Mikrotik RouterOS

Данное руководство описывает процесс настройки роутеров Mikrotik с использованием RouterOS для интеграции с R-Vision SIEM.

Настройка роутера Mikrotik

После первичной настройки Router OS необходимо определить IP-адреса для интерфейса управления (mgmt). В данном руководстве используется интерфейс ether1. По умолчанию для входа используются логин admin и пустой пароль.

  1. Просмотрите все интерфейсы:

    /interface ethernet print

  2. Найдите в списке необходимый интерфейс. Установите IP-адрес для интерфейса командой:

    /ip address add address=192.168.1.1/24 interface=ether1

  3. Настройте шлюз:

    /ip route add gateway=192.168.1.254

  4. Включите SSH-доступ. Команды отличаются в зависимости от версии RouterOS:

    /ip service set ssh disabled=no

    или

    /ip service set ssh enabled=yes

  5. При необходимости измените порт SSH:

    /ip service set ssh port=2222
В RouterOS 7 все настройки сохраняются в постоянную память автоматически.

Настройка через Winbox

  1. Скачайте официальное приложение Winbox. Дальнейшая настройка производится через этот инструмент.

  2. Включите необходимые сервисы в меню IP → Services:

    IPServiceList

  3. Создайте интерфейс сетевого моста. Рекомендуемое время агрегации — не менее 5 минут.

    NewInterface

    Установите необходимые настройки VLAN и STP.

  4. Настройте WAN и LAN интерфейсы, как показано на скриншоте:

    InterfaceList

  5. Добавьте оставшиеся интерфейсы в LAN-bridge:

    LANBridge

  6. Перейдите в меню System → Logging.

  7. Создайте новое действие в меню Actions. В выпадающем поле Type выберите remote. Укажите адрес рабочего узла SIEM или адрес коллектора логов.

    LogAction

  8. Настройте правила отправки логов. Выберите необходимые поля в выпадающем списке и присвойте им созданное действие (Action).

Конфигурация SIEM

Для обработки событий RouterOS в SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название — любое понятное;

    • Тип точки входа — Syslog;

    • Порт точки входа и Протокол — в соответствии с настройками источника.

  3. Добавьте на конвейер элемент VRL-трансформация со следующим кодом:

    .dvendor = "Mikrotik"

    Соедините VRL-трансформацию с точкой входа.

  4. Добавьте на конвейер элемент Шина с типом Получение. Соедините шину с VRL-трансформацией.

  5. Если нужно записывать ненормализованные события в базу данных, добавьте элемент Конечная точка и соедините его с VRL-трансформацией.

    Пример настройки конвейера

    ConfigurationConveyor

  6. На конвейере, где происходит нормализация событий, добавьте элемент Шина типа Отправка, выбрав шину, которая получает события из предыдущего конвейера.

  7. Добавьте Нормализатор с правилом Mikrotik Router OS (идентификатор RV-N-80). Соедините нормализатор с шиной.

Все события Router OS будут нормализовываться согласно модели события.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение