Huawei USG
Данное руководство описывает процесс настройки сбора и отправки событий межсетевого экрана Huawei USG в R-Vision SIEM.
Настройка Huawei USG
В настоящем руководстве рассматривается передача событий с помощью syslog.
-
Откройте веб-интерфейс Huawei USG.
-
На панели администрирования устройства перейдите на вкладку System → Log Configuration.
-
Укажите адрес коллектора и UDP порт точки входа конвейера SIEM.
-
Выберите из выпадающего списка Outgoing Interface исходящий интерфейс.
-
Примените конфигурацию, нажав на кнопку Apply.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
Перейдите в раздел Ресурсы → Коллекторы и создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Тип точки входа: Syslog.
-
Порт точки входа и протокол: в соответствии с настройками на стороне Huawei USG.
-
-
Добавьте VRL-трансформацию:
.dvendor = "Huawei" .dproduct = "USG"
-
Добавьте на конвейер элемент Нормализатор с правилом Huawei USG (идентификатор правила: RV-N-172). Соедините нормализатор с VRL-трансформацией.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Huawei USG.
|
Найти события Huawei USG в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
