Настройка передачи событий PT NAD в KUMA

Настройка передачи событий из PT NAD 11 в KUMA по Syslog включает следующие этапы:

  1. Настройка модуля ptdpi-worker@notifier.
  2. Настройка отправки syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации.

Настройка модуля ptdpi-worker@notifier

Для включения отправки информации об обнаруженных угрозах информационной безопасности необходимо настроить модуль ptdpi-worker@notifier.

В многосерверной конфигурации инструкцию нужно выполнять на основном сервере.

Чтобы настроить модуль ptdpi-worker@notifier:

  1. Откройте файл /opt/ptsecurity/etc/ptdpi.settings.yaml:

    sudo nano /opt/ptsecurity/etc/ptdpi.settings.yaml

  2. В группе параметров General settings раскомментируйте параметр workers и добавьте notifier в список его значений.

    Например:

    workers: ad alert dns es hosts notifier

  3. Добавьте в конец файла строку вида notifier.yaml.nad_web_url: <URL веб-интерфейса PT NAD>

    Например:

    notifier.yaml.nad_web_url: https://ptnad.example.com

    Модуль ptdpi-worker@notifier будет использовать указанный URL для формирования ссылок на карточки сессий и активностей при отправке сообщений.

  4. Перезапустите сенсор:

    sudo ptdpictl restart-all

Модуль ptdpi-worker@notifier настроен.

Настройка syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации

Параметры, перечисленные в следующей инструкции могут отсутствовать в конфигурационном файле. Если параметр отсутствует, вам нужно добавить его в файл самостоятельно.

В многосерверной конфигурации PT NAD настройка выполняется на основном сервере.

Чтобы настроить отправку syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации:

  1. Откройте файл /opt/ptsecurity/etc/ptdpi.settings.yaml:

    sudo nano /opt/ptsecurity/etc/ptdpi.settings.yaml

  2. По умолчанию PT NAD отправляет данные об активностях на русском языке. Чтобы получать данные на английском языке, измените значение параметра notifier.yaml.syslog_notifier.locale на «en».

    Например:

    notifier.yaml.syslog_notifier.locale: en

  3. В параметре notifier.yaml.syslog_notifier.addresses добавьте секцию с параметрами отправки событий в KUMA.

    Параметр <Название подключения> может состоять только из букв латинского алфавита, цифр и символа подчеркивания.

    В параметре address необходимо указать IP-адрес коллектора KUMA.

    Остальные параметры можно не указывать, в таком случае будут использоваться значения по умолчанию.

    notifier.yaml.syslog_notifier.addresses:

    <Название подключения>:

    address: <Для отправки на удаленный сервер — протокол UDP (по умолчанию) или TCP, адрес и порт; для локального подключения — сокет домена Unix>

    doc_types: [<Перечисленные через запятую типы сообщений (alert для информации об атаках, detection для активностей и reputation для информации об индикаторах компрометации). По умолчанию отправляются все типы сообщений>]

    facility: <Числовое значение категории субъекта>

    ident: <Метка ПО>

    <Название подключения>:

    ...

    Далее представлен пример настройки отправки syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации, отправляемых на два удаленных сервера по протоколам TCP и UDP без записи в локальный журнал:

    notifier.yaml.syslog_notifier.addresses:

    remote1:

    address: tcp://198.51.100.1:1514

    remote2:

    address: udp://198.51.100.2:2514

  4. Сохраните изменения в файле /opt/ptsecurity/etc/ptdpi.settings.yaml.
  5. Перезапустите модуль ptdpi-worker@notifier:

    sudo ptdpictl restart-worker notifier

Настройка отправки событий в KUMA по Syslog выполнена.

В начало