Secret Net LSP

Данное руководство содержит инструкции по настройке отправки событий в систему R-Vision SIEM из продукта Secret Net LSP.

События Secret Net LSP

Подробная информация о записываемых событиях приведена в документации Secret Net LSP.

Secret Net LSP записывает события в две базы данных: Системная и БД аудита.

Syslog читает события только из системной БД, поскольку журналы в БД аудита зашифрованы. Правило, указанное в данной инструкции, нормализует только события из системной БД, которые относятся к следующим типам:

Аутентификация через графический интерфейс или SSH;
Повышение привилегий;
Изменение политик;
Настройка аудита;
Резервное копирование;
Взаимодействие с журналами;
Взаимодействие с правилами МЭ;
Блокировка или разблокировка АРМ.

Сбор событий из БД аудита осуществляется посредством сервера безопасности Secret Net Studio, под управлением которого может находиться Secret Net LSP.

Настройка источника для отправки событий в R-Vision SIEM

Для отправки событий Secret Net LSP в R-Vision SIEM:

Откройте файл /opt/secretnet/etc/syslog-ng/syslog-ng.conf:
```
sudo nano /opt/secretnet/etc/syslog-ng/syslog-ng.conf
```

Дополните файл строками:

Для передачи событий по протоколу UDP:

destination rcollector { udp("<ip-адрес коллектора>" port(<слушаемый порт>));};

Для передачи событий по протоколу TCP:

destination rcollector { tcp("<ip-адрес коллектора>" port(<слушаемый порт>) log-fifo-size(1000));};

Сохраните изменения:

log { source(src_main); destination(rcollector);};

Перезагрузите рабочую станцию.

Настройка интеграции с R-Vision SIEM

Для получения событий аудита c Secret Net LSP необходимо настроить следующий конвейер:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog;
2. Название — любое понятное.
3. Порт точки входа и Протокол — в соответствии с настройками на стороне syslog-сервера.
Добавьте Нормализатор с правилом Security Code Secret Net LSP (идентификатор RV-N-108) Соедините нормализатор с точкой входа.
Добавьте элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

При успешном включении в выбранном хранилище появятся события Secret Net LSP.

Таблицы маппинга

Таблица 1. Общий маппинг
Поле события	Значение поля
`dvendor`	"Код Безопасности"
`dproduct`	"Secret Net LSP"
`dvchost`	`.raw.hostname`
`msg`	Сообщение, приведенное к человекопонятному виду. Подробности см. в следующих таблицах.
`rt`	`.raw.timestamp`
`severity`	`.raw.severity`
`externalId`	`.raw.message.code`
`facility`	`.raw.facility`
`destinationServiceName`	`.raw.appname`
`outcome`	"success" либо "failure"
`cat`	`.raw.message[0]`

Таблица 2. Аутентификация
Поле события	Значение поля
`msg`	Сообщение, приведенное к человекопонятному виду + `.suser`
`name`	Извлекается из поля `.raw.message`
`suser`	Извлекается из поля `.raw.message`

Таблица 3. Повышение привилегий
Поле события	Значение поля
`name`	"root session closed\|opened"
`suser`	Извлекается из поля `.raw.message`

Таблица 4. Изменение политик
Поле события	Значение поля	Для плагинов	Для аутентификации (token_mgr)
`msg`		Сообщение, приведенное к человекопонятному виду + `.objName` + `.suser`	Сообщение, приведенное к человекопонятному виду + `.objName` + `.cs2`
`name`	"setting policy"
`suser`	Извлекается из поля `.raw.message`
`objType`	"plugin" либо "settings policy"
`objName`	`.raw.message.objname`
`cs2`			`.raw.message.objvalue`
`cs2Label`			"Новое значение параметра"

Таблица 5. Настройка аудита
Поле события	Значение поля
`msg`	Сообщение, приведенное к человекопонятному виду + `.objName` + `.cn1`
`name`	"add new rule", "object set on audit" или "deleted rule"
`cn1`	Извлекается из поля `.raw.message` (ID правила)
`objName`	Извлекается из поля `.raw.message`

Таблица 6. Резервное копирование
Поле события	Значение поля
`msg`	Сообщение, приведенное к человекопонятному виду + `.objName` + `.cn2`
`name`	"backup not found" либо "backup setting"
`cn2`	Извлекается из поля `.raw.message`
`cn2Label`	"backup id"

Таблица 7. Взаимодействие с журналами
Поле события	Управление журналами (all)	Управление журналами (содержит before/after)	Управление журналами (содержит from-to)	Запрос журналов
`msg`	Сообщение, приведенное к человекопонятному виду + `.act` + `.cs4`	Сообщение, приведенное к человекопонятному виду + `.raw.message.action` + `.cs4`	Сообщение, приведенное к человекопонятному виду + `.act` + `.с2` + `.cs3` + `.cs4`	Сообщение, приведенное к человекопонятному виду + `.objName` + `.suser`
`name`	`.act` + "records"			event log query
`cs2`		`.raw.message.preposition`	Извлекается из поля `.raw.message`
`cs2Label`		"preposition"	"from time"
`cs3`		`.raw.message.time`	Извлекается из поля `.raw.message`
`cs3Label`		"time"	"to time"
`cs4`		Извлекается из поля `.raw.message`
`cs4Label`		"database type"
`act`	`.raw.message[0]`	`.raw.message[-2]`	`.raw.message[3]`

Таблица 8. Взаимодействие с правилами межсетевого экрана
Поле события	Значение поля
`msg`	Сообщение, приведенное к человекопонятному виду + `.act`
`cs2`	Извлекается из поля `.raw.message`
`cs2Label`	"Firewall rule id"
`cs3`	(кроме случаев, когда поле `.act` равно `deleted`) Извлекается из поля `.raw.message`
`cs3Label`	(кроме случаев, когда поле `.act` равно `deleted`) "Rule parameters"
`act`	Извлекается из поля `.raw.message`

Таблица 9. Блокировка или разблокировка АРМ.
Поле события	Значение поля
`msg`	"Рабочая станция разблокирована\|заблокирована"