MikroTik RouterOS

Данное руководство описывает процесс настройки роутеров MikroTik с использованием RouterOS для интеграции с R-Vision SIEM.

Настройка MikroTik RouterOS

Настройка роутера MikroTik

После первичной настройки RouterOS необходимо определить IP-адреса для интерфейса управления (mgmt). В данном руководстве используется интерфейс ether1. По умолчанию для входа используются логин admin и пустой пароль.

  1. Просмотрите все интерфейсы с помощью команды:

    /interface ethernet print

  2. Найдите в списке необходимый интерфейс. Установите IP-адрес для интерфейса командой:

    /ip address add address=192.168.1.1/24 interface=ether1

  3. Настройте шлюз:

    /ip route add gateway=192.168.1.254

  4. Включите SSH-доступ. В зависимости от версии RouterOS используйте одну из следующих команд:

    • /ip service set ssh disabled=no

    • /ip service set ssh enabled=yes

  5. При необходимости измените порт SSH:

    /ip service set ssh port=2222
В RouterOS 7 все настройки сохраняются в постоянную память автоматически.

Настройка через Winbox

  1. Скачайте официальное приложение Winbox. Дальнейшая настройка производится через этот инструмент.

  2. Включите необходимые сервисы в меню IP → Services:

    IPServiceList

  3. Создайте интерфейс сетевого моста. Рекомендуемое время агрегации — не менее 5 минут.

    NewInterface

  4. Установите необходимые настройки VLAN и STP.

  5. Настройте WAN и LAN интерфейсы, как показано на скриншоте:

    InterfaceList

  6. Добавьте оставшиеся интерфейсы в LAN-bridge:

    LANBridge

  7. Перейдите в меню System → Logging.

  8. Создайте новое действие в меню Actions. В выпадающем списке Type выберите вариант remote. Укажите адрес рабочего узла SIEM или адрес коллектора логов.

    LogAction

  9. Настройте правила отправки логов. Выберите необходимые поля в выпадающем списке и присвойте им созданное действие (Action).

Настройка в R-Vision SIEM

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне RouterOS.

    • Протокол: выберите вариант в соответствии с настройками на стороне RouterOS.

  3. Добавьте на конвейер элемент VRL-трансформация со следующим кодом:

    .dvendor = "MikroTik"

  4. Соедините добавленную точку входа и VRL-трансформацию.

  5. Добавьте на конвейер элемент Шина с типом Получение.

  6. Соедините шину с VRL-трансформацией.

  7. Если нужно записывать ненормализованные события в базу данных, добавьте элемент Конечная точка типа Хранилище событий и соедините его с VRL-трансформацией.

    Пример конфигурации конвейера:

    mikrotik router os pipeline1

  8. Создайте в коллекторе еще один конвейер, в котором будет происходить нормализация событий.

  9. Добавьте на новый конвейер элемент Шина со следующими параметрами:

    • Шина: выберите шину, которая получает события из предыдущего конвейера.

    • Соединение с шиной: выберите вариант Отправка.

  10. Добавьте на конвейер элемент Нормализатор с правилом MikroTik RouterOS (идентификатор правила: RV-N-80).

  11. Соедините нормализатор с шиной.

  12. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  13. Соедините конечную точку с нормализатором.

    Пример конфигурации конвейера:

    mikrotik router os pipeline

  14. Сохраните и установите конфигурацию конвейеров.

Все события RouterOS будут нормализовываться согласно модели события.

Найти события RouterOS в хранилище можно по следующему фильтру:

dproduct = "Router OS"

mikrotik router os storage
+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение