ViPNet Coordinator 4

Данное руководство описывает процесс настройки сбора и отправки событий системы обнаружения компьютерных атак ViPNet Coordinator 4 в R-Vision SIEM.

Настройка ViPNet Coordinator 4
Настройка в R-Vision SIEM
Типы обрабатываемых событий
Таблица маппинга

Настройка ViPNet Coordinator 4

Для настройки отправки событий ViPNet Coordinator 4 в SIEM-систему в формате syslog выполните следующие действия:

Войдите в интерфейс командной строки ViPNet Coordinator.
Перейдите в режим администратора:
```
enable
```
Укажите целевой IP-адрес для отправки событий с помощью команды:
```
machine set loghost <IP-адрес коллектора>
```
где <IP-адрес коллектора> — адрес коллектора R-Vision SIEM, в рамках которого планируется осуществлять сбор событий ViPNet Coordinator 4.
Остановите работу службы iplir:
```
iplir stop
```
Откройте файл конфигурации службы iplir:
```
iplir config
```
В секции misc введите следующие значения:
```
cef_ip = <IP-адрес коллектора>
cef_port = <Порт коллектора>
cef_format= xf
cef_enabled = yes
```
Здесь:
- <IP-адрес коллектора> — адрес коллектора R-Vision SIEM, с помощью которого планируется осуществлять сбор событий ViPNet Coordinator 4.
- <Порт коллектора> — порт, указаный для сбора событий на конвейере.
Сохраните изменения.
Закройте файл.
Откройте конфигурацию интерфейса, с которого необходимо получать события о трафике:
```
iplir config eth<номер интерфейса>
```

В конфигурации интерфейса укажите следующие значения:

[db]
maxsize= 50 MBytes
timedif= 60
registerall= on  #по умолчанию off
registerbroadcast= off
omittcpclientport= off
registerevents= on

[cef]
# для регистрации всех событий значение - all
# для регистрации заблокированных пакетов - blocked
event= all

Сохраните изменения с помощью сочетания клавиш CTRL+O.
Закройте файл.
Включите службу iplir:
```
iplir start
```

Добавьте правило фильтрации:

firewall local add 3 rule "Allow Syslog" src @local dst <IP-адрес коллектора> udp dport <Порт коллектора> pass

Настройка отправки событий ViPNet Coordinator 4 завершена.

Настройка в R-Vision SIEM

Общий вид рабочего конвейера для обеспечения получения и отображения событий:

infotecs coordinator pipeline

Для настройки сбора событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM перейдите в раздел Ресурсы → Коллекторы и откройте карточку коллектора.
На вкладке Обогащение добавьте таблицу обогащения hw_fw_events коллектора.
В том же коллекторе создайте новый конвейер.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Тип точки входа: Syslog.
- Порт точки входа и протокол: в соответствии с настройками на стороне ViPNet Coordinator 4.
Добавьте на конвейер элемент Нормализатор с правилом ViPNet Coordinator 4 (идентификатор правила: RV-N-46). Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события ViPNet Coordinator 4.

Найти события ViPNet Coordinator 4 в хранилище можно по следующему фильтру:

dproduct = "hw"

vipnet coordinator 4 events

Типы обрабатываемых событий

Правилом нормализации обрабатываются следующие типы событий:

аутентификация пользователя в веб-интерфейсе/консоли;
переход в привилегированный режим;
ввод команд;
смена пароля пользователя;
изменения настроек сетевых интерфейсов;
открытие/закрытие конфигурационных файлов;
изменение настроек логирования;
удаление журналов;
включение/изменение/удаление правил межсетевого экрана;
события безопасности межсетевого экрана.

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.