Континент 4

Данное руководство описывает процесс настройки сбора и отправки событий аппаратно-программного комплекса шифрования (АПКШ) Континент-4 в R-Vision SIEM.

Настройка сбора событий на стороне источника

Система позволяет отправлять события аудита во внешние системы посредством syslog. Функциональные события АПКШ Континент 4 во внешние системы посредством syslog не передаются и не покрываются текущими правилами нормализации R-Vision SIEM.

Для настройки syslog на АПКШ Континент 4:

Подключитесь к центру управления сетью (далее — ЦУС) с помощью ПО "Континент. Менеджер конфигурации".
Перейдите во вкладку Структура.
Выберите узел безопасности (далее — УБ), с которого необходимо отправлять события в SIEM.
Вызовите контекстное меню для УБ и выберите Свойства. Откроется меню настроек УБ.
Перейдите во вкладку Настройки журналирования.
Для параметра Детализация задайте значение Высокий.
Нажмите на кнопку добавления внешнего системного журнала.
Заполните параметры:
- IP-адрес коллектора SIEM или syslog-сервера, через который будут передаваться данные в SIEM;
- порт, который планируется прослушивать;
- протокол.
  
  Настройки журналирования должны выглядеть следующим образом:
Нажмите на кнопки Применить и ОК.
Отправьте конфигурацию на УБ. Для этого:
1. В общем меню нажмите на вторую иконку в верхнем левом углу.
2. Отметьте УБ, для которого настраивалось внешнее журналирование.
3. Нажмите на кнопку ОК.

Настройка на стороне АПКШ Континент 4 завершена.

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте в конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog;
2. Порт точки входа и Протокол — в соответствии с настройкой АПКШ Континент 4.
Соедините с точкой входа Нормализатор с добавленным правилом нормализации с ID 74d77206-86cb-480f-97bf-4162ddc5ea93.
Соедините с нормализатором конечную точку типа Хранилище событий.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

Таблицы маппинга

Таблица 1. Общий маппинг
Поле модели событий	Значение
`dvendor`	`Код Безопасности`
`dproduct`	`Континент 4`
`dversion`	`4.1.0`
`dvc`	`.raw.hostname`
`dvchost`	`.raw.hostname`
`msg`	`.raw.message`
`rt`	`.raw.timestamp`
`severity`	`.raw.severity`
`facility`	`.raw.facility`
`name`	`.raw.appname`
`outcome`	`success/failure`

Таблица 2. Аутентификация
Поле модели событий	Значение
`act`	`authentication success/failure`
`duser`	`account name`
`src`	`source ip`
`spt`	`source port`

Таблица 3. Выполнение команд sudo
Поле модели событий	Значение
`duser`	`account name`
`cmd`	`raw.message.COMMAND`

Таблица 4. Конфигурирование
Поле модели событий	Значение
`act`	`implement`
`objType`	`configuration`
`objName`	`path to config file`

Таблица 5. Сессия su
Поле модели событий	Значение
`act`	`session opened/closed`
`duser`	`account name`

Таблица 6. Disconnect ssh
Поле модели событий	Значение
`act`	`Disconnected ssh session`
`duser`	`account name`