Интеграция с SIEM-системами
Платформа IVA MCU позволяет Администратору отправлять события журналов аудита и запросов в несколько SIEM-систем.
В web-панели администрирования можно настроить SIEM-коннекторы для разных типов коннекторов, уровней логирования журнала аудита и для разных типов событий.
Настройка SIEM-коннектора Syslog
Чтобы добавить SIEM-коннектор Syslog, необходимо:
-
перейти к созданию SIEM-коннектора:
Войти в web-панель администрирования → Перейти в раздел SIEM коннекторы → Нажать кнопку Создать
→ Создание
-
выполнить настройки коннектора Syslog:
-
Название: ввести название SIEM-коннектора
-
Тип: выбрать Syslog
-
Включено: нажать флаговую кнопку
-
Хост: ввести IP-адрес сервера SIEM-системы
-
Порт: ввести адрес порта сервера SIEM-системы
-
Логировать журнал запросов: нажать флаговую кнопку (при необходимости)
-
Логировать системные предупреждения: нажать флаговую кнопку (при необходимости)
-
Уровень логирования для журнала аудита: выбрать уровень (Информация — в SIEM-систему попадают ошибки, предупреждения и сообщения информации из журнала аудита, Предупреждение — в SIEM-систему попадают предупреждения из журнала аудита, Ошибка — в SIEM-систему попадают ошибки из журнала аудита, Выключено — в SIEM-систему ничего не попадает)
Для корректной настройки SIEM-коннектора Syslog в части логирования событий Платформы IVA MCU необходимо ознакомиться с разделами Системные настройки и Аудит Платформы -
Типы событий журнала аудита: выбрать тип событий (Компания, Конференция, Сеанс конференции, Домен, Ошибка, Настройки, Профиль пользователя, Сессия пользователя, Лицензия, Сообщения безопасности, Чат, Контроль безопасности, Внешняя аутентификация, Системные события, Модули)
Если не выбран ни один тип событий, то в SIEM-систему попадают все типы событий журнала аудита -
Количество отправок: указать максимальное количество попыток отправки
-
Субъект системного журнала — выбрать субъект (KERN — ядро ОС, USER — службы уровня пользователей ОС, MAIL — почтовые сервисы, DAEMON — системные службы и сервисы, AUTH — сервисы аутентификации и авторизации, SYSLOG — системы логирования, LPR — системы печати, NEWS — система Usenet, UUCP — службы TCP / IP, CRON — сервис планировщика задач, AUTHPRIV — безопасные сервисы аутентификации и авторизации, FTP — FTP-сервера и клиенты, NTP — служба синхронизации времени, AUDIT — службы аудита, ALERT — логи с уровнем критичности alert, CLOCK — службы времени, LOCAL0 / LOCAL1 / LOCAL2 / LOCAL3 / LOCAL4 / LOCAL5 / LOCAL6 / LOCAL7 — различные службы и сервисы)
-
Протокол — выбрать протокол (UDP, TCP или TLS)
Для SIEM-коннектора Syslog рекомендуется выбрать протокол UDP -
Таймаут подключения к серверу, мс: указать тайм-аут (в миллисекундах) подключения к SIEM-системе
-
-
создать SIEM-коннектор: Нажать кнопку Создать
Чтобы посмотреть детальную информацию или внести изменения в настройки SIEM-коннектора Syslog, необходимо:
SIEM коннекторы → Выбрать SIEM-коннектор Syslog → Нажать кнопку Детально 
→ Информация о SIEM коннекторе → Внести изменения (при необходимости) → Нажать кнопку Сохранить
Чтобы удалить SIEM-коннектор Syslog, необходимо:
SIEM коннекторы → Нажать кнопку Удалить 
→ Подтвердить удаление, нажав кнопку ОК