Перейти к содержимому


Фото
- - - - -

SNMP Zabbix


  • Please log in to reply
53 ответов в этой теме

#41 Raider

Raider

    Newbie

  • Posters
  • 19 Сообщений:

Отправлено 12 Ноябрь 2020 - 16:03

Спасибо.

 

 

I'm glad I could help something)

 

 

лично я заббикс никогда не видел

 

 

Cам недавно познакомился, интересная вещь. Поддерживает и http запросы, поэтому штудирую "Dr.Web Web API для Enterprise Security Suite", может еще что интересное можно будет вытащить с сервера drweb.



#42 APL

APL

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 20 Январь 2021 - 14:24

Присоединяюсь к просьбам предыдущих товарищей. :)  На самом деле очень нужная вещь. По крайней мере - сообщение о вирусах, сообщение о попытке нарушения того, что заблокировано Офисным контролем и т.п. Заббикс получил, тут же в Телеграмм прислал. Сроки реагирования на инциденты существенно сокращаются.



#43 Yngvarr

Yngvarr

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 03 Февраль 2021 - 10:59

Всем добрый день.
Поддержка дала описание syslog сообщений для IBM Tivoli https://support.drweb.ru/process/?ticket=2***-8***&entry=10077112&action=viewentry&page=0&l=0
а я написал парсер (syslog subagent) для этих сообщений для ArcSight. Делюсь:
 
Spoiler

Сообщение было изменено VVS: 03 Февраль 2021 - 17:15
Номера тикетов ТП на форуме публиковать нельзя. И рекомендую пользоваться спойлерами.


#44 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 03 Февраль 2021 - 11:22

Yngvarr, не стоит публиковать номера обращений в саппорт, они доступны без авторизации.

 

Что касается этого syslog для IBM Tivoli – это довольно куцый набор хуков ("пользовательских процедур"), который, конечно, имеет право на жизнь, но его давно перестали актуализировать (если вообще когда-то этим занимались). Например, там нет и наверняка уже не будет детектов превентивки или контроля приложений. В общем, его в существующем виде я б не стал рекомендовать.

Хотя с помощью хуков то, что есть, в принципе можно кастомизировать по своему вкусу, со своими текстами.

 

Но что касается SIEM, то в 14 версии, которая неизвестно, когда выйдет, должно стать сильно проще, наконец появятся нотификации через CEF и RFC 5424.


Семь раз отрежь – один раз проверь

#45 Yngvarr

Yngvarr

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 03 Февраль 2021 - 19:07

Yngvarr, не стоит публиковать номера обращений в саппорт, они доступны без авторизации.

 

Что касается этого syslog для IBM Tivoli – это довольно куцый набор хуков ("пользовательских процедур"), который, конечно, имеет право на жизнь, но его давно перестали актуализировать (если вообще когда-то этим занимались). Например, там нет и наверняка уже не будет детектов превентивки или контроля приложений. В общем, его в существующем виде я б не стал рекомендовать.

Хотя с помощью хуков то, что есть, в принципе можно кастомизировать по своему вкусу, со своими текстами.

 

Но что касается SIEM, то в 14 версии, которая неизвестно, когда выйдет, должно стать сильно проще, наконец появятся нотификации через CEF и RFC 5424.

А какой тогда рекомендованный способ? Web API и SNMP?



#46 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 03 Февраль 2021 - 19:19

А какой тогда рекомендованный способ? Web API и SNMP?

С какой целью саппорт рекомендует WebAPI – я не знаю, оттуда можно вытащить ещё меньше, чем позволяют готовые хуки "для Tivoli".

SNMP – рекомендовать можно, но с кучей оговорок (нет готовых коннекторов, часто в корпоративных сетях запрещена передача пакетов SNMP и т.д.). Но во всяком случае, этот метод актуален, про него никто не забывает при развитии продукта.

Производители SIEM, которые выступают инициатором интеграции, пока что тащат нужные события вообще напрямую из БД. Тут снова оговорки. Во-первых, готовых вьюх, как у конкурентов, у нас нет, так что нет страховки от изменений в схеме БД. Во-вторых, там встречается много ещё не документированных числовых кодов.

В принципе, можно пользоваться хуками по аналогии с готовыми "для Tivoli", либо просто их дополнить по своему вкусу. Но для этого нужно писать код на Lua, хоть и довольно примитивный.

 

В общем, все доступные варианты имеют заметные недостатки, каждый свои.


Семь раз отрежь – один раз проверь

#47 Yngvarr

Yngvarr

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 05 Февраль 2021 - 10:04

 

А какой тогда рекомендованный способ? Web API и SNMP?

С какой целью саппорт рекомендует WebAPI – я не знаю, оттуда можно вытащить ещё меньше, чем позволяют готовые хуки "для Tivoli".

SNMP – рекомендовать можно, но с кучей оговорок (нет готовых коннекторов, часто в корпоративных сетях запрещена передача пакетов SNMP и т.д.). Но во всяком случае, этот метод актуален, про него никто не забывает при развитии продукта.

Производители SIEM, которые выступают инициатором интеграции, пока что тащат нужные события вообще напрямую из БД. Тут снова оговорки. Во-первых, готовых вьюх, как у конкурентов, у нас нет, так что нет страховки от изменений в схеме БД. Во-вторых, там встречается много ещё не документированных числовых кодов.

В принципе, можно пользоваться хуками по аналогии с готовыми "для Tivoli", либо просто их дополнить по своему вкусу. Но для этого нужно писать код на Lua, хоть и довольно примитивный.

 

В общем, все доступные варианты имеют заметные недостатки, каждый свои.

 

А есть описание всех типов trap и переменных? 



#48 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 05 Февраль 2021 - 10:31

А есть описание всех типов trap и переменных?

Есть, в виде MIB:

etc/DRWEB-MIB.txt

etc/DRWEB-ESUITE-MIB.txt

etc/DRWEB-ESUITE-NOTIFICATIONS-MIB.txt


Семь раз отрежь – один раз проверь

#49 Evgeny_N

Evgeny_N

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 17 Ноябрь 2022 - 14:26

DrWeb(Test).xml

А не могли бы еще раз поделиться шаблоном?

Или может есть продолжение развития интеграции Zabbix и Dr.Web?



#50 Evgeny_N

Evgeny_N

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 17 Ноябрь 2022 - 14:56

Так же есть вопрос по настройке SNMP агента.

Есть Dr.web 13 + Windows Server 2019.

Интрефейс - это только ip адрес без маски?

 

Далее я пытаюсь опросить адрес сервера с помощью программы iReasoning MIB Browser, на что получаю ответ что  адреc недоступен (timed out). Что я мог упустить в настройке? Адрес сообщества правильный, порт поменял на 161 (или всё же оставить 1161?)



#51 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 17 Ноябрь 2022 - 15:30

Так же есть вопрос по настройке SNMP агента.

Вам нужна текущая статистика или события (угрозы, блокировки и т.п.)?


Семь раз отрежь – один раз проверь

#52 Evgeny_N

Evgeny_N

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 17 Ноябрь 2022 - 15:39

Статистика более интересна, но если есть вариант перехват событий то тоже не плохо.



#53 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 17 Ноябрь 2022 - 15:50

Я к чему – события рассылаются snmp trap'ами, которые к snmp agent не имеют вообще никакого отношения. Но конкретно здесь обсуждались именно trap'ы и zabbix.

 

Так вот, интерфейс – либо адрес интерфейса, либо 0.0.0.0 для ipv4 и [::] для ipv6, если нужно слушать на всех интерфейсах.

Порт 161 – даже на винде, где мы работаем ещё под system, в привилегированные порты лучше не залезать без нужды, потому как system не вечен, когда-либо выпилим.

Что касается timed out – велкам с детальными логами сервера в отдельную тему.

 

Хотя что касается snmp agent – я бы предложил сперва осмотреть DRWEB-ESUITE-STAT-MIB.txt, действительно ли там то, что Вам нужно.


Семь раз отрежь – один раз проверь

#54 Evgeny_N

Evgeny_N

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 17 Ноябрь 2022 - 15:59

Я к чему – события рассылаются snmp trap'ами, которые к snmp agent не имеют вообще никакого отношения. Но конкретно здесь обсуждались именно trap'ы и zabbix.

 

Так вот, интерфейс – либо адрес интерфейса, либо 0.0.0.0 для ipv4 и [::] для ipv6, если нужно слушать на всех интерфейсах.

Порт 161 – даже на винде, где мы работаем ещё под system, в привилегированные порты лучше не залезать без нужды, потому как system не вечен, когда-либо выпилим.

Что касается timed out – велкам с детальными логами сервера в отдельную тему.

 

Хотя что касается snmp agent – я бы предложил сперва осмотреть DRWEB-ESUITE-STAT-MIB.txt, действительно ли там то, что Вам нужно.

Спасибо, то что я хотел.




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых