Интеграция с Neurodat SIEM IM

Система Neurodat SIEM IM предназначена для мониторинга информационной безопасности.

Вы можете настроить передачу событий KUMA в Neurodat SIEM IM. На основе поступающих событий и правил корреляции в системе Neurodat SIEM IM автоматически формируются инциденты информационной безопасности.

Чтобы настроить интеграцию с Neurodat SIEM IM:

  1. Подключитесь к серверу Neurodat SIEM IM по протоколу SSH под учетной записью с административными привилегиями.
  2. Создайте резервную копию конфигурационного файла /opt/apache-tomcat-<версия сервера>/conf/neurodat/soz_settings.properties.
  3. В конфигурационном файле /opt/apache-tomcat-<версия сервера>/conf/neurodat/soz_settings.properties установите указанные значения для следующих параметров:
    • kuma.on=true

      Этот параметр является признаком взаимодействия с Neurodat SIEM IM с KUMA.

    • job_kuma=com.cbi.soz.server.utils.scheduler.KumaIncidentsJob
    • jobDelay_kuma=5000
    • jobPeriod_kuma=60000
  4. Сохраните изменения конфигурационного файла.
  5. Перезапустите сервис tomcat с помощью команды:

    sudo systemctl restart tomcat

  6. Получите токен для пользователя в KUMA. Для этого выполните следующие действия:
    1. В Консоли KUMA в левом нижнем углу окна нажмите на имя учетной записи пользователя и в открывшемся меню нажмите на кнопку Профиль.

      Откроется окно Пользователь с параметрами вашей учетной записи.

    2. Нажмите на кнопку Сгенерировать токен.

      Откроется окно Новый токен.

    3. Если требуется, установите срок действия токена:
      • Установите флажок Без окончания срока действия.
      • В поле Срок действия с помощью календаря укажите дату и время истечения срока действия создаваемого токена.
    4. Нажмите на кнопку Сгенерировать токен.

      В области деталей пользователя отобразится поле Токен с автоматически созданным токеном. Скопируйте его.

      При закрытии окна токен больше не отображается. Если вы не скопировали токен перед закрытием окна, вам нужно будет сгенерировать новый токен.

    5. Нажмите на кнопку Сохранить.
  7. Войдите в Neurodat SIEM IM под учетной записью admin или другой учетной записью, обладающей ролью Администратор для настраиваемой организации или Администратор всех организаций.
  8. В пункте меню Администрирование → Структура организации выберите или создайте организацию, которая будет получать инциденты из KUMA.
  9. На форме организации выполните следующие действия:
    1. Установите флажок Настроить интеграцию с KUMA.
    2. В поле IP адрес и сетевой порт KUMA укажите адрес API KUMA, например https://192.168.58.27:7223/api/v1/.
    3. В поле Ключ API KUMA укажите токен пользователя, полученный на шаге 6.
    4. Сохраните данные организации.

Настройка интеграции с KUMA будет завершена.

Neurodat SIEM IM выполнит проверку доступа к KUMA и в случае успеха отобразит сообщение о готовности получать данные из KUMA.

В начало