Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

Настройка уведомлений через syslog

admin

Настройка уведомлений в SIEM через syslog
Заходите в консоль администратора, выбираете модуль «Политики безопасности»
Выбираете правило, по которому хотите получать уведомления в SIEM, жмете кнопку «Редактировать»
Выбираете пункт «Настройки скриптов», жмёте «Добавить» и выбираете пункт «Интеграция с Syslog».
Выбираете тип сработки «Сработка правила безопасности», прописываете название и описание.
Указываете адрес сервера. По умолчанию используется стандартный UDP порт syslog 514
Затем прописываете именованные параметры.
Список именованных параметров
Для всех типов правил:
Имя параметра ### Параметр
FGST_SEARCH_RULE_ID ID правила
FGST_ALERT_ID ID уведомления о срабатывании
FGST_SEARCH_RULE_NAME название правила
FGST_SEARCH_RULE_TYPE тип правила
FGST_ALERT_TIME дата и время срабатывания правила
FGST_RISK_LEVEL уровень риска правила безопасности
Для правил Обычное, Контроль по словарю и Цифровые отпечатки:
Имя параметра Параметр
FGST_DOCUMENT_LINK ссылка на документ в базе системы
FGST_DOCUMENT_COLLECTION_NAME тип перехваченной информации
Имя параметра Параметр
FGST_DOCUMENT_UUID идентификатор документа, по которому
произошло срабатывание
FGST_USER_SID SID пользователя
FGST_USER_DISPLAY_NAME отображаемое имя пользователя
FGST_USER_LOGIN_NAME имя пользователя
FGST_USER_LOCAL_NAME имя пользователя в системе
FGST_MACHINE_ADDRESS_IP IP-адрес компьютера, на котором произошло
срабатывание правила.
FGST_MACHINE_DNS_NAME часть полного имени компьютера (до первой
точки), на котором произошло срабатывание
FGST_MACHINE_DOMAIN_NAME полное доменное имя компьютера, на котором
произошло срабатывание
Для Статистического правила:
Имя параметра Параметр
FGST_USER_ID ID пользователя
FGST_START_PERIOD_TIME начало интервала срабатывания
FGST_END_PERIOD_TIME конец интервала срабатывания
FGST_DOCUMENTS_COUNT количество документов, вызвавших
срабатывание
FGST_FILE_WITH_DOCUMENTS_INFO файл (путь к файлу) в формате .JSON с
информацией о документе, по которому
произошло срабатывание правила
безопасности. Файл создается во временной
директории Temporary script data и
автоматически удаляется после выполнения
скрипта
Ошибка обработки правила
Имя параметра Параметр
FGST_SEARCH_RULE_ID ID правила
FGST_SEARCH_RULE_NAME название правила
FGST_SEARCH_RULE_TYPE тип правила
FGST_ERROR_TIME время возникновения ошибки
FGST_ERROR_MESSAGE сообщение об ошибке