20 мая 2021

Континент 4 Getting Started

07. Система мониторинга

Содержание статьи

Приветствую Вас в заключительной статье цикла Континент Getting Started. Сегодня мы поговорим о системе мониторинга комплекса Континент. Детально рассмотрим интерфейс системы, посмотрим журналы и поработаем с отчетами.

Система мониторинга комплекса «Континент» представляет собой программное обеспечение, позволяющее проводить мониторинг различных параметров узлов безопасности, входящих в состав комплекса.

Интерфейс системы мониторинга выглядит следующим образом:
Интерфейс
  • Раздел «Панель мониторинга» – включает в себя набор настраиваемых виджетов для отображения информации о состоянии объектов.
  • Раздел «Журналы» – просмотр журналов системы.
  • Раздел «Статистика – формирование и просмотр настраиваемых отчётов.
  • Раздел «Структура» – включает в себя настройку шаблонов групп, просмотр событий, сведений о состоянии компонентов узлов безопасности.
  • Раздел «Настройки» – настройка сервера исходящих почтовых сообщений.
В верхней панели присутствует «Счетчик событий»: системные события, события сетевой безопасности и события управления (красный – события высокой важности, оранжевый – события средней важности, зеленый – события низкой важности).
Шапка

Раздел «Структура»

Раздел предназначен для просмотра сведений о состоянии объектов мониторинга и настройки шаблонов.

В разделе отображаются реальные сведение о функционировании устройств. Есть следующие группы:

  • ЦП и память – информация о ЦП и оперативной памяти устройства.
  • Подсистемы – информация об активированных компонентах устройства.
  • Жесткие диски – сведения о жестких дисках и состоянии их разделов.
  • Сетевые интерфейсы – информация о статусе и состоянии интерфейсов.
  • Активные сетевые и VPN соединения.
Состояние
Просмотреть параметры каждой группы можно щелкнув по соответствующей плитке:
ЦП и память
Подсистемы

Правила мониторинга

Для создания правил мониторинга необходимо перейти во вкладку «Шаблон», нажать «Редактировать» и «Добавить». Правила могут быть как общими, так и для конкретного узла безопасности.
Создадим правило, которое будет предупреждать, если загрузка центрального процессора будет более 90%.
Правила мониторинга
  • В поле «Если» вводится параметр системы, при котором будет срабатывать правило.
  • Поле «То» определяет действие, выполняемое при срабатывании правила, критичность события и рассылает оповещения
  • В поле «Для» выбирается подсистема, для которой создается правило
  • В поле «Причина» указывается сообщение, описывающие событие.

Раздел «Журналы»

В разделе можно просматривать:

  • Журнал сетевой безопасности. Сохраняет данные о работе фильтра IP-пакетов. В зависимости от заданных параметров, в журнале могут регистрироваться передаваемые, принятые и заблокированные пакеты.
  • Системный журнал. Регистрирует события, связанные с работой подсистем узлов безопасности.
  • Журнал управления. Регистрирует команды управления комплексом (изменение правил, авторизация в системе и т.д.).
Журналы
Подробную информацию о событиях, зарегистрированных в журналах, можно просматривать, щёлкнув по событию.
Детальная информация

Раздел «Статистика»

В разделе можно создавать и просматривать отчеты. Каждый отчет представляет набор виджетов в табличном или графическом виде. В системе мониторинга содержатся множество фильтров, при формировании виджетов: различные события/данные сетевой безопасности (топ атак, топ геоисточников атак и т.д.), события системы (администрирование, контроль целостности, контроль доступа и т.д.), события управления.
Статистика
Сформируем детальный отчет по атакам. Используем в нашем отчете следующие виджеты: топ 10 атак по странам, количество атак за неделю, топ сигнатур, количество атак по классам. Для создания виджета нажимаем «Редактировать» – «Добавить виджет».
Статистика
Для формирования отчета необходимо нажать «Печать». Отчет будет сохранен в pdf-файле.

Интеграция с SIEM

В комплексе Континент есть возможность использования внешних систем отчетности. Интеграция с любыми SIEM происходит через syslog.

Для настройки хранения журналов на внешнем сервере в свойствах узла безопасности в «Настройках журналирование» необходимо указать параметры syslog-сервера.
Интеграция

Экспорт данных по протоколу NetFlow

Netflow – сетевой протокол, предназначенный для учета сетевого трафика. Центральное понятие NetFlow – это поток. Потоком считается набор пакетов, проходящих в одном направлении и характеризуемых рядом параметров (IP-адрес источника, IP-адрес назначения, порт источника, порт назначения, номер протокола, сетевой интерфейс и т.п.). В комплексе Континент для анализа трафика предусмотрен механизм экспорта данных о сетевом трафике.

Основные компоненты решения:

  • Сенсор – выполняет функции отбора трафика и передачи этого трафика на коллектор;
  • Коллектор – выполняет функции получения данных о потоке от сенсора и помещает их в хранилище для последующей обработки анализатором;
  • Анализатор – выполняет обработку данных о потоках для последующего предоставления пользователю.

Перейдем к настройкам экспорта. ПКМ по УБ – «Свойства» – «NetFlow». Настраиваются следующие параметры:

  • Режим отбора (детерминированный, случайный, по хэшу);
  • Протокол экспорта (v5, v9, v10 / IPFIX);
  • Количество потоков (Максимальное количество потоков, учитываемых при отборе данных из сетевого трафика);
  • Частота потоков (Количество потоков, отбираемых из сетевого трафика);
  • Экспорт событий трансляции адресов (только для v10 / IPFIX).
NetFlow
В группе «Интерфейсы» необходимо выбрать интерфейс, с которого требуется собирать информацию. Для каждого интерфейса поддерживаются следующие виды трафика:

  • Транзитный – трафик, отправителем и получателем которого являются хосты в окружении системы;
  • Внутренний – трафик, отправителем которого является хост в окружении системы, а получателем является УБ;
  • Исходящий – трафик, отправителем которого является УБ, а получателем является хост в окружении системы.

В подразделе «Коллекторы» необходимо указать адрес хоста, который будет получать данные о потоках.
Коллекторы
Данные, собранные коллектором, анализируются и приводятся в пригодный для чтения отчет.

Заключение

В данной статье мы подробно рассмотрели систему мониторинга. С помощью системы мониторинга можно не только создавать отчеты, просматривать логи, но и выявлять проблемные узлы безопасности.

На этом мы заканчиваем наш цикл статей Континент Getting Started.

Если у Вас остались вопросы - задайте их по адресу sales@tssolution.ru