Битрикс24
Данная инструкция описывает настройку сбора событий на сервере Битрикс24 и последующей отправки в R-Vision SIEM:
Предварительные требования
-
Сетевая доступность сервера СУБД источника для каждого узла кластера SIEM.
-
Учетная запись в СУБД с правами на чтение таблицы b_event_log.
Настройка Битрикс24
Настроить, какие события будут записываться в журнал и сколько по времени они будут храниться, можно в разделе: Настройки → Настройки продукта → Настройки модулей → Главный модуль → Журнал событий.
|
Чтобы посмотреть журнал, перейдите в раздел Настройки → Инструменты → Журнал событий. События журнала записываются в СУБД MySQL в таблицу b_event_log , которая обычно используется системой Битрикс24 для хранения событий. |
Перечень возможных событий в Битрикс24:
-
успешный вход;
-
выход из системы;
-
ошибки входа;
-
ошибки доступа к файлам;
-
блокировка пользователя;
-
регистрация нового пользователя;
-
ошибки регистрации;
-
запросы на смену пароля;
-
смена пароля;
-
редактирование пользователя;
-
удаление пользователя;
-
изменение групп пользователя;
-
изменение политики безопасности группы;
-
изменение доступа к модулю;
-
изменение доступа к файлу;
-
изменение уровня доступа;
-
установка и удаление решений из Marketplace.
Настройка в R-Vision SIEM
-
В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:
-
Перейдите в Ресурсы → Секреты → Создать:
-
В раскрывшемся окне создания секрета заполните поля:
-
Описание (опционально): опишите, для чего будет использоваться секрет.
-
Тип секрета: выберите вариант Строка подключения.
-
Строка подключения — введите строку вида:
jdbc:mysql://<address>:<port>/<database>?user=<user>&password=<password>где:
-
<address>— адрес сервера базы. -
<port>— порт подключения. -
<database>— имя базы событий аудита. -
<user>— логин пользователя базы. -
<password>— пароль пользователя базы.Пример 1. Пример строки подключенияjdbc:mysql://192.0.2.70:3306/sitemanager1?user=user&password=password
-
-
-
Нажмите на кнопку Создать.
-
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Database.
-
Драйвер базы данных: выберите вариант MySQL.
-
Адрес подключения: выберите секрет, созданный ранее.
-
SQL-запрос — введите запрос вида:
SELECT ID as ident,TIMESTAMP_X,SEVERITY,AUDIT_TYPE_ID,MODULE_ID, ITEM_ID,REMOTE_ADDR,USER_AGENT,REQUEST_URI,USER_ID,DESCRIPTION, "Bitrix24" as appname FROM <database>.b_event_log WHERE ID > ?;Здесь
<database>— имя БД событий аудита. -
Поле идентификатора: введите ключ
identсо значением1. -
Интервал запроса, секунд: введите значение
15.
-
-
Добавьте на конвейер элемент Нормализатор с правилом 1С-Битрикс Битрикс 24 (идентификатор RV-N-3).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
Если настройка передачи событий выполнена корректно, в хранилище начнут поступать события Битрикс24.
|
Найти события Битрикс24 в хранилище можно по следующему фильтру:
|
Таблица маппинга
В рамках таблицы маппинга приведено сопоставление между полями в Битрикс24 и полями универсальной модели R-Vision SIEM:
| Поле события | Значение поля |
|---|---|
|
"ООО "1С-Битрикс"" |
|
"Bitrix24" |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
