Сбор событий с агентов

Данное руководство описывает процесс настройки сбора событий с агентов и их дальнейшей обработки в коллекторе.

О сборе событий с агентов

Агенты позволяют собирать следующие события на устройствах, на которых они установлены:

входы и выходы пользователей;
создание процессов;
добавление или изменение сервисов;
управление пользователями;
действия с объектами.

Настройки сбора событий задаются в конфигурации группы агентов.

Подробности о сборе событий на агентах и их структуре приведены в разделе Сбор событий ИБ на агентах.

Для сбора и обработки событий с агентов на конвейере необходимо подключить агент к центральному кластеру системы с помощью шлюза, а затем настроить получение событий из этого шлюза через точку входа R-Vision Endpoint.

Настройка конфигурации для сбора событий с агентов и их дальнейшей обработки в коллекторе включает следующие этапы:

Подключение агента к центральному кластеру
Настройка сбора событий и обработки событий с агента
Включение коллектора и установка конфигурации конвейеров

Подключение агента к центральному кластеру

Чтобы подключить агент к центральному кластеру системы, обратитесь к следующим разделам:

Подключение агента к кластеру — если необходимо подключение без шифрования.
Подключение агента с шифрованием — если необходимо TLS-шифрование соединения.

После подключения агента откройте карточку шлюза и скопируйте его идентификатор. Для этого:

Перейдите в раздел Агенты → Шлюзы. Система отобразит сведения об имеющихся шлюзах.
Нажмите на строку шлюза, через который агент был подключен к кластеру. Система отобразит в правой части экрана карточку этого шлюза с подробной информацией о нем.
Скопируйте значение поля ID шлюза в буфер обмена.

Настройка сбора событий и обработки событий с агента

Создание коллектора

Чтобы создать коллектор:

Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах.
Нажмите на кнопку Создать (). Отобразится окно создания коллектора.
Введите название коллектора.
Выберите подключение к центральному пространству.

Укажите ресурсы, выделяемые для работы коллектора: количество ядер процессора в поле CPU и объем оперативной памяти в поле RAM. Значения можно вводить в полях или изменять с помощью кнопок plus и minus .

При наведении курсора на поля CPU и RAM отображаются подсказки с количеством доступных ресурсов в каждом узле кластера Kubernetes.
Ресурсы, выделенные на работу коллектора, не используются в распределенной корреляции.

При необходимости введите описание коллектора.
При необходимости выберите уровень логирования из выпадающего списка Уровень логирования. Доступны следующие значения:
- Error — записываются критические ошибки, которые могут влиять на работоспособность коллектора или препятствовать работе коллектора.
- Warn — записываются предупреждения о потенциальных проблемах, которые могут требовать внимания, но не являются критическими.
- Info — записывается общая информация о работе и состоянии коллектора.
- Debug — записываются подробные отладочные сообщения, которые могут использоваться для диагностики и устранения проблем с коллектором.
- Trace — самый подробный уровень логирования, предоставляющий внутреннюю информацию о каждом шаге работы коллектора.
Нажмите на кнопку Создать. Система создаст коллектор и отобразит соответствующее уведомление. Новый коллектор появится в списке раздела Ресурсы → Коллекторы.

Создание конвейера

Чтобы добавить конвейер:

Находясь в разделе Ресурсы → Коллекторы, нажмите на строку коллектора, созданного на предыдущем шаге. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.
Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.
В нижней части окна нажмите на кнопку Добавить. На экране отобразится окно добавления конвейера.
Введите название конвейера.

При необходимости введите описание конвейера.

Установите флажок Открыть конфигурацию конвейера, чтобы сразу перейти в окно настроек конфигурации конвейера после его создания.

Нажмите на кнопку Добавить. Система создаст конвейер и отобразит соответствующее уведомление. Новый конвейер появится в списке на вкладке Конвейеры в карточке коллектора.

Добавление точки входа R-Vision Endpoint

Точка входа типа R-Vision Endpoint предназначена для получения событий с агентов.

Чтобы добавить точку входа R-Vision Endpoint на конвейер:

Откройте конфигурацию конвейера, созданного на предыдущем шаге. Для этого:
1. Находясь на вкладке Конвейеры в карточке коллектора, нажмите на кнопку в строке конвейера. Отобразится карточка конвейера.
2. Нажмите на кнопку Конфигурация конвейера в нижней части карточки. Отобразится диаграмма конфигурации конвейера.
Удостоверьтесь, что в выпадающем списке Версия на панели инструментов в окне конфигурации конвейера выбран вариант Черновик.
Нажмите на кнопку Добавить элемент и выберите из выпадающего списка пункт Точка входа. Отобразится окно добавления точки входа.
Введите название точки входа.
Выберите тип точки входа R-Vision Endpoint.

Введите домен для подключения к шлюзу в формате gw-<gateway_id>. Здесь <gateway_id> — идентификатор шлюза, скопированный на шаге Подключение агента к центральному кластеру.

Например, для шлюза с идентификатором 0f1c5440-5e56-4d0e-bd8b-ea9eb43f28d2 необходимо указать следующий домен:

gw-0f1c5440-5e56-4d0e-bd8b-ea9eb43f28d2

Нажмите на кнопку Добавить. Новая точка входа отобразится на диаграмме конфигурации.

Настройка обработки событий

При необходимости добавьте на конвейер прочие элементы для дополнительной обработки и анализа событий.

Пример:

Представим, что агент установлен на устройстве с ОС Windows и с него поступают события авторизации пользователей.

Пример события

{
  "raw": {
    "agent": {
      "id": "0ccaa170-25a7-5a0e-a748-f52d118833b1",
      "ip": "198.51.100.0",
      "name": "rpoint-agent-windows.rvision.local",
    },
    "data": {
      "win": {
        "eventdata": {
          "authenticationPackageName": "NTLM",
          "elevatedToken": "%%1843",
          "impersonationLevel": "%%1833",
          "ipAddress": "203.0.113.0",
          "ipPort": "0",
          "keyLength": "128",
          "lmPackageName": "NTLM V2",
          "logonGuid": "{00000000-0000-0000-0000-000000000000}",
          "logonProcessName": "NtLmSsp",
          "logonType": "3",
          "processId": "0x0",
          "subjectLogonId": "0x0",
          "subjectUserSid": "S-1-0-0",
          "targetDomainName": "rpoint-agent-windows.rvision.local",
          "targetLinkedLogonId": "0x0",
          "targetLogonId": "0x1449da49",
          "targetUserName": "user",
          "targetUserSid": "S-1-5-21-3815204242-447739961-2007627207-1002",
          "virtualAccount": "%%1843"
        },
        "system": {
          "channel": "Security",
          "computer": "rpoint-agent-windows.rvision.local",
          "eventID": "4624",
          "eventRecordID": "23886",
          "keywords": "0x8020000000000000",
          "level": "0",
          "message": "\"\"",
          "opcode": "0",
          "processID": "688",
          "providerGuid": "{54849625-5478-4994-a5ba-3e3b0328c30d}",
          "providerName": "Microsoft-Windows-Security-Auditing",
          "severityValue": "AUDIT_SUCCESS",
          "systemTime": "2025-06-13T12:19:13.0793292Z",
          "task": "12544",
          "threadID": "11552",
          "version": "2"
        }
      }
    },
    "decoder": {
      "name": "windows_eventchannel"
    },
    "id": "1663071375.6890634",
    "location": "EventChannel",
    "manager": {
      "name": "rpoint-agent.rvision.local"
    },
    "rule": {
      "description": "Successful Remote Logon Detected - NTLM authentication, possible pass-the-hash attack.",
      "firedtimes": 1,
      "gdpr": [
        "IV_32.2"
      ],
      "gpg13": [
        "7.1",
        "7.2"
      ],
      "groups": [
        "win_evt_channel",
        "authentication_success"
      ],
      "hipaa": [
        "164.312.b"
      ],
      "id": "92652",
      "level": 6,
      "mail": false,
      "mitre": {
        "id": [
          "T1550.002"
        ],
        "tactic": [
          "Defense Evasion",
          "Lateral Movement"
        ],
        "technique": [
          "Pass the Hash"
        ]
      },
      "nist_800_53": [
        "AC.7",
        "AU.14"
      ],
      "pci_dss": [
        "10.2.5"
      ],
      "tsc": [
        "CC6.8",
        "CC7.2",
        "CC7.3"
      ]
    },
    "timestamp": "2025-06-13T15:16:15.696+0300"
  }
}

Пусть нам требуется сохранять только записи об успешном входе пользователей в систему. Для этого добавим дополнительные элементы конвейера:

Основные данные о событии хранятся в поле raw. Чтобы упростить работу с этими данными, мы можем перезаписать все событие только данными из поля raw.

Для этого добавим VRL-трансформацию со следующим кодом:

. = .raw

Пример события после VRL-преобразования

{
  "agent": {
    "id": "0ccaa170-25a7-5a0e-a748-f52d118833b1",
    "ip": "198.51.100.0",
    "name": "rpoint-agent-windows.rvision.local"
  },
  "data": {
    "win": {
      "eventdata": {
        "authenticationPackageName": "NTLM",
        "elevatedToken": "%%1843",
        "impersonationLevel": "%%1833",
        "ipAddress": "203.0.113.0",
        "ipPort": "0",
        "keyLength": "128",
        "lmPackageName": "NTLM V2",
        "logonGuid": "{00000000-0000-0000-0000-000000000000}",
        "logonProcessName": "NtLmSsp",
        "logonType": "3",
        "processId": "0x0",
        "subjectLogonId": "0x0",
        "subjectUserSid": "S-1-0-0",
        "targetDomainName": "rpoint-agent-windows.rvision.local",
        "targetLinkedLogonId": "0x0",
        "targetLogonId": "0x1449da49",
        "targetUserName": "user",
        "targetUserSid": "S-1-5-21-3815204242-447739961-2007627207-1002",
        "virtualAccount": "%%1843"
      },
      "system": {
        "channel": "Security",
        "computer": "rpoint-agent-windows.rvision.local",
        "eventID": "4624",
        "eventRecordID": "23886",
        "keywords": "0x8020000000000000",
        "level": "0",
        "message": "\"\"",
        "opcode": "0",
        "processID": "688",
        "providerGuid": "{54849625-5478-4994-a5ba-3e3b0328c30d}",
        "providerName": "Microsoft-Windows-Security-Auditing",
        "severityValue": "AUDIT_SUCCESS",
        "systemTime": "2025-06-13T12:19:13.0793292Z",
        "task": "12544",
        "threadID": "11552",
        "version": "2"
      }
    }
  },
  "decoder": {
    "name": "windows_eventchannel"
  },
  "id": "1663071375.6890634",
  "location": "EventChannel",
  "manager": {
    "name": "rpoint-agent.rvision.local"
  },
  "rule": {
    "description": "Successful Remote Logon Detected - NTLM authentication, possible pass-the-hash attack.",
    "firedtimes": 1,
    "gdpr": [
      "IV_32.2"
    ],
    "gpg13": [
      "7.1",
      "7.2"
    ],
    "groups": [
      "win_evt_channel",
      "authentication_success"
    ],
    "hipaa": [
      "164.312.b"
    ],
    "id": "92652",
    "level": 6,
    "mail": false,
    "mitre": {
      "id": [
        "T1550.002"
      ],
      "tactic": [
        "Defense Evasion",
        "Lateral Movement"
      ],
      "technique": [
        "Pass the Hash"
      ]
    },
    "nist_800_53": [
      "AC.7",
      "AU.14"
    ],
    "pci_dss": [
      "10.2.5"
    ],
    "tsc": [
      "CC6.8",
      "CC7.2",
      "CC7.3"
    ]
  },
  "timestamp": "2025-06-13T15:16:15.696+0300"
}

Соединим выход из точки входа со входом VRL-трансформации.
Чтобы из всего потока событий получить только те, которые относятся к успешному входу в систему, необходимо настроить фильтрацию.

В Windows Security Log записи об успешном входе имеют идентификатор 4624. Идентификатор записи хранится в поле .data.win.system.eventID. Таким образом, нам необходимо получить события, в поле .data.win.system.eventID которых содержится значение 4624.

Для этого добавим фильтр со следующим условием:
```
(to_string(.data.win.system.eventID) ?? "") == "4624"
```
Соединим выход из VRL-трансформации со входом фильтра.

Настройка отправки событий на хранение

Чтобы отправить событие на хранение, необходимо добавить на конвейер конечную точку типа Хранилище событий. Для этого:

Нажмите на кнопку Добавить элемент и выберите из выпадающего списка пункт Конечная точка. Отобразится окно добавления конечной точки.
Введите название конечной точки.
Выберите тип конечной точки Хранилище событий.
Выберите хранилище событий, в котором необходимо сохранять события.
Нажмите на кнопку Добавить. Новая конечная точка отобразится на диаграмме конфигурации.
Соедините выходы точки входа или дополнительных элементов со входом конечной точки.