SIEM-коннекторы

Платформа IVA MCU позволяет Администратору отправлять события журналов аудита и запросов в несколько SIEM-систем, а также осуществлять проверку пользовательских данных (загружаемые файлы, сообщения в чатах) в зарегистрированной DLP-системе.

В web-панели администрирования можно настроить SIEM-коннекторы для разных типов коннекторов, уровней логирования журнала аудита и для разных типов событий.

Для Платформы IVA MCU 19.0 и старше системные настройки для отправки событий на сервер SIEM-системы в секции Логирование и статистика утратили свою актуальность. Администратору Платформы необходимо вручную провести добавление этих настроек в разделе SIEM коннекторы

Чтобы добавить SIEM-коннекторы, необходимо:

перейти к созданию SIEM-коннектора:

Перейти в раздел SIEM коннекторы → Нажать кнопку Создать → Создание
выполнить настройки коннектора в зависимости от типа:
- настройка SIEM-коннектора Syslog:
  - Название: ввести название SIEM-коннектора
  - Тип: выбрать Syslog
  - Включено: нажать флаговую кнопку
  - Хост: ввести IP-адрес сервера SIEM-системы
  - Порт: ввести адрес порта сервера SIEM-системы
  - Логировать журнал запросов: нажать флаговую кнопку (при необходимости)
  - Логировать системные предупреждения: нажать флаговую кнопку (при необходимости)
  - Уровень логирования для журнала аудита: выбрать уровень (Информация — в SIEM-систему попадают ошибки, предупреждения и сообщения информации из журнала аудита, Предупреждение — в SIEM-систему попадают предупреждения из журнала аудита, Ошибка — в SIEM-систему попадают ошибки из журнала аудита, Выключено — в SIEM-систему ничего не попадает)
  - Типы событий журнала аудита: выбрать тип событий (Компания, Конференция, Сеанс конференции, Домен, Ошибка, Настройки, Профиль пользователя, Сессия пользователя, Лицензия, Сообщения безопасности, Чат, Контроль безопасности, Внешняя аутентификация, Системные события, Модули)
    
    Если не выбран ни один тип событий, то в SIEM-систему попадают все типы событий журнала аудита
  - Количество отправок: ввести максимальное количество попыток отправки
  - Субъект системного журнала: выбрать субъект (KERN — ядро ОС, USER — службы уровня пользователей ОС, MAIL — почтовые сервисы, DAEMON — системные службы и сервисы, AUTH — сервисы аутентификации и авторизации, SYSLOG — системы логирования, LPR — системы печати, NEWS — система Usenet, UUCP — службы TCP / IP, CRON — сервис планировщика задач, AUTHPRIV — безопасные сервисы аутентификации и авторизации, FTP — FTP-сервера и клиенты, NTP — служба синхронизации времени, AUDIT — службы аудита, ALERT — логи с уровнем критичности alert, CLOCK — службы времени, LOCAL0 / LOCAL1 / LOCAL2 / LOCAL3 / LOCAL4 / LOCAL5 / LOCAL6 / LOCAL7 — различные службы и сервисы)
  - Протокол: выбрать протокол (UDP, TCP или TLS)
    
    Для SIEM-коннектора Syslog рекомендуется выбрать протокол UDP
  - Таймаут подключения к серверу, мс: ввести таймаут (в миллисекундах) подключения к SIEM-системе
- настройка SIEM-коннектора SearchInform
- настройка SIEM-коннектора ICAP (InfoWatch)

создать SIEM-коннектор: Нажать кнопку Создать

Для более детальной настройки и оптимизации работы SIEM-коннектора рекомендуется ознакомиться с документацией к выбранной SIEM-системе

Чтобы посмотреть детальную информацию или внести изменения в настройки SIEM-коннектора, необходимо:

SIEM коннекторы → Нажать кнопку Детально → Информация о SIEM коннекторе → Внести изменения (при необходимости) → Нажать кнопку Сохранить

Чтобы удалить SIEM-коннектор, необходимо:

SIEM коннекторы → Нажать кнопку Удалить → Подтвердить удаление, нажав кнопку ОК