4990 / 1018 / 144
Регистрация: 29.01.2013
Сообщений: 5,961
1

Интеграция с SIEM

21.01.2025, 15:46. Показов 207. Ответов 4
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Приветствую, уважаемые!

Установлен Lotus Notes 6.5. Поставлена задача передавать из него события в SIEM. Про существование такого почтового сервера я узнал сегодня.
В идеале, почтовик может уметь отправлять события сразу по syslog, но, чувствую, идеал не достижим. Приемлемым вариантом является текстовый лог. Однако у Lotus Notes, на сколько я понял, логи бинарные. Попытался найти варианты, как преобразовывать nsf в что-то читаемое, но что-то как-то безуспешно.
Возможно, у вас найдётся идеи, как сделать мою жизнь проще?
0
21.01.2025, 15:46
IT_Exp
Эксперт
34794 / 4073 / 2104
Регистрация: 17.06.2006
Сообщений: 32,602
Блог
21.01.2025, 15:46
Ответы с готовыми решениями:

Ищем Инженера (SIEM-систем) (Москва)
Крупный системный интегратор (Москва, м. Краснопресненская) ищет Инженера (SIEM-систем) Обязанности * Участие в проектах в качестве...

Отправка логов с CiscoASA на SIEM QRadar
Всем привет, недавно начал работать в этой сфере. Нужно сделать сбор логов из маршрутизатора с двумя интерфейсами, один из которых будет...

1с интеграция
Всем снова здравствуйте.. Подскажите пожалуйста, есть ли где-нибудь статья, или мануал, где описывается как передать значения из таблицы 1с...

4
527 / 90 / 43
Регистрация: 02.02.2013
Сообщений: 378
22.01.2025, 07:28 2
я не особо знаю про SIEM но по тому что я почитал похоже что в Lotuse уже присутствует частично функционал SIEM правда для работ только в пределах самого Lotus

В lotus на сервере есть база Monitoring Configuration (файл events4.nsf) в которой можно настроить мониторинг нужных событий на сервере и настроить реакцию на все происходящие события в том числе настроить так называемые корректирующие действия при наступлении определенных событий. т.е. потенциально содержится функционал который позволяет при наступлении тревожных события запускать упреждающие действия для устранения потенциально возможной проблемы.

так же в базе Monitoring Configuration (файл events4.nsf) можно настроить чтобы при наступлении определенного события уходило письмо куда-то во внешнюю систему т.е. на внешний почтовый сервер за пределы экосистемы Lotus. Таким оразом вы можете получать информацию в виде писем о всех или нужных событиях в lotus. Далее вы это письмо можете распарсить и класифицировать по вашим правилам на стороне вашего SIEM.

PS
lotus notes это скорее рабочее место.
А у вас сервер ? если сервер то наверное lotus Domino ?
относительно почтового сервере - интерпретировать сервер Domino только как почтовый это очень узкое его понимание т.к. почтовая маршрутизация это лишь одна из возможных задач. Domino может быть настроен и как сервер приложение и как сервер СУБД и как центр сертификации и как веб сервер и пр.
0
4990 / 1018 / 144
Регистрация: 29.01.2013
Сообщений: 5,961
22.01.2025, 10:44  [ТС] 3
Цитата Сообщение от Alex Ivanov Посмотреть сообщение
в Lotuse уже присутствует частично функционал SIEM правда для работ только в пределах самого Lotus
Это замечательно и одобряемо, но никто офицера безопасности в админку почтовика не пустит, да и не дело это, ходить по серверам и консолям, когда есть единый центр агрегации событий.
Цитата Сообщение от Alex Ivanov Посмотреть сообщение
lotus notes это скорее рабочее место.
А у вас сервер ? если сервер то наверное lotus Domino ?
относительно почтового сервере - интерпретировать сервер Domino только как почтовый это очень узкое его понимание т.к. почтовая маршрутизация это лишь одна из возможных задач. Domino может быть настроен и как сервер приложение и как сервер СУБД и как центр сертификации и как веб сервер и пр.
Может быть, вчера я впервые узнал о существовании данного решения) Но события надо получать именно связанные с работой почтового сервера.
Цитата Сообщение от Alex Ivanov Посмотреть сообщение
так же в базе Monitoring Configuration (файл events4.nsf) можно настроить чтобы при наступлении определенного события уходило письмо куда-то во внешнюю систему т.е. на внешний почтовый сервер за пределы экосистемы Lotus. Таким оразом вы можете получать информацию в виде писем о всех или нужных событиях в lotus. Далее вы это письмо можете распарсить и класифицировать по вашим правилам на стороне вашего SIEM.
Письма - это очень плохой вариант. Очень мало SIEM умеют работать с электронной почтой, как с источниками событий. Хотелось бы какой-нибудь текстовый лог или, на крайний случай, средство конвертации бинарных логов в текстовые.
0
527 / 90 / 43
Регистрация: 02.02.2013
Сообщений: 378
22.01.2025, 21:34 4
О возможностях

Относительно конвертации бинарной БД в тестовый формат - никаких встроенных инструментов в Лотусе нет т.к. это немного бессмысленно по крайней мере в рамках того как я понимаю термин "конвертация".

В лотусе есть возможность писать скрипты на JS, java, LotusScipt этот механизм можно использовать для отправки нужной информации за пределы лотус (в разных форматах: txt, xml, json и прочее). т.е. можно написать скрипт который будет выгружать нужную информацию их логов в текстовые файлы за пределами лотус. В принципе (если заморочиться), то скрипт может отправлять информацию в системные журналы самого сервера (windows, linux) на котором он работает.

О конвертации

Вам нужно получать информацию в SEIM в режиме реального времени т.е. наступило событие и тут же (или максимально быстро) о этом событии отправилась информация в вашу SEIM?

Инструменты конвертации такого не позволяют по крайней мере это не называется "конвертацией", возможно вы имеет в виду по этим термином что то другое?

О письмах

Ранее я писал о письмах - их предлагалось рассматривать не как конечный объект, куда нужно давать доступ сотрудникам СБ,
а указаны были как промежуточный этап для дальнейшего преобразования данных и загрузку информации из писем, например, в уже в нужную SEIM

О доступе сотрудников СБ

С другой стороны если сотрудник СБ имеет доступ только в SEIM, то даже при наличии данных в отдельных текстовых файлах (после конвертации, о который вы спрашиваете) он тоже может не иметь доступ туда где эти файлы были получены и это не совсем, то что я так понимаю вам требуется. Потому что текстовые файлы так же будут находиться отдельно от SEIM.
Или я ошибаюсь?

О задаче

Чтобы вам посоветовать что-то более менее подходящее, то на самом деле нужно знать более детально, что вам в итоге требуется и вашу схему работы.
  • Куда имеют доступ ваши сотрудники СБ, куда вы готовы им дать доступ?
  • Какие почтовые события вам нужно мониторить ? (прием, отправку, SMTP-статусы, отправителей , получателей, размеры, вложения, почтовые очереди, и пр.?)
  • Нужно чтобы информация о почтовом событии оказалась в итоге вашей SEIM ?
  • Как быстро вам требуется получать информацию о почтовом событии ? если допустима задержка, то насколько большая после наступления события задержка может быть: 10 минут, 30 минут, 1 час, 2 часа и т.д.?
  • Есть ли у вас возможность программирования на стороне Lotus или только за пределами Лотус ?

О решении со стороны SEIM

Так же информация о возможностях вашей SEIM может помощь в выборе решения.
Возможно SEIM поддерживает какие-то способы передачи туда данных (через API, какие то другие протоколы ?)
1
4990 / 1018 / 144
Регистрация: 29.01.2013
Сообщений: 5,961
22.01.2025, 22:22  [ТС] 5
Благодарю вас за столь подробный и развёрнутый ответ.
Цитата Сообщение от Alex Ivanov Посмотреть сообщение
О задаче

Не по теме:

Я не знаю, на сколько вы знакомы с SIEM-системами вообще и на кой они нужны, потому попробую ответить с начала и подробно, на сколько хватит компетенции)


SIEM предназначен для агрегации событий из различного типа источников, нормализации, корреляции, хранения и обеспечения возможности поиска по событиям. В качестве источников могут выступать системные журналы ОС Windows\Linux, лои приложений, результаты выполнения запросов в базу данных, выполнение различных команды в ОС, запросы по API, поступающая информация по протоколу SYSLOG и т.д.
В общем виде, подобные системы предназначены именно для событий информационной безопасности, а, соответственно, в SIEM отправяют следующие виды событий:
- авторизация (успешный вход, выход, попытка входа, подбор пароля, подбор логина и т.п.)
- состояние процессов (запуск, остановка, попытка запуска от пользователя, у которого нет прав, прерывание процесса и т.п.)
- состояние системы (время запуска, учётка, от которой было инициировано выключение системы, система не доступна и т.п.)
- изменение конфигурации (кто, что, когда и на что изменил)
- состояние пользователей (создание, удаление, блокировка, разблокировка, смена паролей, изменение группы и т.п.)
- доступ к ресурсам (чтоние, запись, изменение, удаление, обращение у общим ресурсам по сети и т.п.)
- внешние устройства (подключение, отключение, типы, виды и т.п.)
- системные операции (создание резервных копий, планировщики и т.п.)
- прочее (сюда обычно относят хотелки заказчика в духе "мне надо знать, кто и сколько раз формировал этот отчёт")

Что касается почтового сервера в Lotus Notes, из него требуется получать события авторизации, состояния пользователей, изменения конфигурации и было бы неплохо получать события состояния системы.

Цитата Сообщение от Alex Ivanov Посмотреть сообщение
В лотусе есть возможность писать скрипты на JS, java, LotusScipt этот механизм можно использовать для отправки нужной информации за пределы лотус (в разных форматах: txt, xml, json и прочее).
Это замечательно, но, боюсь, у нас нет достаточно времени на изучение сперва самого Лотуса, а потом ещё и нюансов его скриптописания(
0
22.01.2025, 22:22
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
BasicMan
Эксперт
29316 / 5623 / 2384
Регистрация: 17.02.2009
Сообщений: 30,364
Блог
22.01.2025, 22:22
Помогаю со студенческими работами здесь

Интеграция
Пишу диплом. Не могу разобраться со связью приложений. Мне необходимо создать кнопку, при нажатии на которую происходит открытие MS Access...

Интеграция С++ с 1С
Доброго времени суток! Помогите разобраться в проблеме: есть программа подключения к 1С на с++, локально она работает, при подключении к...

Интеграция с......
Как можно интегрировать свою программу с другими ? например с Вордом. когда выбираешь слово , для контекстного меню добавить пункт...

Интеграция с С++ на С#
Нужно вот этот код переписать с С++ на C#, пожалуйста, сроки поджимают :( #include <iostream> #include <cmath> ...

Интеграция с VK
Добрый день, уважаемые программисты! Подскажите как можно вывести список участников сообщества с vk api чуть чуть нарыл, разобраться никак...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему

Редактор формул (кликните на картинку в правом углу, чтобы закрыть)
Опции темы

Новые блоги и статьи
Присоединяйтесь к вызову «В память о Дилане Буччи»
Programma_Boinc 13.02.2025
Присоединяйтесь к вызову «В память о Дилане Буччи» 19 февраля, базирующаяся в Виннипеге, кибер - академия старшей школы Сислера начнет командный вызов, который продлится 19 дней. Опубликовано:. . .
Микросервис с нуля на Go с Kafka
stackoverflow 12.02.2025
Когда я впервые столкнулся с необходимостью разделить монолитное приложение на микросервисы, передо мной встал вопрос выбора правильных технологий и подходов. После долгих экспериментов с различными. . .
Микросервис с нуля на C# с RabbitMQ
stackoverflow 12.02.2025
Переход от монолитной архитектуры к микросервисной - это не просто модное веяние, а закономерный этап эволюции программных систем. В отличие от монолита, где все компоненты тесно связаны между собой. . .
Docker для начинающих
stackoverflow 12.02.2025
В современном мире разработки программного обеспечения все чаще возникает необходимость быстро и надежно разворачивать приложения в различных средах. Разработчики постоянно сталкиваются с проблемой. . .
Создание бота для Телеграм на C#
stackoverflow 12.02.2025
В современном мире корпоративных коммуникаций Telegram-боты становятся незаменимым средством автоматизации бизнес-процессов и взаимодействия с сотрудниками. Как создать такого бота, который сможет. . .
Операторы сравнения (== и ===) в JavaScript
hw_wired 12.02.2025
JavaScript предоставляет два основных оператора сравнения - оператор нестрогого равенства (==) и оператор строгого равенства (===). На первый взгляд они могут показаться очень похожими, но их. . .
Определение адреса, откуда репозиторий Git был клонирован
hw_wired 12.02.2025
Система контроля версий Git хранит всю информацию о репозитории в специальной директории . git, включая данные об удаленных источниках. Эта информация необходима для синхронизации изменений между. . .
Объединение нескольких коммитов Git в один
hw_wired 12.02.2025
Представьте, что вы работаете над новой функциональностью и создали десяток небольших коммитов: исправление опечатки, форматирование кода, добавление комментариев, реализация основной логики. Каждый. . .
Как добавить локальную ветку в удалённый репозиторий Git
hw_wired 12.02.2025
Локальная ветка в Git - это изолированная линия разработки, существующая только на вашем компьютере. Представьте себе дерево с множеством веток - каждая ветка может расти в своем направлении, не. . .
Статическое отражение в C++
stackoverflow 12.02.2025
Статическое отражение представляет собой мощный механизм, позволяющий программам анализировать и манипулировать своей собственной структурой во время компиляции. Эта возможность открывает. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2025, CyberForum.ru