Интеграция с R-Vision Endpoint

Поддержка R-Vision Endpoint будет прекращена в ближайших версиях системы. Для работы с агентами рекомендуется использовать встроенный функционал системы. Подробности приведены в разделе Переход с агентов R-Vision Endpoint на системные агенты.

Система получает события из внешних систем, которые сконфигурированы в качестве источника событий на конвейере коллектора. Систему можно интегрировать с R-Vision Endpoint для получения базовых событий с хостов, на которых развернуты агенты Endpoint.

Настройка интеграции состоит из следующих этапов:

  1. Настройка получения событий в системе.

  2. Настройка отправки событий из R-Vision Endpoint.

Настройка системы

Информация о событиях поступает в систему через коллектор, где R-Vision Endpoint настроен в качестве точки входа на конвейере. Для того чтобы события могли поступать в коллектор, необходимо, чтобы на конвейере точка входа и конечная точка были объединены в последовательность, а конфигурация конвейера была установлена в коллекторе.

Выполните следующие действия в системе для настройки получения событий:

  1. Настройка точки входа.

  2. Настройка конечной точки.

  3. Объединение элементов конвейера.

Настройка точки входа

Чтобы настроить точку входа:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах.

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. Нажмите на стрелку (chevron down) в строке конвейера. Отобразится карточка конвейера.

  5. Нажмите на кнопку Конфигурация конвейера в нижней части карточки. Отобразится диаграмма конфигурации конвейера.

  6. Удостоверьтесь, что в выпадающем списке Версия на панели инструментов в окне конфигурации конвейера выбран вариант Черновик.

  7. Нажмите на кнопку Добавить элемент и выберите из выпадающего списка пункт Точка входа. Отобразится окно добавления точки входа.

  8. При необходимости выберите шаблон для автоматического заполнения полей точки входа. По умолчанию выбран вариант Без шаблона.

  9. Укажите название точки входа.

  10. Выберите R-Vision Endpoint из выпадающего списка поля Тип точки входа.

  11. В отобразившемся поле Порт точки входа укажите номер порта для обмена данными между точкой входа и клиентом. Допустимый диапазон: 30000—​32767. Значение должно быть уникальным в рамках кластера.

  12. Установите флажок Сохранить как шаблон, если настройку точки входа необходимо сохранить в качестве шаблона для дальнейшего использования.

  13. Нажмите Добавить. Новая точка входа отобразится на диаграмме конфигурации.

Настройка конечной точки

Чтобы настроить конечную точку:

  1. Из окна Конфигурация конвейера нажмите на кнопку Добавить элемент и выберите из выпадающего списка пункт Конечная точка. Отобразится окно добавления конечной точки.

  2. При необходимости выберите шаблон для автоматического заполнения полей конечной точки. По умолчанию выбран вариант Без шаблона.

  3. Заполните поля (набор и содержание полей могут отличаться в зависимости от типа точки):

    • Название конечной точки.

    • Тип конечной точки.

    • Формат конечной точки.

  4. Установите флажок Сохранить как шаблон, если настройку конечной точки необходимо сохранить в качестве шаблона для дальнейшего использования.

  5. Нажмите Добавить. Новая конечная точка отобразится на диаграмме конфигурации.

Объединение элементов конвейера

После завершения настройки точки входа и конечной точки, объедините их в последовательность. Чтобы связать элементы, наведите курсор на круглую метку, расположенную на правой стороне точки входа. Курсор примет вид крестика. Перетащите крестик к метке на левой стороне конечной точки. Оба элемента будут связаны. Связь будет представлена ребрами, которые определяют последовательность выполнения этапов и направление потока событий.

Нажмите на кнопку Установить конфигурацию в левом верхнем углу над диаграммой конфигурации. Текущая конфигурация конвейера будет загружена в коллектор, порты для получения событий будут открыты.

Настройка R-Vision Endpoint

Отправка событий из системы Endpoint настраивается в файле /opt/rpoint/.env.master на сервере управления R-Vision Endpoint.

Чтобы настроить отправку событий из R-Vision Endpoint в систему, выполните следующие действия в системе Endpoint:

  1. На сервере управления R-Vision Endpoint задайте значения переменных SIEM_PORT и SIEM_HOST в файле /opt/rpoint/.env.master, указав в них порт точки входа системы и адрес сервера системы.

  2. На сервере управления R-Vision Endpoint перезапустите контейнер Vector с помощью следующей команды:

    systemctl restart endpoint-single-node

Настройка процесса передачи событий из R-Vision Endpoint в систему выполнена. События поступают в систему согласно конфигурации конвейера.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь