4990 / 1018 / 144
Регистрация: 29.01.2013
Сообщений: 5,961
|
|
1 | |
Интеграция с SIEM21.01.2025, 15:46. Показов 207. Ответов 4
Метки нет Все метки)
(
Приветствую, уважаемые!
Установлен Lotus Notes 6.5. Поставлена задача передавать из него события в SIEM. Про существование такого почтового сервера я узнал сегодня. В идеале, почтовик может уметь отправлять события сразу по syslog, но, чувствую, идеал не достижим. Приемлемым вариантом является текстовый лог. Однако у Lotus Notes, на сколько я понял, логи бинарные. Попытался найти варианты, как преобразовывать nsf в что-то читаемое, но что-то как-то безуспешно. Возможно, у вас найдётся идеи, как сделать мою жизнь проще?
0
|
21.01.2025, 15:46 | |
21.01.2025, 15:46 | |
Ответы с готовыми решениями:
4
Ищем Инженера (SIEM-систем) (Москва) Отправка логов с CiscoASA на SIEM QRadar 1с интеграция |
527 / 90 / 43
Регистрация: 02.02.2013
Сообщений: 378
|
|
22.01.2025, 07:28 | 2 |
я не особо знаю про SIEM но по тому что я почитал похоже что в Lotuse уже присутствует частично функционал SIEM правда для работ только в пределах самого Lotus
В lotus на сервере есть база Monitoring Configuration (файл events4.nsf) в которой можно настроить мониторинг нужных событий на сервере и настроить реакцию на все происходящие события в том числе настроить так называемые корректирующие действия при наступлении определенных событий. т.е. потенциально содержится функционал который позволяет при наступлении тревожных события запускать упреждающие действия для устранения потенциально возможной проблемы. так же в базе Monitoring Configuration (файл events4.nsf) можно настроить чтобы при наступлении определенного события уходило письмо куда-то во внешнюю систему т.е. на внешний почтовый сервер за пределы экосистемы Lotus. Таким оразом вы можете получать информацию в виде писем о всех или нужных событиях в lotus. Далее вы это письмо можете распарсить и класифицировать по вашим правилам на стороне вашего SIEM. PS lotus notes это скорее рабочее место. А у вас сервер ? если сервер то наверное lotus Domino ? относительно почтового сервере - интерпретировать сервер Domino только как почтовый это очень узкое его понимание т.к. почтовая маршрутизация это лишь одна из возможных задач. Domino может быть настроен и как сервер приложение и как сервер СУБД и как центр сертификации и как веб сервер и пр.
0
|
4990 / 1018 / 144
Регистрация: 29.01.2013
Сообщений: 5,961
|
|
22.01.2025, 10:44 [ТС] | 3 |
Это замечательно и одобряемо, но никто офицера безопасности в админку почтовика не пустит, да и не дело это, ходить по серверам и консолям, когда есть единый центр агрегации событий.
Может быть, вчера я впервые узнал о существовании данного решения) Но события надо получать именно связанные с работой почтового сервера. Письма - это очень плохой вариант. Очень мало SIEM умеют работать с электронной почтой, как с источниками событий. Хотелось бы какой-нибудь текстовый лог или, на крайний случай, средство конвертации бинарных логов в текстовые.
0
|
527 / 90 / 43
Регистрация: 02.02.2013
Сообщений: 378
|
|
22.01.2025, 21:34 | 4 |
О возможностях
Относительно конвертации бинарной БД в тестовый формат - никаких встроенных инструментов в Лотусе нет т.к. это немного бессмысленно по крайней мере в рамках того как я понимаю термин "конвертация". В лотусе есть возможность писать скрипты на JS, java, LotusScipt этот механизм можно использовать для отправки нужной информации за пределы лотус (в разных форматах: txt, xml, json и прочее). т.е. можно написать скрипт который будет выгружать нужную информацию их логов в текстовые файлы за пределами лотус. В принципе (если заморочиться), то скрипт может отправлять информацию в системные журналы самого сервера (windows, linux) на котором он работает. О конвертации Вам нужно получать информацию в SEIM в режиме реального времени т.е. наступило событие и тут же (или максимально быстро) о этом событии отправилась информация в вашу SEIM? Инструменты конвертации такого не позволяют по крайней мере это не называется "конвертацией", возможно вы имеет в виду по этим термином что то другое? О письмах Ранее я писал о письмах - их предлагалось рассматривать не как конечный объект, куда нужно давать доступ сотрудникам СБ, а указаны были как промежуточный этап для дальнейшего преобразования данных и загрузку информации из писем, например, в уже в нужную SEIM О доступе сотрудников СБ С другой стороны если сотрудник СБ имеет доступ только в SEIM, то даже при наличии данных в отдельных текстовых файлах (после конвертации, о который вы спрашиваете) он тоже может не иметь доступ туда где эти файлы были получены и это не совсем, то что я так понимаю вам требуется. Потому что текстовые файлы так же будут находиться отдельно от SEIM. Или я ошибаюсь? О задаче Чтобы вам посоветовать что-то более менее подходящее, то на самом деле нужно знать более детально, что вам в итоге требуется и вашу схему работы.
О решении со стороны SEIM Так же информация о возможностях вашей SEIM может помощь в выборе решения. Возможно SEIM поддерживает какие-то способы передачи туда данных (через API, какие то другие протоколы ?)
1
|
4990 / 1018 / 144
Регистрация: 29.01.2013
Сообщений: 5,961
|
|
22.01.2025, 22:22 [ТС] | 5 |
Благодарю вас за столь подробный и развёрнутый ответ.
Не по теме: Я не знаю, на сколько вы знакомы с SIEM-системами вообще и на кой они нужны, потому попробую ответить с начала и подробно, на сколько хватит компетенции) SIEM предназначен для агрегации событий из различного типа источников, нормализации, корреляции, хранения и обеспечения возможности поиска по событиям. В качестве источников могут выступать системные журналы ОС Windows\Linux, лои приложений, результаты выполнения запросов в базу данных, выполнение различных команды в ОС, запросы по API, поступающая информация по протоколу SYSLOG и т.д. В общем виде, подобные системы предназначены именно для событий информационной безопасности, а, соответственно, в SIEM отправяют следующие виды событий: - авторизация (успешный вход, выход, попытка входа, подбор пароля, подбор логина и т.п.) - состояние процессов (запуск, остановка, попытка запуска от пользователя, у которого нет прав, прерывание процесса и т.п.) - состояние системы (время запуска, учётка, от которой было инициировано выключение системы, система не доступна и т.п.) - изменение конфигурации (кто, что, когда и на что изменил) - состояние пользователей (создание, удаление, блокировка, разблокировка, смена паролей, изменение группы и т.п.) - доступ к ресурсам (чтоние, запись, изменение, удаление, обращение у общим ресурсам по сети и т.п.) - внешние устройства (подключение, отключение, типы, виды и т.п.) - системные операции (создание резервных копий, планировщики и т.п.) - прочее (сюда обычно относят хотелки заказчика в духе "мне надо знать, кто и сколько раз формировал этот отчёт") Что касается почтового сервера в Lotus Notes, из него требуется получать события авторизации, состояния пользователей, изменения конфигурации и было бы неплохо получать события состояния системы. Это замечательно, но, боюсь, у нас нет достаточно времени на изучение сперва самого Лотуса, а потом ещё и нюансов его скриптописания(
0
|
22.01.2025, 22:22 | |
22.01.2025, 22:22 | |
Помогаю со студенческими работами здесь
5
Интеграция Интеграция С++ с 1С Интеграция с...... Интеграция с С++ на С# Интеграция с VK Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
![]() |
Опции темы | |
|
Новые блоги и статьи
![]() |
||||
Присоединяйтесь к вызову «В память о Дилане Буччи»
Programma_Boinc 13.02.2025
Присоединяйтесь к вызову «В память о Дилане Буччи»
19 февраля, базирующаяся в Виннипеге, кибер - академия старшей школы Сислера начнет командный вызов, который продлится 19 дней.
Опубликовано:. . .
|
Микросервис с нуля на Go с Kafka
stackoverflow 12.02.2025
Когда я впервые столкнулся с необходимостью разделить монолитное приложение на микросервисы, передо мной встал вопрос выбора правильных технологий и подходов. После долгих экспериментов с различными. . .
|
Микросервис с нуля на C# с RabbitMQ
stackoverflow 12.02.2025
Переход от монолитной архитектуры к микросервисной - это не просто модное веяние, а закономерный этап эволюции программных систем. В отличие от монолита, где все компоненты тесно связаны между собой. . .
|
Docker для начинающих
stackoverflow 12.02.2025
В современном мире разработки программного обеспечения все чаще возникает необходимость быстро и надежно разворачивать приложения в различных средах. Разработчики постоянно сталкиваются с проблемой. . .
|
Создание бота для Телеграм на C#
stackoverflow 12.02.2025
В современном мире корпоративных коммуникаций Telegram-боты становятся незаменимым средством автоматизации бизнес-процессов и взаимодействия с сотрудниками. Как создать такого бота, который сможет. . .
|
Операторы сравнения (== и ===) в JavaScript
hw_wired 12.02.2025
JavaScript предоставляет два основных оператора сравнения - оператор нестрогого равенства (==) и оператор строгого равенства (===). На первый взгляд они могут показаться очень похожими, но их. . .
|
Определение адреса, откуда репозиторий Git был клонирован
hw_wired 12.02.2025
Система контроля версий Git хранит всю информацию о репозитории в специальной директории . git, включая данные об удаленных источниках. Эта информация необходима для синхронизации изменений между. . .
|
Объединение нескольких коммитов Git в один
hw_wired 12.02.2025
Представьте, что вы работаете над новой функциональностью и создали десяток небольших коммитов: исправление опечатки, форматирование кода, добавление комментариев, реализация основной логики. Каждый. . .
|
Как добавить локальную ветку в удалённый репозиторий Git
hw_wired 12.02.2025
Локальная ветка в Git - это изолированная линия разработки, существующая только на вашем компьютере. Представьте себе дерево с множеством веток - каждая ветка может расти в своем направлении, не. . .
|
Статическое отражение в C++
stackoverflow 12.02.2025
Статическое отражение представляет собой мощный механизм, позволяющий программам анализировать и манипулировать своей собственной структурой во время компиляции. Эта возможность открывает. . .
|