Гарда NDR

Данное руководство описывает процесс настройки сбора и отправки событий средства сетевого обнаружения и реагирования Гарда NDR в R-Vision SIEM.

Настройка Гарда NDR

Описание подсистемы журналирования

Гарда NDR позволяет передавать события, регистрируемые в рамках политик, по Syslog в формате CEF. Данные журналов действий пользователей и системных событий пишутся в СУБД ClickHouse.

Отправка событий Гарда NDR

Настройка логирования для политики сбора трафика

Чтобы настроить экспорт событий Гарда NDR, выполните следующие шаги:

  1. На панели администрирования Гарда NDR перейдите в раздел Настройки → Внешние системы → SIEM.

  2. Нажмите на кнопку Добавить элемент (plus).

  3. Заполните поля Название, IP-адрес, Порт и Протокол, указав в них данные точки входа из конвейера SIEM.

  4. Сохраните изменения.

    garda ndr external systems siem

  5. Перейдите в раздел Политики.

  6. Выберите политику, события которой нужно пересылать в R-Vision SIEM.

  7. Перейдите на вкладку Реагирование и раскройте настройки.

  8. В поле Экспортировать в SIEM выберите из выпадающего списка созданный ранее профиль.

    garda ndr policies reaction default export to siem

  9. Настройка экспорта событий политики в R-Vision SIEM завершена.

  10. Повторите шаги 6—​8 для каждой политики.

Настройка ClickHouse для сбора событий журналов действий пользователей и системных событий

Чтобы настроить ClickHouse для передачи событий журналов, выполните следующие шаги:

  1. На сервере ClickHouse откройте файл /etc/clickhouse-server/users.xml.

  2. Задайте пароль пользователю readonly в теге <password>.

  3. В теге <ip> укажите адреса коллекторов R-Vision SIEM или целую подсеть, откуда пользователю будет разрешено подключаться к СУБД.

    Пример конфигурации:

    <readonly>
    <password>readonly</password>
    <networks incl="networks" replace="replace">
        <ip>::1</ip>
        <ip>127.0.0.1</ip>
        <ip>10.150.0.0/16</ip>
    </networks>
    <profile>readonly</profile>
    <quota>default</quota>
</readonly>

  4. В конфигурационном файле /etc/clickhouse-server/config.xml раскомментируйте блок:

    <http_port>8123</http_port>

  5. Перезапустите сервер ClickHouse:

    systemctl restart clickhouse-server

  6. Подготовка ClickHouse для передачи событий журналов в R-Vision SIEM завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Строка подключения.

      • Строка подключения: введите строку вида:

        jdbc:clickhouse://10.150.20.49:8123/default?user=readonly&password=readonly&compress=0

        garda ndr create secret connection string

    4. Нажмите на кнопку Создать.

  2. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  3. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название Garda NDR Traffic.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Гарда NDR.

    • Протокол: выберите вариант в соответствии с настройками на стороне Гарда NDR.

  4. Добавьте VRL-трансформацию:

    .dvendor = "Garda Technologies"
.dproduct = "Garda NDR"
.cat = "Traffic event"

  5. Соедините добавленную точку входа и VRL-трансформацию.

  6. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название Garda NDR User Actions.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант ClickHouse.

    • Адрес подключения: выберите секрет, созданный ранее.

    • SQL-запрос: введите запрос вида:

      SELECT *, toUnixTimestamp(TimeReal) AS rt FROM monitor.logging_user_actions WHERE rt > ? ORDER BY rt ASC;

    • Поле идентификатора: введите ключ rt со значением 1.

    • Интервал запроса, секунд: введите значение 15.

  7. Добавьте VRL-трансформацию:

    .dvendor = "Garda Technologies"
.dproduct = "Garda NDR"
.cat = "User action"

  8. Соедините добавленную точку входа и VRL-трансформацию.

  9. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название Garda NDR System Messages.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант ClickHouse.

    • Адрес подключения: выберите секрет, созданный ранее.

    • SQL-запрос: введите запрос вида:

      SELECT *, toUnixTimestamp(TimeReal) AS rt FROM monitor.logging_system_messages WHERE rt > ? ORDER BY rt ASC;

    • Поле идентификатора: введите ключ rt со значением 1.

    • Интервал запроса, секунд: введите значение 15.

  10. Добавьте VRL-трансформацию:

    .dvendor = "Garda Technologies"
.dproduct = "Garda NDR"
.cat = "System message"

  11. Соедините добавленную точку входа и VRL-трансформацию.

  12. Добавьте на конвейер элемент Нормализатор с правилами Garda NDR Syslog (идентификатор правила: RV-N-163) и Garda NDR DB (идентификатор правила: RV-N-168).

  13. Соедините нормализатор с тремя добавленными VRL-трансформациями.

  14. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  15. Добавьте на конвейер элемент Шина, настроенный на получение.

  16. Соедините конечную точку и шину с нормализатором.

  17. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

garda ndr pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Гарда NDR.

Найти события Гарда NDR в хранилище можно по следующему фильтру:

dproduct = "Garda NDR"

garda ndr storage
+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies