Перейти к основному содержимому
Версия: Пульт 2.3.0

pult-siem

pult-siemопциональный интеграционный сервис экспорта событий журнала аудита Пульта во внешнюю SIEM/SOC-систему (Syslog RFC 5424, полезная нагрузка CEF). Его разворачивают при интеграции с системой мониторинга безопасности; для таких сценариев компонент фактически обязателен.

Подготовка

  1. Создайте в PostgreSQL базу данных для SIEM-модуля (например, siem) и пользователя с правами на неё. БД SIEM не обязана находиться на том же инстансе PostgreSQL, что и основная БД Пульта — в примере ниже используется общий сервис postgresql в docker-сети.

  2. Убедитесь, что pult-siem имеет доступ к основной БД Пульта (куда пишет pult-server) — параметры ZABBIX_POSTGRES_*.

  3. Подготовьте файл .env_siem и переменные для pult-web.

Сервис в docker-compose.yml

Добавьте сервис pult-siem в docker-compose.yml:

pult-siem:
image: registry.pult.chislitellab.ru:8123/releases/2.3.0/siem-redos8:7.4.9
container_name: pult-siem
restart: unless-stopped
ports:
- "18083:8000"
env_file:
- .env_siem
depends_on:
- postgresql

Порт 18083:8000 пробрасывает API SIEM на хост (18083 — внешний порт).

Пример .env_siem

# Настройки БД SIEM (может быть отдельный инстанс PostgreSQL)
MODULE_POSTGRES_HOST=postgresql
MODULE_POSTGRES_PORT=5432
MODULE_POSTGRES_DB=siem
MODULE_POSTGRES_USER=pult
MODULE_POSTGRES_PASSWORD=changeme

# Настройки основной БД Пульт (куда пишет pult-server)
ZABBIX_POSTGRES_HOST=postgresql
ZABBIX_POSTGRES_PORT=5432
ZABBIX_POSTGRES_DB=pult
ZABBIX_POSTGRES_USER=pult
ZABBIX_POSTGRES_PASSWORD=changeme

# Настройки сервиса SIEM
APP_HOST=0.0.0.0
APP_PORT=8000
JWT_SECRET=<jwt_secret>
JWT_ALGORITHM=HS256
ALLOW_ANON_AUTH=true
CORS_ALLOW_CREDENTIALS=true
CORS_ALLOWED_ORIGINS=["*"]
# CORS_ALLOWED_ORIGINS=["http://<external_pult-web_hostname>:<port>"]

AUDIT_NOTIFY_CHANNEL=audit_events
AUDIT_BATCH_SIZE=100
AUDIT_LOG_TABLE=auditlog

Настройка pult-web

Добавьте переменные в конфигурацию pult-web (файл .env_pultweb, env_file или блок environment):

# SIEM
SIEM_JWT_SECRET=<jwt_secret>
SIEM_API_URL=http://<external_host_ip>:18083
ПеременнаяОписание
SIEM_JWT_SECRETДолжен совпадать с JWT_SECRET в .env_siem для pult-siem
SIEM_API_URLВнешний URL SIEM: http://<IP_или_hostname_хоста>:18083

Важно: SIEM_JWT_SECRETpult-web) и JWT_SECRET.env_siem) — одно и то же значение.

Запуск

docker compose up -d pult-siem pult-web

После изменения переменных окружения перезапустите затронутые сервисы:

docker compose up -d pult-siem pult-web

Активация модуля интеграции с SIEM в Web UI Пульта

Для активации модуля интеграции с SIEM перейдите в АдминистрированиеОбщиеМодули.

siem-module1

Введите в поле Имя название модуля Управление интеграцией с SIEM, нажмите Применить и смените состояние модуля на «Активировано».

Если модуль не найден, нажмите Сканировать директорию.

siem-module2

Состояние модуля станет «Активировано».

siem-module3

В разделе Администрирование появится пункт Управление интеграцией с SIEM.

siem-module4