Настройка передачи событий из PT NAD 11 в KUMA по Syslog включает следующие этапы:
Настройка модуля ptdpi-worker@notifier
Для включения отправки информации об обнаруженных угрозах информационной безопасности необходимо настроить модуль ptdpi-worker@notifier.
В многосерверной конфигурации инструкцию нужно выполнять на основном сервере.
Чтобы настроить модуль ptdpi-worker@notifier:
sudo nano /opt/ptsecurity/etc/ptdpi.settings.yaml
Например:
workers: ad alert dns es hosts notifier
Например:
notifier.yaml.nad_web_url: https://ptnad.example.com
Модуль ptdpi-worker@notifier будет использовать указанный URL для формирования ссылок на карточки сессий и активностей при отправке сообщений.
sudo ptdpictl restart-all
Модуль ptdpi-worker@notifier настроен.
Настройка syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации
Параметры, перечисленные в следующей инструкции могут отсутствовать в конфигурационном файле. Если параметр отсутствует, вам нужно добавить его в файл самостоятельно.
В многосерверной конфигурации PT NAD настройка выполняется на основном сервере.
Чтобы настроить отправку syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации:
sudo nano /opt/ptsecurity/etc/ptdpi.settings.yaml
Например:
notifier.yaml.syslog_notifier.locale: en
Параметр <Название подключения> может состоять только из букв латинского алфавита, цифр и символа подчеркивания.
В параметре address необходимо указать IP-адрес коллектора KUMA.
Остальные параметры можно не указывать, в таком случае будут использоваться значения по умолчанию.
notifier.yaml.syslog_notifier.addresses:
<Название подключения>:
address: <Для отправки на удаленный сервер — протокол UDP (по умолчанию) или TCP, адрес и порт; для локального подключения — сокет домена Unix>
doc_types: [<Перечисленные через запятую типы сообщений (alert для информации об атаках, detection для активностей и reputation для информации об индикаторах компрометации). По умолчанию отправляются все типы сообщений>]
facility: <Числовое значение категории субъекта>
ident: <Метка ПО>
<Название подключения>:
...
Далее представлен пример настройки отправки syslog-сообщений с информацией об активностях, атаках и индикаторах компрометации, отправляемых на два удаленных сервера по протоколам TCP и UDP без записи в локальный журнал:
notifier.yaml.syslog_notifier.addresses:
remote1:
address: tcp://198.51.100.1:1514
remote2:
address: udp://198.51.100.2:2514
sudo ptdpictl restart-worker notifier
Настройка отправки событий в KUMA по Syslog выполнена.
В начало