R-Vision Endpoint

R-Vision SIEM получает события из систем, которые сконфигурированы в качестве источника событий в конвейере коллектора. Систему R-Vision SIEM можно интегрировать с системой R-Vision Endpoint для получения базовых событий с хостов, на которых развернуты агенты Endpoint.

Настройка интеграции состоит из следующих этапов:

  1. Настройка получения событий в системе R-Vision SIEM.

  2. Настройка отправки событий из системы R-Vision Endpoint.

Настройка R-Vision SIEM

Информация о событиях поступает в систему через коллектор, где R-Vision Endpoint настроен в качестве точки входа на конвейере. Для того чтобы события могли поступать в коллектор, необходимо, чтобы в конвейере точка входа и конечная точка были объединены в последовательность, а конфигурация конвейера была установлена на коллекторе.

Выполните следующие действия в системе R-Vision SIEM для настройки получения событий:

  1. Настройка точки входа.

  2. Настройка конечной точки.

  3. Объединение элементов конвейера.

Настройка точки входа

Чтобы настроить точку входа:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. Нажмите на стрелку (chevron down) в строке конвейера. Отобразится карточка конвейера.

  5. Нажмите на кнопку Конфигурация конвейера в нижней части карточки. Отобразится диаграмма конфигурации конвейера.

  6. Удостоверьтесь, что в выпадающем списке Версия на панели инструментов в окне конфигурации конвейера выбран вариант Черновик.

  7. Нажмите на кнопку Добавить элемент и выберите из выпадающего списка пункт Точка входа. Отобразится окно добавления точки входа.

  8. При необходимости выберите шаблон для автоматического заполнения полей точки входа. По умолчанию выбран вариант Без шаблона.

  9. Укажите название точки входа.

  10. Выберите R-Vision Endpoint из выпадающего списка поля Тип точки входа.

  11. В отобразившемся поле Порт точки входа укажите номер порта для обмена данными между точкой входа и клиентом. Допустимый диапазон: 30000—​32767. Значение должно быть уникальным в рамках кластера.

  12. Установите флажок Сохранить как шаблон, если настройку точки входа необходимо сохранить в качестве шаблона для дальнейшего использования.

  13. Нажмите Добавить. Новая точка входа отобразится на схеме.

Настройка конечной точки

Чтобы настроить конечную точку:

  1. Из окна Конфигурация конвейера нажмите на кнопку Добавить элемент и выберите из выпадающего списка пункт Конечная точка. Отобразится окно добавления конечной точки.

  2. При необходимости выберите шаблон для автоматического заполнения полей конечной точки. По умолчанию выбран вариант Без шаблона.

  3. Заполните поля (набор и содержание полей могут отличаться в зависимости от типа точки):

    • Название конечной точки.

    • Тип конечной точки.

    • Формат конечной точки.

  4. Установите флажок Сохранить как шаблон, если настройку конечной точки необходимо сохранить в качестве шаблона для дальнейшего использования.

  5. Нажмите Добавить. Новая конечная точка отобразится на схеме.

Объединение элементов конвейера

После завершения настройки точки входа и конечной точки, объедините их в последовательность. Чтобы связать элементы, наведите курсор на круглую метку, расположенную на правой стороне точки входа. Курсор примет вид крестика. Перетащите крестик к метке на левой стороне конечной точки. Оба элемента будут связаны. Связь будет представлена ребрами, которые определяют последовательность выполнения этапов и направление потока событий.

Нажмите на кнопку Установить конфигурацию в левом верхнем углу над диаграммой конфигурации. Текущая конфигурация конвейера будет загружена на коллектор, порты для получения событий будут открыты.

Настройка R-Vision Endpoint

Отправка событий из системы Endpoint настраивается в файле /opt/rpoint/.env.master на сервере управления R-Vision Endpoint.

Чтобы настроить отправку событий из R-Vision Endpoint в R-Vision SIEM, выполните следующие действия в системе Endpoint:

  1. На сервере управления R-Vision Endpoint задайте значения переменных SIEM_PORT и SIEM_HOST в файле /opt/rpoint/.env.master, указав в них порт точки входа SIEM и адрес сервера SIEM.

  2. На сервере управления R-Vision Endpoint перезапустите контейнер Vector с помощью следующей команды:

    systemctl restart endpoint-single-node

Настройка процесса передачи событий из R-Vision Endpoint в R-Vision SIEM выполнена. События поступают в систему SIEM согласно конфигурации конвейера.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение