tocdepth

2

Интеграция с внешними системами информационной безопасности

ВМ UserGate поддерживает интеграцию со сторонними системами информационной безопасности, например с системами анализа событий (SIEM) и вторичными антивирусными сканерами сетевого трафика. Интеграция с SIEM происходит через syslog-сообщения. Интеграция с антивирусным сервером происходит посредством перенаправления на него части сетевого трафика через протокол ICAP. Поддерживается передача данных следующих сетевых протоколов: HTTP/HTTPS, почтовый трафик (SMTP, POP3).

Отправка системных событий в SIEM-систему для анализа:

  1. В разделе Журналы и отчеты → Журналы → экспорт журналов нажмите на зеленый значок + Добавить.

  2. На вкладке Общие активируйте опцию Включено.

  3. Введите название правила экспорта на латинице и заполните его описание при необходимости.

  4. На вкладке Удаленный сервер выберите тип сервера Syslog, введите IP-адрес SIEM-сервера и его порт. Настоятельно рекомендуется использовать протокол TCP, чтобы избежать потерь сообщений.

  5. Остальные параметры отредактируйте по необходимости.

  6. На вкладке Журналы для экспорта отметьте те журналы, информацию из которых нужно передавать в SIEM-систему.

  7. Нажмите Проверить соединение для проверки корректность введенных данных и доступности SIEM-системы.

  8. Нажмите Сохранить.

Отправка данных при помощи ICAP-протокола:

  1. В разделе Политики безопасности → ICAP-серверы нажмите на зеленый значок + Добавить.

  2. Введите название сервера на латинице и его описание при необходимости.

  3. Укажите IP-адрес сервера ICAP, его порт и максимальный размер отправляемого сообщения.

  4. На вкладе Данные укажите данные, которые вы хотите отправлять на сервер.

  5. Нажмите Сохранить.

  6. Перейдите в раздел ICAP-правила и нажмите на зеленый значок + Добавить.

  7. Введите название правила ICAP на латинице и его описание при необходимости.

  8. На вкладке Общие в пункте Действие установите значение Переслать.

  9. На вкладке ICAP-серверы выберите добавленный ранее сервер.

  10. Остальные вкладки заполните по аналогии с правилом межсетевого экранирования для указания строго определенного сетевого трафика, который должен отправляться на инспекцию.

  11. Нажмите Сохранить.

Запустили Evolution free tier
для Dev & Test
Получить