Настройки отправки событий в UEBA и SIEM

Система R-Vision Endpoint позволяет отправлять данные о событиях в системы R-Vision UEBA и R-Vision SIEM для дальнейшей работы с ними в этих системах. Передаваемые данные включают в себя оповещения о событиях и архив событий.

Настройка передачи событий в R-Vision UEBA

Чтобы настроить передачу событий из R-Vision Endpoint в R-Vision UEBA:

  1. На сервере R-Vision UEBA настройте доступ к СУБД ClickHouse. Для этого в файле /opt/sense/docker-compose.prod.yml в разделе clickhouse добавьте следующие строки:

    ports:
  - '4123:8123'

  2. На сервере R-Vision UEBA перезапустите ClickHouse с помощью команды:

    $ docker-compose -f /opt/sense/docker-compose.prod.yml up -d clickhouse

  3. На сервере R-Vision Endpoint в файле /opt/rpoint/.env.master:

    1. Раскомментируйте переменную UEBA_CONFIG, убрав около нее символ #.

    2. Измените переменную CH_HOST, указав в ней адрес сервера UEBA, например:

      CH_HOST=sense.coe.rvision.local

  4. На сервере R-Vision Endpoint перезапустите контейнер Vector с помощью команды:

    $ systemctl restart endpoint-single-node

    Настройка процесса передачи событий из R-Vision Endpoint в R-Vision UEBA выполнена.

Настройка передачи событий в R-Vision SIEM

Чтобы настроить передачу событий из R-Vision Endpoint в R-Vision SIEM:

  1. Настройте R-Vision SIEM на прием событий от R-Vision Endpoint.

  2. На сервере R-Vision Endpoint в файле /opt/rpoint/.env.master:

    1. Раскомментируйте переменную SIEM_CONFIG, убрав около нее символ #.

    2. Измените переменные SIEM_HOST и SIEM_PORT, указав в них адрес сервера и порт конвейера SIEM соответственно, например:

      SIEM_HOST=siem.local
SIEM_PORT=30000

  3. На сервере R-Vision Endpoint перезапустите контейнер Vector с помощью следующей команды:

    $ systemctl restart endpoint-single-node

    Настройка процесса передачи событий из R-Vision Endpoint в R-Vision SIEM выполнена.

Настройка хранения данных о событиях

Система R-Vision Endpoint позволяет настроить продолжительность хранения в буферных файлах данных о событиях, передаваемых в R-Vision UEBA и R-Vision SIEM. Эта опция полезна при необходимости повторной отправки архива спустя некоторое время.

Чтобы настроить продолжительность хранения данных о событиях:

  1. Перейдите в директорию /opt/rpoint/.env.master.

  2. Откройте файл .env.master.

  3. Укажите значения следующих параметров:

    • KEEP_LOG_ALERTS — определяет количество дней хранения оповещений о событиях, например:

      KEEP_LOG_ALERTS=30

    • KEEP_LOG_ARCHIVES — определяет количество дней хранения архива событий, например:

      KEEP_LOG_ARCHIVES=30

  4. Сохраните файл.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение