Системные журналы Linux

Данное руководство описывает процесс отправки событий из журналов ОС семейства Linux в R-Vision SIEM с помощью продукта R-Vision Endpoint.

Здесь и далее под ОС Linux подразумевается любой современный дистрибутив операционной системы на базе ядра Linux.

Настройка ОС Linux

Настройка сбора событий ОС Linux с помощью продукта R-Vision Endpoint включает установку агента R-Vision Endpoint на конечное устройство и конфигурирование политики.

Установка агента

Для установки агента обратитесь к документации продукта R-Vision Endpoint.

После установки агента на станцию и настройки его связи с менеджером R-Vision Endpoint в веб-интерфейсе управления менеджера R-Vision Endpoint появится информация о подключенной станции.

По умолчанию добавленный хост входит в группу default.

rpoint newly added host

Настройка политики

Для сбора событий с узлов ОС Linux необходимо создать новую группу и добавить в нее узел под управлением ОС Linux.

Создание новой группы

Для создания новой группы:

  1. В главном меню R-Vision Endpoint перейдите в раздел Политика.

  2. Нажмите на кнопку Создать группу (plus) и введите название группы.

  3. Из выпадающего списка Группа сбора данных выберите созданную группу.

  4. Переведите следующие переключатели в активное положение:

    • Вход/выход пользователей (Linux / macOS);

    • Создание процессов (Linux / macOS);

    • Добавление или изменение сервисов (Linux);

    • Управление пользователями (Linux).

      rpoint group settings1

  5. Если требуется подключение журналов ОС, выполните следующие действия:

    1. В разделе Чтение файлов/выполнение команд нажмите на кнопку Настроить.

    2. Выберите из выпадающего списка тип журнала syslog для любых журналов, которые создает служба syslog на хосте.

    3. Выберите из выпадающего списка тип журнала auditd, если формат записей в журнале соответствует формату журнала audit.log службы Auditd.

    4. Нажмите на кнопку Сохранить.

      rpoint group settings2

Добавление узла в группу

Для добавления узла под управлением ОС Linux в созданную группу:

  1. В главном меню перейдите в раздел Агенты.

  2. Выберите нужный узел и нажмите на кнопку agent to group на панели инструментов.

  3. Выберите ранее созданную группу и нажмите на кнопку Добавить (plus).

  4. Дождитесь применения политики на агенте.

rpoint add host to group

Настройка в R-Vision SIEM

Для настройки интеграции продуктов R-Vision SIEM и R-Vision Endpoint обратитесь к документации продукта R-Vision SIEM.

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант R-Vision Endpoint.

    • Порт точки входа: введите значение в соответствии с настройками на стороне ОС Linux.

  3. Добавьте на конвейер элемент Нормализатор с правилом Linux Rpoint (идентификатор правила: RV-N-57).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

linux rpoint pipeline

После настройки политики сбора и передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события хоста под управлением ОС Linux.

Найти события хоста под управлением ОС Linux в хранилище можно по следующему фильтру:

dvendor = "Linux"

linux storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies