Security Information and Event Management

SIEM (Security Information and Event Management) jest terminem używanym do opisania pojedynczego systemu zarządzania bezpieczeństwem

Zapewnia kompleksowy i scentralizowany przegląd aktualnej sytuacji bezpieczeństwa infrastruktury IT, a tym samym pomaga w jej monitorowaniu. W tym celu system SIEM gromadzi i kategoryzuje dane maszynowe z różnych źródeł. Dane te są analizowane i w ten sposób wykrywane są odbiegające od normy zachowania w infrastrukturze IT. Może się to odbywać w czasie rzeczywistym.

Aby połączyć rozwiązanie bezpieczeństwa G DATA z istniejącym systemem SIEM, konieczne jest skonfigurowanie ManagementServer, usługi Telegraf i wtyczki.

Konfiguracja G DATA Management Server

W pierwszej kolejności należy włączyć wyjście SIEM w G DATA Management Server. Ponadto należy określić, w jakim formacie (CEF lub ECS) ma odbywać się transfer do systemu SIEM. Domyślnym formatem jest CEF.

Wykonaj następujące kroki:

1.

Otwórz plik konfiguracyjny MMS (config.xml)

C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\config.xml

2.

Przewiń do końca.

3.

Edytuj grupę SIEM lub dodaj ją, jeśli nie istnieje.

  1. Ustaw IsSiemEnabled na true.

  2. Ustaw TelegrafServerPort na port 8099.

  3. Opcjonalnie ustaw format wyjściowy na CEF (lub ECS, jeśli jest to wymagane).

Przykład
<group name="Siem">
    <setting name="IsSiemEnabled" type="bool" value="True" />
    <setting name="TelegrafServerPort" type="int" value="8099" />
    <setting name="OutputFormat" type="string" value="CEF" />
</group>

4.

Uruchom ponownie usługę G DATA Management Server.

Konfiguracja wejścia programu Telegraf w wersji 15.2.x

Telegraf jest programem do zbierania, przetwarzania, podsumowywania i tworzenia metryk. Ta instrukcja opisuje jak skonfigurować program Telegraf (wejście) do odbierania logów bezpieczeństwa z G DATA Management Server.

W przypadku wyjścia CEF plik z gotową konfiguracją znajduje się już w katalogu

C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf

Jeżeli preferowane jest użycie formatu ECS, należy odpowiednio dostosować niniejsze instrukcje. Telegraf.conf przygotowany dla ECS znajduje się w następującym katalogu:

C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegrafSplunkEcs.conf

Konfiguracja wyjścia programu Telegraf

Telegraf jest programem do zbierania, przetwarzania, podsumowywania i tworzenia metryk. Niniejsza instrukcja opisuje konfigurację programu Telegraf w celu wysyłania logów bezpieczeństwa do serwera SIEM.

Proszę wybrać żądany format wyjściowy za pomocą poniższych przycisków.

Tworzenie usługi Telegraf

Po skonfigurowaniu telegraf.conf należy utworzyć nową usługę.

  1. Przejdź do katalogu programu:

    cd C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf
  2. Usuń domyślną usługę Telegraf poleceniem:

    telegraf.exe --service uninstall --service-name TelegrafGdmms --service-display-name "Telegraf (Gdmms)
  3. Utwórz nową usługę, używając dostosowanego pliku telegraf.conf:

    telegraf.exe --service install --service-name telegraf-gdmms --service-display-name "Telegraf (Gdmms)" --config "C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegraf.conf"
  4. Uruchom ponownie usługi G DATA Management Server oraz Telegraf (Gdmms).