Интеграция с SIEM

Интеграция с SIEM осуществляется через API DosGate. Процесс включает в себя получение данных о профилях, правилах и метках, а также их отправку в SIEM.

Требования

  • Настроенный и доступный DosGate с API.
  • Доступ к SIEM для передачи логов.
  • CURL или аналогичный инструмент для выполнения API-запросов.

1. Получение списка профилей выбранной арены.

Запрос позволяет получить список всех профилей для указанной арены.

curl --location 'http://<node_ip>/fapi' \
--header 'Content-Type: application/json' \
--data '{
    "url": "arena://<arena>",
    "cmd": "list"
}'

2. Получение списка правил для профиля

Для каждой арены можно запросить полный список правил профиля.

curl --location 'http://<node_ip>/fapi' \
--header 'Content-Type: application/json' \
--data '{
    "url": "profile://<arena>/<profile>",
    "cmd": "list"
}'

3. Получение записей меток

Каждая запись содержит информацию о соединениях, узлах или событиях, зафиксированных системой.

Поддерживаемые типы записей (marktype):

  • shost (hmark) – записи по источнику;
  • dhost (dmark) - записи по получателю;
  • sdhost (sdhmark) - записи по соединениям;
  • conn (connmark) - записи по соединениям с расширенными параметрами.

Ограничения и рекомендации

  • Запрос не чаще 1 раза в 3 секунды.
  • Время выборки 100 000 записей ≈ 1,1 секунды.
  • Размер ответа ~4,8 МБ.

Пример запроса: 

curl --location 'http://<node_ip>/fapi' \
--header 'User-Arena: first' \
--header 'Content-Type: application/json' \
--data '{
    "url": "mark://<arena>/<profile>",
    "type": "<marktype>",
    "cmd": "list"
}

4 Передача данных в SIEM

Для передачи данных в SIEM необходимо указать временной отпечаток (время получения данных) и имя ноды (особенно важно в случае нескольких серверов DosGate).

Рекомендуется также передавать название профиля и арены для упрощения дальнейшего анализа, поскольку профили могут иметь различные правила и условия.

Если поле lifetime не используется, его можно исключить из передачи. Важно также передать набор правил, сопоставив их с записями из меток с помощью ID или value.

5 Повторное обращение

Интервал повторных запросов выбирается в зависимости от нагрузки, но не менее 3 секунд между запросами. Повторить п.4.