СКАЧАТЬ Описание:
Шаблон для Антивирус Dr.Web для файловых серверов UNIX
Элементы данных
проверка файлов байт в минуту total-scanned-files 60 90d 365d SNMPv2 агент Активировано
Количество обнаруженных подозрительных угроз в минуту suspicious-viruses-count 60 90d 365d SNMPv2 агент Активировано
drweb-traps файл DrWeb-ловушки snmptrap[".29690."] 90d SNMP trap Активировано
Количество обнаруженных угроз в минуту riskware-count 60 90d 365d SNMPv2 агент Активировано
Количество найденных угроз известных вирусов в минуту known-viruses-count 60 90d 365d SNMPv2 агент Активировано
Количество найденных угроз шутки в минуту joke-count 60 90d 365d SNMPv2 агент Активировано
Количество найденных угроз в минуту hacktool-count 60 90d 365d SNMPv2 агент Активировано
Дозвонщик угроз dialer-count 60 90d 365d SNMPv2 агент Активировано
Угроза-рекламное ПО adware-count 60 90d 365d SNMPv2 агент Активировано
Графики
проверка файлов drweb: количество отсканированных байт в минуту 900 200 Стэкируемый
DrWeb обнаружил вредоносное ПО (угроз в минуту) 900 200 Нормальный
файл snmptt.drweb.zabbix.conf
snmptt.drweb.zabbix.conf
Показать
#
# custom snmptt.conf with drweb-snmpd's traps customized format for Zabbix
#
EVENT threatAlert .1.3.6.1.4.1.29690.2.1.1 "Status Event" Critical
FORMAT ZBXTRAP $aA $1 $2 $3 $4
SDESC
Threat detection alert.
Variables:
1: fileName
2: virusType
3: virusName
4: origin
EDESC
EVENT threatActionErrorAlert .1.3.6.1.4.1.29690.2.1.2 "Status Event" Critical
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7
SDESC
Threat has not been neutralized
Variables:
1: fileName
2: virusType
3: virusName
4: origin
5: error
6: errorCode
7: action
EDESC
EVENT componentFailureAlert .1.3.6.1.4.1.29690.2.1.3 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3
SDESC
Component failure alert.
Variables:
1: componentName
2: exitCodeDescription
3: exitCode
EDESC
EVENT infectedUrlAlert .1.3.6.1.4.1.29690.2.1.4 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12
SDESC
Blocking infected URL alert.
Variables:
1: url
2: direction
3: virusType
4: virusName
5: origin
6: srcIp
7: srcPort
8: dstIp
9: dstPort
10: sniHost
11: exePath
12: userName
EDESC
EVENT infectedEmailAttachmentAlert .1.3.6.1.4.1.29690.2.1.5 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12 $13 $14 $15 $16 $17
SDESC
Infected mail attachment alert.
Variables:
1: virusType
2: virusName
3: origin
4: socket
5: mailFrom
6: rcptTo
7: messageId
8: action
9: divert
10: srcIp
11: srcPort
12: dstIp
13: dstPort
14: sniHost
15: protocol
16: exePath
17: userName
EDESC
EVENT categoryUrlAlert .1.3.6.1.4.1.29690.2.1.6 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10
SDESC
Blocking category URL alert.
Variables:
1: url
2: urlCategory
3: origin
4: srcIp
5: srcPort
6: dstIp
7: dstPort
8: sniHost
9: exePath
10: userName
EDESC
EVENT categoryUrlEmailAttachmentAlert .1.3.6.1.4.1.29690.2.1.7 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12 $13 $14 $15 $16
SDESC
Category URL detected in email attachment alert.
Variables:
1: urlCategory
2: origin
3: socket
4: mailFrom
5: rcptTo
6: messageId
7: action
8: divert
9: srcIp
10: srcPort
11: dstIp
12: dstPort
13: sniHost
14: protocol
15: exePath
16: userName
EDESC
EVENT spamEmailAlert .1.3.6.1.4.1.29690.2.1.8 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12 $13 $14 $15
SDESC
Spam email detected alert.
Variables:
1: origin
2: socket
3: mailFrom
4: rcptTo
5: messageId
6: action
7: divert
8: srcIp
9: srcPort
10: dstIp
11: dstPort
12: sniHost
13: protocol
14: exePath
15: userName
EDESC
EVENT blockedConnectionAlert .1.3.6.1.4.1.29690.2.1.9 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10
SDESC
Blocked connection alert.
Variables:
1: origin
2: divert
3: srcIp
4: srcPort
5: dstIp
6: dstPort
7: sniHost
8: protocol
9: exePath
10: userName
EDESC
# custom snmptt.conf with drweb-snmpd's traps customized format for Zabbix
#
EVENT threatAlert .1.3.6.1.4.1.29690.2.1.1 "Status Event" Critical
FORMAT ZBXTRAP $aA $1 $2 $3 $4
SDESC
Threat detection alert.
Variables:
1: fileName
2: virusType
3: virusName
4: origin
EDESC
EVENT threatActionErrorAlert .1.3.6.1.4.1.29690.2.1.2 "Status Event" Critical
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7
SDESC
Threat has not been neutralized
Variables:
1: fileName
2: virusType
3: virusName
4: origin
5: error
6: errorCode
7: action
EDESC
EVENT componentFailureAlert .1.3.6.1.4.1.29690.2.1.3 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3
SDESC
Component failure alert.
Variables:
1: componentName
2: exitCodeDescription
3: exitCode
EDESC
EVENT infectedUrlAlert .1.3.6.1.4.1.29690.2.1.4 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12
SDESC
Blocking infected URL alert.
Variables:
1: url
2: direction
3: virusType
4: virusName
5: origin
6: srcIp
7: srcPort
8: dstIp
9: dstPort
10: sniHost
11: exePath
12: userName
EDESC
EVENT infectedEmailAttachmentAlert .1.3.6.1.4.1.29690.2.1.5 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12 $13 $14 $15 $16 $17
SDESC
Infected mail attachment alert.
Variables:
1: virusType
2: virusName
3: origin
4: socket
5: mailFrom
6: rcptTo
7: messageId
8: action
9: divert
10: srcIp
11: srcPort
12: dstIp
13: dstPort
14: sniHost
15: protocol
16: exePath
17: userName
EDESC
EVENT categoryUrlAlert .1.3.6.1.4.1.29690.2.1.6 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10
SDESC
Blocking category URL alert.
Variables:
1: url
2: urlCategory
3: origin
4: srcIp
5: srcPort
6: dstIp
7: dstPort
8: sniHost
9: exePath
10: userName
EDESC
EVENT categoryUrlEmailAttachmentAlert .1.3.6.1.4.1.29690.2.1.7 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12 $13 $14 $15 $16
SDESC
Category URL detected in email attachment alert.
Variables:
1: urlCategory
2: origin
3: socket
4: mailFrom
5: rcptTo
6: messageId
7: action
8: divert
9: srcIp
10: srcPort
11: dstIp
12: dstPort
13: sniHost
14: protocol
15: exePath
16: userName
EDESC
EVENT spamEmailAlert .1.3.6.1.4.1.29690.2.1.8 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12 $13 $14 $15
SDESC
Spam email detected alert.
Variables:
1: origin
2: socket
3: mailFrom
4: rcptTo
5: messageId
6: action
7: divert
8: srcIp
9: srcPort
10: dstIp
11: dstPort
12: sniHost
13: protocol
14: exePath
15: userName
EDESC
EVENT blockedConnectionAlert .1.3.6.1.4.1.29690.2.1.9 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10
SDESC
Blocked connection alert.
Variables:
1: origin
2: divert
3: srcIp
4: srcPort
5: dstIp
6: dstPort
7: sniHost
8: protocol
9: exePath
10: userName
EDESC
Для подключения Dr.Web SNMPD к системе мониторинга Zabbix в каталоге <opt_dir>/share/drweb-snmpd/connectors/zabbix поставляются следующие файлы шаблонов.
Файл Описание
zbx_drweb.xml Шаблон описания наблюдаемого хоста с установленным антивирусным продуктом Dr.Web
snmptt.drweb.zabbix.conf Настройки приемника SMNP trap snmptt
Шаблон описания наблюдаемого хоста содержит:
•Набор описаний счетчиков (Items, в терминологии Zabbix). По умолчанию шаблон настроен на использование SNMP v2.
•Набор настроенных графиков: количество проверенных файлов и распределение обнаруженных угроз по типам.
Подключение хоста к Zabbix
В данной инструкции предполагается, что система мониторинга Zabbix уже корректно развернута на сервере мониторинга, а на наблюдаемом установлен и корректно функционирует Dr.Web SNMPD (возможно, в режиме прокси совместно с snmpd). Кроме того, если планируется получать с наблюдаемого хоста оповещения SNMP trap (в частности, об обнаружении угроз Dr.Web для файловых серверов UNIX), на сервере мониторинга также должен быть установлен пакет net-snmp (используются стандартные утилиты snmptt и snmptrapd).
1.В веб-интерфейсе Zabbix, на вкладке Configuration –> Templates, импортируйте шаблон наблюдаемого хоста из каталога <opt_dir>/share/drweb-snmpd/connectors/zabbix/zbx_drweb.xml.
2.Добавьте наблюдаемый хост в список хостов (используйте ссылку Hosts –> Create host). Укажите параметры хоста и корректные настройки SNMP-интерфейса (должны соответствовать настройкам drweb-se и snmpd на хосте):
•Вкладка Host:
Host name: drweb-host
Visible name: DRWEB_HOST
Groups: выбрать Linux servers
Agent interfaces: укажите IP-адрес и порт Dr.Web SNMPD (127.0.0.1 и 10050 по умолчанию).
Snmp interfaces: Нажмите add и укажите IP-адрес и порт, который прослушивается snmptrapd на хосте с Zabbix (см. ниже, 127.0.0.1 и 161 по умолчанию).
•Вкладка Templates:
Нажмите Add, отметьте DRWEB, нажмите select.
•Вкладка Macros:
Macro: {$SNMP_COMMUNITY}
Value: укажите «read community» для SNMP V2c (по умолчанию – public).
Нажмите Save.
Примечание: Макрос {$SNMP_COMMUNITY} можно указать непосредственно в шаблоне хоста.
По умолчанию импортированный шаблон DRWEB настроен на использование версии SNMP v2. Если требуется использовать другую версию SNMP, его необходимо отредактировать на соответствующей странице редактирования шаблона.
3.После привязки шаблона к наблюдаемому хосту, если настройки SNMP корректны, система мониторинга Zabbix начнет сбор данных для счетчиков (items), содержащихся в шаблоне, на вкладках веб-интерфейса Monitoring –> Latest Data и Monitoring –> Graphs будут отображаться собранные данные счетчиков.
4.Специальный item drweb-traps служит для сбора SNMP trap от Dr.Web SNMPD. Журнал полученных оповещений SNMP trap доступен на странице Monitoring –> Latest Data –> drweb-traps –> history. Для сбора оповещений Zabbix использует стандартные утилиты snmptt и snmptrapd из пакета net-snmp. О их настройке для получения SNMP trap от Dr.Web SNMPD см. ниже.
5.В случае необходимости, имеется возможность настроить для добавленного наблюдаемого хоста триггер, изменяющий свое состояние при получении SNMP trap от Dr.Web SNMPD. Изменение состояния этого триггера можно использовать как источник событий для формировать соответствующих нотификаций. Триггер для наблюдаемого хоста добавляется стандартным способом, ниже показан пример выражения, указываемого в поле trigger expression для описанного триггера:
({TRIGGER.VALUE}=0 & {DRWEB:snmptrap[.*\.1\.3\.6\.1\.4\.1\.29690\..*].nodata(60)}=1 )|({TRIGGER.VALUE}=1 & {DRWEB:snmptrap[.*\.1\.3\.6\.1\.4\.1\.29690\..*].nodata(60)}=0)
Данный триггер срабатывает (устанавливается в значение 1), если журнал оповещений SNMP trap от Dr.Web SNMPD был обновлен в течение минуты. Если же журнал в течение минуты не обновлялся, то триггер выключается (меняет состояние на 0).
Настройка приема SNMP trap для Zabbix
1.На наблюдаемом хосте в настройках Dr.Web SNMPD (SNMPD.TrapReceiver) указывается адрес, который прослушивается snmptrapd на хосте с Zabbix, например:
SNMPD.TrapReceiver = 10.20.30.40:162
2.В конфигурационном файле snmptrapd (snmptrapd.conf) указывается тот же адрес, а также приложение, которое будет обрабатывать полученные SNMP trap (в данном случае – snmptthandler, компонент snmptt):
snmpTrapdAddr 10.20.30.40:162
traphandle default /usr/sbin/snmptthandler
3.Компонент snmptthandler сохраняет принимаемые оповещения SNMP trap в файл на диске в соответствии с указанным форматом, который должен соответствовать регулярному выражению, заданному в шаблоне хоста для Zabbix (item drweb-traps). Формат сохраняемого сообщения об SNMP trap поставляется в файле <opt_dir>/share/drweb-snmpd/connectors/zabbix/snmptt.drweb.zabbix.conf. Этот файл необходимо скопировать в каталог /etc/snmp.
4.Кроме этого, путь к файлам формата необходимо указать в конфигурационном файле snmptt.ini:
[TrapFiles]
# A list of snmptt.conf files (this is NOT the snmptrapd.conf file).
# The COMPLETE path and filename. Ex: '/etc/snmp/snmptt.conf'
snmptt_conf_files = <<END
/etc/snmp/snmptt.conf
/etc/snmp/snmptt.drweb.zabbix.conf
END
После этого, если snmptt запущен в режиме демона, то его надо перезапустить.
5.В конфигурационном файле сервера Zabbix (zabbix-server.conf) необходимо задать (или проверить наличие) следующих настроек:
SNMPTrapperFile=/var/log/snmptt/snmptt.log
StartSNMPTrapper=1
где /var/log/snmptt/snmptt.log - это файл журнала, в который snmptt записывает информацию о поступивших оповещениях SNMP trap.
Подробнее с официальной документацией по Zabbix вы можете ознакомиться по ссылке https://www.zabbix.com/documentation/.
Мои mib файлы (внизу поста)
Мои Преобразования