Битрикс24
Данная инструкция описывает настройку сбора событий на сервере Битрикс24 и последующей отправки в R-Vision SIEM:
Предварительные требования
-
Сетевой доступ к БД Битрикс24.
-
Учетная запись в СУБД с правами на чтение таблицы b_event_log.
Настройка в Битрикс24
Настроить, какие события будут записываться в журнал и сколько по времени они будут храниться, можно в разделе: Настройки → Настройки продукта → Настройки модулей → Главный модуль → Журнал событий.
|
Чтобы просмотреть журнал, перейдите в раздел Настройки → Инструменты → Журнал событий События журнала записываются в СУБД MySQL в таблицу b_event_log , которая обычно используется системой Битрикс24 для хранения событий. |
Перечень возможных событий в Битрикс24:
-
успешный вход;
-
выход из системы;
-
ошибки входа;
-
ошибки доступа к файлам;
-
блокировка пользователя;
-
регистрация нового пользователя;
-
ошибки регистрации;
-
запросы на смену пароля;
-
смена пароля;
-
редактирование пользователя;
-
удаление пользователя;
-
изменение групп пользователя;
-
изменение политики безопасности группы;
-
изменение доступа к модулю;
-
изменение доступа к файлу;
-
изменение уровня доступа;
-
установка и удаление решений из Marketplace.
Настройка в R-Vision SIEM
Создание секрета
Добавьте секрет для подключения к базе Битрикс24 в разделе Ресурсы → Секреты со следующими параметрами:
-
Тип секрета — Строка подключения;
-
Строка подключения — строка вида:
jdbc:mysql://<address>:<port>/<database>?user=<user>&password=<password>где:
-
<address>— адрес сервера базы; -
<port>— порт подключения; -
<database>— имя базы событий аудита; -
<user>— логин пользователя базы; -
<password>— пароль пользователя базы.Пример 1. Пример строки подключенияjdbc:mysql://192.0.2.70:3306/sitemanager1?user=user&password=password
-
Настройка конвейера для сбора событий аудита
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте в конвейер элемент Точка входа типа Database со следующими параметрами:
-
Драйвер базы данных — MySQL
-
Адрес подключения — выберите созданный ранее секрет;
-
SQL запрос:
SELECT ID as ident,TIMESTAMP_X,SEVERITY,AUDIT_TYPE_ID,MODULE_ID, ITEM_ID,REMOTE_ADDR,USER_AGENT,REQUEST_URI,USER_ID,DESCRIPTION, "Bitrix24" as appname FROM <database>.b_event_log WHERE ID > ?;Здесь
<database>— имя БД событий аудита. -
Поле идентификатора —
identсо значением1 -
Интервал запроса —
15
-
-
Добавьте Нормализатор с правилом 1С-Битрикс Битрикс 24 (идентификатор
RV-N-3). Соедините нормализатор с точкой входа. -
Добавьте элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера
Если настройка выполнена корректно, то в хранилище начнут поступать события источника.
Таблица маппинга
В рамках таблицы маппинга приведено сопоставление между полями в Битриск24 и полями универсальной модели R-Vision SIEM:
| Поле события | Значение поля |
|---|---|
|
"ООО "1С-Битрикс"" |
|
"Битрикс 24" |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
