100.2 mpx-core-agent.gossopka.local </pre></code> *Обращаем внимание, даже если раннее производились настройки файла hosts, необходимо перезаписать его, добавив именно эти адреса!* 2. Теперь вы сможете наблюдать события в SIEM системе по адресу: **https://mpx-core-agent.gossopka.local** Готово! *** **Пожалуйста, сообщите специалистам SOC о внесенных настройках.**