ViPNet IDS NS

Данное руководство описывает процесс настройки сбора и отправки событий системы обнаружения компьютерных атак ViPNet IDS NS в R-Vision SIEM.

Настройка ViPNet IDS NS

Для настройки отправки событий ViPNet IDS NS в SIEM-систему в формате syslog выполните следующие действия:

  1. Войдите в веб-интерфейс ViPNet IDS NS.

  2. В боковом меню откройте раздел Интеграция.

  3. В форме Syslog откройте окно редактирования.

    infotecs ids ns settings 1

  4. В открывшемся окне установите переключатель Передавать информацию о событиях в формате syslog в активное положение.

  5. Нажмите на кнопку Добавить.

  6. Установите флажок Использовать формат сообщений по RFC-5424.

  7. В поле Адрес принимающего сервера введите IP-адрес коллектора SIEM, в рамках которого планируется осуществлять сбор событий ViPNet IDS NS.

  8. В поле Порт введите значение порта больше 30000. infotecs ids ns settings 2

  9. Нажмите на кнопку Сохранить.

Настройка на стороне ViPNet IDS NS завершена.

Настройка в R-Vision SIEM

Общий вид рабочего конвейера для обеспечения получения и отображения событий:

infotecs ids ns pipeline

Для настройки сбора событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Тип точки входа: Syslog.

    • Порт точки входа и протокол: в соответствии с настройками на стороне ViPNet IDS NS.

  3. Добавьте на конвейер элемент Нормализатор с правилом Infotecs ViPNet IDS NS (идентификатор правила: RV-N-145).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.

  6. Сохраните и установите конфигурацию конвейера.

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события ViPNet IDS NS.

Найти события от ViPNet IDS NS в хранилище можно по следующему фильтру:

dproduct = "IDS NS"

infotecs ids ns events

Типы обрабатываемых событий

Правилом нормализации обрабатываются события, генерируемые сигнатурными правилами IDS NS.

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies