Bind DNS
Данное руководство описывает процесс настройки сбора и отправки событий Bind DNS в R-Vision SIEM.
Настройка Bind DNS
В настоящем руководстве рассматривается передача событий с помощью службы syslog-ng. Предполагается, что syslog-ng на станции с ОС Linux уже установлен.
Настройка журналирования Bind DNS
Для настройки журналирования Bind DNS выполните следующие действия:
-
Добавьте в файл
/etc/bind/named.confследующую строку:include "/etc/bind/named.conf.local"; -
Добавьте в файл
/etc/bind/named.conf.localследующие строки:logging { channel default_channel { file "/var/log/named/default.log"; print-time yes; print-category yes; print-severity yes; severity dynamic; }; channel general_channel { file "/var/log/named/general.log"; print-time yes; print-category yes; print-severity yes; severity dynamic; }; channel notify_channel { file "/var/log/named/notify.log"; print-time yes; print-category yes; print-severity yes; severity dynamic; }; channel network_channel { file "/var/log/named/network.log"; print-time yes; print-category yes; print-severity yes; severity dynamic; }; channel queries_channel { file "/var/log/named/queries.log"; print-time yes; print-category yes; print-severity yes; severity dynamic; }; channel query-errors_channel { file "/var/log/named/query-errors.log"; print-time yes; print-category yes; print-severity yes; severity dynamic; }; channel lame-servers_channel { file "/var/log/named/lame-servers.log"; print-time yes; print-category yes; print-severity yes; severity dynamic; }; category default { default_channel; }; category general { general_channel; }; category notify { notify_channel; }; category network { network_channel; }; category queries { queries_channel; }; category query-errors { query-errors_channel; }; category lame-servers { lame-servers_channel; }; }; -
Перезапустите сервис bind9-pkcs11 с помошью команды:
# systemctl restart bind9-pkcs11.service
Журналирование Bind DNS настроено.
Отправка событий Bind DNS
Для настройки передачи событий из файлов Bind DNS выполните следующие действия:
-
Создайте файл
/etc/syslog-ng/conf.d/binddns-siem.confсо следующим содержимым:source binddns { file("/var/log/bind/default.log" flags(no-parse) log_prefix("BIND-DNS-default: ")); file("/var/log/bind/general.log" flags(no-parse) log_prefix("BIND-DNS-general: ")); file("/var/log/bind/queries.log" flags(no-parse) log_prefix("BIND-DNS-queries: ")); file("/var/log/bind/query-errors.log" flags(no-parse) log_prefix("BIND-DNS-query-errors: ")); # в случае необходимости, остальные файлы можно добавить по аналогии }; destination siem { udp("<target>" port(<port>)); # указать IP и порт точки входа SIEM }; log { source(binddns); destination(siem); };Здесь:
-
<target>— IP-адрес или полное доменное имя (FQDN) коллектора SIEM. -
<port>— порт точки входа Syslog на конвейере SIEM.
-
-
Перезапустите сервис syslog-ng с помощью команды:
# systemctl restart syslog-ng
Отправка событий Bind DNS настроена.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Добавьте на конвейер элемент Нормализатор с правилами Bind DNS (идентификаторы правил: RV-N-14, RV-N-15, RV-N-16, RV-N-17, RV-N-142).
-
Соедините точку входа с нормализатором.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
При необходимости добавьте на конвейер элемент Шина, настроенный на получение. Он используется для проброса событий между конвейерами.
-
Соедините конечную точку и шину с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Bind DNS.
|
Найти события Bind DNS в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
