Skip to main content
Loading...

Для получения событий с транспортов, отличных от syslog, в RuSIEM коммерческой версии и свободно распространяемой RvSIEM free используются агенты для Windows.

Агенты устанавливаются в качестве службы Windows, управляются через веб-консоль сервера управления и позволяют собирать события как локально, так и одновременно из нескольких удаленных источников безагентным методом. То есть, вы устанавливаете агента на один из серверов и этот агент собирает с сотен других Windows, MS SQL/Mysql/Oracle/file серверов, на которых не установлен агент.

По количеству агенты не лицензируется, их может быть сколько угодно. Для мобильных устройств (ноутбуков) рекомендуется установка агента локально. В этом случае, при отсутствующем подключении, агент будет собирать события в свою локальную базу данных, ротируемую в зависимости от свободного места на диске во избежание потери событий при ротации или действиях злоумышленника. А при наличии соединения с сервером, события будут переданы на него.

Для сбора Windows event logs удаленно безагентным способом используются WMI транспорт (устаревший) и EVT (начиная с Windows 7, более быстрый и стабильный).

У агента имеются универсальные транспорты, позволяющие собирать события с:

  • Windows event log (любые журналы)
  • Checkpoint LEA
  • Cisco SDEE
  • File logs
  • Logs on ftp servers
  • Hash logs (запущенные процессы их sha1/md5/sha256)
  • Logs on Mysql/Oracle/MS SQL таблицах и представлениях
  • WMI logs
  • Информация об установленном ПО и патчах
  • Информация об открытых процессами портах

Автоматическая установка агента

Агент может быть развернут из .msi дистрибутива локально, либо автоматически на множестве устройств другим контролирующим агентом.

Например, вы устанавливаете один контролирующий агент на одном из серверов, указываете этому агенту в разделе веб-интерфейса "Источники --> Удаленная установка" параметры установки агентов и этот агент автоматически установит агентов и проконтролирует их работоспособность. В случае выхода из строя какого либо подконтрольного агента - его работа будет автоматически восстановлена контролирующим агентом.

Возможно указывать как по одному хосту для установки агента, так и добавить через список массово.

Дистрибутив агента и обновление

Актуальный дистрибутив агента для 32/64 битных платформ можно скачать в разделе "Источники" в правом верхнем углу. Скачивание дистрибутива происходит непосредственно с управляющего сервера, установленного в вашей компании. Обновление дистрибутива на сервере производится вместе с обновлением пакета rusiem-web для коммерческой и свободно-распространяемой версий.

Обновление дистрибутива уже установленного агента и его модулей производится автоматически, при обновлении компонентов на управляющем сервере. Обновление можно отключить для отдельных агентов через веб-интерфейс управляющего сервера.

Шейпинг канала между агентом и сервером

Для агентов можно установить параметры пропускной способности, ограничивающие скорость передачи на слабых каналах связи в зависимости от времени и дня недели.

Резервный сервер для агентов

Агент поддерживает два сервера для передачи событий. Основной и резервный. В случае недоступности основного сервера - передача осуществляется на резервный. При восстановлении основного - возобновляется передача на него.

Резервный сервер для агента устанавливается глобально для агентов в разделе веб-интерфейса "Настройки" и может быть переопределен в разделе "Источники" индивидуально для агента.

Управляющий сервер агента

Управляющий сервер у агента может быть только один. Агент опрашивает управляющий сервер по протоколу https, авторизуется на управляющем сервере и получает с него параметры сбора, настройки агента и параметры передачи. Изменить управляющий сервер возможно:

  • редактированием секции конфигурации агента C:\Program Files\Rusiem\LogAgent.config - <add key="AdminUrl" value="https://172.16.0.124/api/v1/remote/encrypt/agent" />, где 172.16.0.124 - пример ip управляющего сервера
  • с помощью утилиты RuSIEM Agent Replicator, позволяющей удаленно установить, удалить и управлять агентами
  • при установке "Выборочная" msi пакета
  • в секции веб-интерфейса "Источники --> Удаленная установка" на контролирующем агенте

Канал связи между агентом и сервером

Агент передает события на основной/резервный сервер по tcp/3515 в зашифрованном виде. Параметры шифрования индивидуальны для каждого агента.

Сервера, на которые отправляет события агент могут быть отличные от управляющего сервера.

Назначение источников сбора для агентов

Назначение источников сбора для агентов и управление ими осуществляется непосредственно с веб-интерфейса.

После установки агента, он подключается к указанному в настройках управляющему серверу, регистрируется на нем с уникальным идентификатором. По умолчанию, в случае установки вручную, для агента не назначено источников сбора.

Поддержка NAT и DHCP

При подключении к управляющему серверу, агент получает уникальный идентификатор и аутентифицирующие параметры. Вся дальнейшая работа с агентом осуществляется вне зависимости от IP адреса агента, имени его хоста. При этом, агент может быть за NAT.

Локальная база данных агента

Агент содержит в составе дистрибутива собственную встроенную базу данных с шифрованием данных. Нет необходимости в установке и приобретении сторонних баз данных и лицензий.

Встроенная база данных служит посредником для сохранения событий во избежании их потерь в случае отсутствующего подключения с сервером.

Во избежание переполнения диска, существуют параметры ротации, которые можно изменить индивидуально для каждого агента. По умолчанию, в случае остатка свободного места на диске 15% - агент отправляет на сервер предупреждение (и регистрируется инцидент в коммерческой версии RuSIEM по правилу корреляции). А в случае остатка 12% и менее - включается ротация (перезатираются старые события). Режим ротации предназначен для мобильных устройств в случае долгого отсутствия подключения к серверу отправки событий.