Security Information and Event Management
SIEM (Security Information and Event Management) jest terminem używanym do opisania pojedynczego systemu zarządzania bezpieczeństwem
Zapewnia kompleksowy i scentralizowany przegląd aktualnej sytuacji bezpieczeństwa infrastruktury IT, a tym samym pomaga w jej monitorowaniu. W tym celu system SIEM gromadzi i kategoryzuje dane maszynowe z różnych źródeł. Dane te są analizowane i w ten sposób wykrywane są odbiegające od normy zachowania w infrastrukturze IT. Może się to odbywać w czasie rzeczywistym.
Aby połączyć rozwiązanie bezpieczeństwa G DATA z istniejącym systemem SIEM, konieczne jest skonfigurowanie ManagementServer, usługi Telegraf i wtyczki.
Konfiguracja G DATA Management Server
W pierwszej kolejności należy włączyć wyjście SIEM w G DATA Management Server. Ponadto należy określić, w jakim formacie (CEF lub ECS) ma odbywać się transfer do systemu SIEM. Domyślnym formatem jest CEF.
Wykonaj następujące kroki:
1. |
Otwórz plik konfiguracyjny MMS (config.xml) C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\config.xml |
2. |
Przewiń do końca. |
3. |
Edytuj grupę SIEM lub dodaj ją, jeśli nie istnieje.
Przykład |
4. |
Uruchom ponownie usługę G DATA Management Server. |
Konfiguracja wejścia programu Telegraf w wersji 15.2.x
Telegraf jest programem do zbierania, przetwarzania, podsumowywania i tworzenia metryk. Ta instrukcja opisuje jak skonfigurować program Telegraf (wejście) do odbierania logów bezpieczeństwa z G DATA Management Server.
W przypadku wyjścia CEF plik z gotową konfiguracją znajduje się już w katalogu
C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf
|
Jeżeli preferowane jest użycie formatu ECS, należy odpowiednio dostosować niniejsze instrukcje. Telegraf.conf przygotowany dla ECS znajduje się w następującym katalogu: C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegrafSplunkEcs.conf |
Konfiguracja wejścia programu Telegraf w wersji 15.1.x
Telegraf jest programem do zbierania, przetwarzania, podsumowywania i tworzenia metryk. Ta instrukcja opisuje jak skonfigurować program Telegraf (wejście) do odbierania logów bezpieczeństwa z G DATA Management Server.
1. |
Pobierz archiwum zip z pliku: Rozpakuj archiwum zip. Zastąp istniejący plik GData.Business.Server.Siem.dll w katalogu C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\ plikiem z pobranego archiwum zip. |
||
2. |
Pobierz plik Telegraf.conf przygotowany dla formatu CEF z poniższego linku: https://share.gdata.de/index.php/s/BrCfZq8dtN2SjqZ. Rozpakuj archiwum zip do katalogu C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf
|
Konfiguracja wyjścia programu Telegraf
Telegraf jest programem do zbierania, przetwarzania, podsumowywania i tworzenia metryk. Niniejsza instrukcja opisuje konfigurację programu Telegraf w celu wysyłania logów bezpieczeństwa do serwera SIEM.
Proszę wybrać żądany format wyjściowy za pomocą poniższych przycisków.
Tworzenie usługi Telegraf
Po skonfigurowaniu telegraf.conf należy utworzyć nową usługę.
-
Przejdź do katalogu programu:
cd C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf
-
Usuń domyślną usługę Telegraf poleceniem:
telegraf.exe --service uninstall --service-name TelegrafGdmms --service-display-name "Telegraf (Gdmms)
-
Utwórz nową usługę, używając dostosowanego pliku telegraf.conf:
telegraf.exe --service install --service-name telegraf-gdmms --service-display-name "Telegraf (Gdmms)" --config "C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegraf.conf"
-
Uruchom ponownie usługi G DATA Management Server oraz Telegraf (Gdmms).