Гарда DBF

Данное руководство описывает процесс настройки сбора и отправки событий комплекса Гарда DBF в R-Vision SIEM.

Настройка Гарда DBF

Система позволяет отправлять события безопасности во внешние системы посредством syslog. Для настройки передачи система требует ввести шаблон сообщения syslog. В рамках инструкции подготовлены шаблоны для передачи событий.

Для настройки передачи событий syslog на Гарда DBF:

Войдите в консоль администратора Гарда DBF.
Перейдите на вкладку Настройки → Системные настройки → Экспорт в SIEM.
Настройте экспорт данных по политикам.
Настройте экспорт журналов.
Настройте экспорт аномалий.

Настройка экспорта данных по политикам

В разделе Политики создайте шаблон экспорта данных по политике в SIEM. Для этого нажмите на кнопку Добавить новый шаблон ().

Заполните поля:

Название: укажите название шаблона политики.
IP-адрес/Доменное имя: укажите IP-адрес коллектора SIEM.
Порт: укажите порт, который настроен в SIEM для приема событий источника.
Протокол: выберите протокол, настроенный в SIEM.
Формат: выберите формат CEF.

Формат сообщения:

dst=$GardaDB.peer_ip;src=$GardaDB.uni_ip;dpt=$GardaDB.peer_port;spt=$GardaDB.uni_port;cs1=$GardaDB.time;cs1Label=Время;cs2=$GardaDB.sql_text;cs2Label=Запрос;cs3=$GardaDB.sql_var;cs3Label=Переменные;cs4=$GardaDB.sql_response;cs4Label=Ответ;cs5=$GardaDB.sql_objects;cs5Label=Таблицы;cs6=$GardaDB.sql_users;cs6Label=Пользователи;cs7=$GardaDB.sql_columns;cs7Label=Поля;cs8=$GardaDB.req_size;cs8Label=РазмерЗапроса;cs9=$GardaDB.resp_size;cs9Label=РазмерОтвета;cs10=$GardaDB.resp_line_count;cs10Label=СтрокВОтвете;cs11=$GardaDB.continuance;cs11Label=Продолжительность;cs12=$GardaDB.sql_error;cs12Label=ТекстОшибки;cs13=$GardaDB.db_name;cs13Label=ИмяБД;cs14=$GardaDB.sql_db_name;cs14Label=ЭкземплярБД;cs15=$GardaDB.policy_name;cs15Label=Политика;cs16=$GardaDB.sniffer_name;cs16Label=Анализатор;cs17=$GardaDB.db_login;cs17Label=ЛогинБД;cs18=$GardaDB.os_login;cs18Label=ЛогинОС;cs19=$GardaDB.sql_program;cs19Label=ИмяПрограммы;cs20=$GardaDB.sql_machine;cs20Label=ИмяКомпьютера;cs21=$GardaDB.sql_auth;cs21Label=Аутентификация;cs22=$GardaDB.ldap_name;cs22Label=ФИО;cs23=$GardaDB.ldap_dep;cs23Label=Подразделение;cs24=$GardaDB.ldap_pos;cs24Label=Должность;cs25=$GardaDB.ldap_email;cs25Label=Email;cs26=$GardaDB.add_field_1;cs26Label=Доп1;cs27=$GardaDB.add_field_2;cs27Label=Доп2;cs28=$GardaDB.add_field_3;cs28Label=Доп3;cs29=$GardaDB.add_field_4;cs29Label=Доп4;cs30=$GardaDB.add_field_5;cs30Label=Доп5;cs31=$GardaDB.profiling_details;cs32=https://127.0.0.1/#/Search/SearchById/$GardaDB.object_id_for_url;cs32Label=Ссылка;cs33=$GardaDB.agent_guid;cs33Label=Guid_Агента;

Нажмите на кнопку Применить.

Настройка экспорта журналов

В разделе Журналы создайте шаблон экспорта из журналов в SIEM. Для этого нажмите на кнопку Добавить новый шаблон ().
Заполните поля:
- Название: укажите название шаблона журнала.
- IP-адрес/Доменное имя: укажите IP-адрес коллектора SIEM.
- Порт: укажите порт, который настроен в SIEM для приема событий источника.
- Протокол: выберите протокол, настроенный в SIEM.
- Формат: выберите формат CEF.
- Формат сообщения:
  cs1=$GardaDB.time;cs1Label=Время;cs2=$GardaDB.login;cs2Label=Пользователь;cs3=$GardaDB.act_type;cs3Label=ТипСобытия;cs4=$GardaDB.src_dest;cs4Label=Источник;cs5=$GardaDB.src_type;cs5Label=ТипИсточника;cs6=$GardaDB.message;cs6Label=Запись;cs7=$GardaDB.level;cs7Label=Важность;
Установите переключатель Отправлять в режиме реального времени в активное положение.
Установите переключатель Доступ к системе в активное положение.
Установите переключатель Системные сообщения в активное положение.
Установите переключатель Действия пользователя в активное положение.
Нажмите на кнопку Применить.

Настройка экспорта аномалий

В разделе Аномалии создайте шаблон экспорта аномалий в SIEM. Для этого нажмите на кнопку Добавить новый шаблон ().
Заполните поля:
- Название: укажите название шаблона аномалий.
- IP-адрес/Доменное имя: укажите IP-адрес коллектора SIEM.
- Порт: укажите порт, который настроен в SIEM для приема событий источника.
- Протокол: выберите протокол, настроенный в SIEM.
- Формат: выберите формат CEF.
- Формат сообщения:
  cs1=$GardaDB.time;cs1Label=Время;cs2=$GardaDB.type;cs2Label=ТипАномалии;cs3=$GardaDB.field;cs3Label=Параметр;cs4=$GardaDB.db_name;cs4Label=ИмяБД;cs5=$GardaDB.profile;cs5Label=ПрофильБД;cs6=$GardaDB.treshold;cs6Label=Порог;cs7=$GardaDB.deviation;cs7Label=Отклонение;
Нажмите на кнопку Применить.

Настройка Гарда DBF завершена.

Настройка R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Гарда DBF.
- Протокол: выберите вариант в соответствии с настройками на стороне Гарда DBF.
Добавьте VRL-трансформацию:
```
.dproduct = "Garda DBF"
```
Соедините добавленную точку входа и VRL-трансформацию.
Добавьте на конвейер элемент Нормализатор с правилом Garda Database Firewall (идентификатор правила: RV-N-138).
Соедините нормализатор с VRL-трансформацией.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

garda dbf pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Гарда DBF.

Найти события Гарда DBF в хранилище можно по следующему фильтру:

dproduct = "Garda DBF"

garda dbf events