DRWEB_SNMPv2

Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 701
Стаж: 3 года 11 месяцев
Откуда: Вологодская область
Поблагодарили: 25 раз
Контактная информация:

DRWEB_SNMPv2

Сообщение Артём Мамзиков »

Шаблон DRWEB_SNMPv2

СКАЧАТЬ
DRWEB_SNMPv2.zip
DRWEB_SNMPv2.zip
(2.47 КБ) 0 скачиваний
DrWeb snmp.zip
DrWeb snmp.zip
(63.46 КБ) 0 скачиваний
Шаблон DRWEB_SNMPv2
Шаблон DRWEB_SNMPv2
Описание:
Шаблон для Антивирус Dr.Web для файловых серверов UNIX

Элементы данных
проверка файлов байт в минуту total-scanned-files 60 90d 365d SNMPv2 агент Активировано

Количество обнаруженных подозрительных угроз в минуту suspicious-viruses-count 60 90d 365d SNMPv2 агент Активировано

drweb-traps файл DrWeb-ловушки snmptrap[".29690."] 90d SNMP trap Активировано

Количество обнаруженных угроз в минуту riskware-count 60 90d 365d SNMPv2 агент Активировано

Количество найденных угроз известных вирусов в минуту known-viruses-count 60 90d 365d SNMPv2 агент Активировано

Количество найденных угроз шутки в минуту joke-count 60 90d 365d SNMPv2 агент Активировано

Количество найденных угроз в минуту hacktool-count 60 90d 365d SNMPv2 агент Активировано

Дозвонщик угроз dialer-count 60 90d 365d SNMPv2 агент Активировано

Угроза-рекламное ПО adware-count 60 90d 365d SNMPv2 агент Активировано


Графики
проверка файлов drweb: количество отсканированных байт в минуту 900 200 Стэкируемый

DrWeb обнаружил вредоносное ПО (угроз в минуту) 900 200 Нормальный

файл snmptt.drweb.zabbix.conf
snmptt.drweb.zabbix.conf
Показать
#
# custom snmptt.conf with drweb-snmpd's traps customized format for Zabbix
#
EVENT threatAlert .1.3.6.1.4.1.29690.2.1.1 "Status Event" Critical
FORMAT ZBXTRAP $aA $1 $2 $3 $4
SDESC

Threat detection alert.
Variables:
1: fileName
2: virusType
3: virusName
4: origin
EDESC

EVENT threatActionErrorAlert .1.3.6.1.4.1.29690.2.1.2 "Status Event" Critical
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7
SDESC

Threat has not been neutralized
Variables:
1: fileName
2: virusType
3: virusName
4: origin
5: error
6: errorCode
7: action
EDESC

EVENT componentFailureAlert .1.3.6.1.4.1.29690.2.1.3 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3
SDESC

Component failure alert.
Variables:
1: componentName
2: exitCodeDescription
3: exitCode
EDESC

EVENT infectedUrlAlert .1.3.6.1.4.1.29690.2.1.4 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12
SDESC

Blocking infected URL alert.
Variables:
1: url
2: direction
3: virusType
4: virusName
5: origin
6: srcIp
7: srcPort
8: dstIp
9: dstPort
10: sniHost
11: exePath
12: userName
EDESC

EVENT infectedEmailAttachmentAlert .1.3.6.1.4.1.29690.2.1.5 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12 $13 $14 $15 $16 $17
SDESC

Infected mail attachment alert.
Variables:
1: virusType
2: virusName
3: origin
4: socket
5: mailFrom
6: rcptTo
7: messageId
8: action
9: divert
10: srcIp
11: srcPort
12: dstIp
13: dstPort
14: sniHost
15: protocol
16: exePath
17: userName
EDESC

EVENT categoryUrlAlert .1.3.6.1.4.1.29690.2.1.6 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10
SDESC

Blocking category URL alert.
Variables:
1: url
2: urlCategory
3: origin
4: srcIp
5: srcPort
6: dstIp
7: dstPort
8: sniHost
9: exePath
10: userName
EDESC

EVENT categoryUrlEmailAttachmentAlert .1.3.6.1.4.1.29690.2.1.7 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12 $13 $14 $15 $16
SDESC

Category URL detected in email attachment alert.
Variables:
1: urlCategory
2: origin
3: socket
4: mailFrom
5: rcptTo
6: messageId
7: action
8: divert
9: srcIp
10: srcPort
11: dstIp
12: dstPort
13: sniHost
14: protocol
15: exePath
16: userName
EDESC

EVENT spamEmailAlert .1.3.6.1.4.1.29690.2.1.8 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12 $13 $14 $15
SDESC

Spam email detected alert.
Variables:
1: origin
2: socket
3: mailFrom
4: rcptTo
5: messageId
6: action
7: divert
8: srcIp
9: srcPort
10: dstIp
11: dstPort
12: sniHost
13: protocol
14: exePath
15: userName
EDESC

EVENT blockedConnectionAlert .1.3.6.1.4.1.29690.2.1.9 "Status Event" Warning
FORMAT ZBXTRAP $aA $1 $2 $3 $4 $5 $6 $7 $8 $9 $10
SDESC

Blocked connection alert.
Variables:
1: origin
2: divert
3: srcIp
4: srcPort
5: dstIp
6: dstPort
7: sniHost
8: protocol
9: exePath
10: userName
EDESC
Интеграция с системой мониторинга Zabbix
Для подключения Dr.Web SNMPD к системе мониторинга Zabbix в каталоге <opt_dir>/share/drweb-snmpd/connectors/zabbix поставляются следующие файлы шаблонов.
Файл Описание
zbx_drweb.xml Шаблон описания наблюдаемого хоста с установленным антивирусным продуктом Dr.Web
snmptt.drweb.zabbix.conf Настройки приемника SMNP trap snmptt
Шаблон описания наблюдаемого хоста содержит:
•Набор описаний счетчиков (Items, в терминологии Zabbix). По умолчанию шаблон настроен на использование SNMP v2.
•Набор настроенных графиков: количество проверенных файлов и распределение обнаруженных угроз по типам.
Подключение хоста к Zabbix
В данной инструкции предполагается, что система мониторинга Zabbix уже корректно развернута на сервере мониторинга, а на наблюдаемом установлен и корректно функционирует Dr.Web SNMPD (возможно, в режиме прокси совместно с snmpd). Кроме того, если планируется получать с наблюдаемого хоста оповещения SNMP trap (в частности, об обнаружении угроз Dr.Web для файловых серверов UNIX), на сервере мониторинга также должен быть установлен пакет net-snmp (используются стандартные утилиты snmptt и snmptrapd).
1.В веб-интерфейсе Zabbix, на вкладке Configuration –> Templates, импортируйте шаблон наблюдаемого хоста из каталога <opt_dir>/share/drweb-snmpd/connectors/zabbix/zbx_drweb.xml.
2.Добавьте наблюдаемый хост в список хостов (используйте ссылку Hosts –> Create host). Укажите параметры хоста и корректные настройки SNMP-интерфейса (должны соответствовать настройкам drweb-se и snmpd на хосте):
•Вкладка Host:
Host name: drweb-host
Visible name: DRWEB_HOST
Groups: выбрать Linux servers
Agent interfaces: укажите IP-адрес и порт Dr.Web SNMPD (127.0.0.1 и 10050 по умолчанию).
Snmp interfaces: Нажмите add и укажите IP-адрес и порт, который прослушивается snmptrapd на хосте с Zabbix (см. ниже, 127.0.0.1 и 161 по умолчанию).
•Вкладка Templates:
Нажмите Add, отметьте DRWEB, нажмите select.
•Вкладка Macros:
Macro: {$SNMP_COMMUNITY}
Value: укажите «read community» для SNMP V2c (по умолчанию – public).
Нажмите Save.
Примечание: Макрос {$SNMP_COMMUNITY} можно указать непосредственно в шаблоне хоста.
По умолчанию импортированный шаблон DRWEB настроен на использование версии SNMP v2. Если требуется использовать другую версию SNMP, его необходимо отредактировать на соответствующей странице редактирования шаблона.
3.После привязки шаблона к наблюдаемому хосту, если настройки SNMP корректны, система мониторинга Zabbix начнет сбор данных для счетчиков (items), содержащихся в шаблоне, на вкладках веб-интерфейса Monitoring –> Latest Data и Monitoring –> Graphs будут отображаться собранные данные счетчиков.
4.Специальный item drweb-traps служит для сбора SNMP trap от Dr.Web SNMPD. Журнал полученных оповещений SNMP trap доступен на странице Monitoring –> Latest Data –> drweb-traps –> history. Для сбора оповещений Zabbix использует стандартные утилиты snmptt и snmptrapd из пакета net-snmp. О их настройке для получения SNMP trap от Dr.Web SNMPD см. ниже.
5.В случае необходимости, имеется возможность настроить для добавленного наблюдаемого хоста триггер, изменяющий свое состояние при получении SNMP trap от Dr.Web SNMPD. Изменение состояния этого триггера можно использовать как источник событий для формировать соответствующих нотификаций. Триггер для наблюдаемого хоста добавляется стандартным способом, ниже показан пример выражения, указываемого в поле trigger expression для описанного триггера:
({TRIGGER.VALUE}=0 & {DRWEB:snmptrap[.*\.1\.3\.6\.1\.4\.1\.29690\..*].nodata(60)}=1 )|({TRIGGER.VALUE}=1 & {DRWEB:snmptrap[.*\.1\.3\.6\.1\.4\.1\.29690\..*].nodata(60)}=0)
Данный триггер срабатывает (устанавливается в значение 1), если журнал оповещений SNMP trap от Dr.Web SNMPD был обновлен в течение минуты. Если же журнал в течение минуты не обновлялся, то триггер выключается (меняет состояние на 0).
Настройка приема SNMP trap для Zabbix
1.На наблюдаемом хосте в настройках Dr.Web SNMPD (SNMPD.TrapReceiver) указывается адрес, который прослушивается snmptrapd на хосте с Zabbix, например:
SNMPD.TrapReceiver = 10.20.30.40:162
2.В конфигурационном файле snmptrapd (snmptrapd.conf) указывается тот же адрес, а также приложение, которое будет обрабатывать полученные SNMP trap (в данном случае – snmptthandler, компонент snmptt):
snmpTrapdAddr 10.20.30.40:162
traphandle default /usr/sbin/snmptthandler
3.Компонент snmptthandler сохраняет принимаемые оповещения SNMP trap в файл на диске в соответствии с указанным форматом, который должен соответствовать регулярному выражению, заданному в шаблоне хоста для Zabbix (item drweb-traps). Формат сохраняемого сообщения об SNMP trap поставляется в файле <opt_dir>/share/drweb-snmpd/connectors/zabbix/snmptt.drweb.zabbix.conf. Этот файл необходимо скопировать в каталог /etc/snmp.
4.Кроме этого, путь к файлам формата необходимо указать в конфигурационном файле snmptt.ini:
[TrapFiles]
# A list of snmptt.conf files (this is NOT the snmptrapd.conf file).
# The COMPLETE path and filename. Ex: '/etc/snmp/snmptt.conf'
snmptt_conf_files = <<END
/etc/snmp/snmptt.conf
/etc/snmp/snmptt.drweb.zabbix.conf
END
После этого, если snmptt запущен в режиме демона, то его надо перезапустить.
5.В конфигурационном файле сервера Zabbix (zabbix-server.conf) необходимо задать (или проверить наличие) следующих настроек:
SNMPTrapperFile=/var/log/snmptt/snmptt.log
StartSNMPTrapper=1
где /var/log/snmptt/snmptt.log - это файл журнала, в который snmptt записывает информацию о поступивших оповещениях SNMP trap.
Подробнее с официальной документацией по Zabbix вы можете ознакомиться по ссылке https://www.zabbix.com/documentation/.



Мои mib файлы (внизу поста)
Мои Преобразования
количество слов: 950

Вернуться в «Прочие различные шаблоны»