OpenBao

Данное руководство описывает процесс настройки сбора и отправки событий OpenBao в R-Vision SIEM.

Настройка OpenBao

Основная настройка

Чтобы настроить OpenBao:

  1. Включите передачу событий в службу syslog с помощью команды:

    sudo openbao audit enable -address="https://<адрес openbao>:8200" syslog tag="openbao"

    Если команда выполнилась успешно, в консоли появится сообщение:

    Success! Enabled the syslog audit device at: syslog/

  2. Создайте файл xx-openbao.conf в директории /etc/rsyslog.d/ командой:

    sudo touch /etc/rsyslog.d/xx-openbao.conf

    где xx — номер файла конфигурации.

  3. Добавьте в файл xx-openbao.conf строки:

    if $syslogtag contains 'openbao-vault' then {
  action(type="omfwd" Target="<Адрес коллектора SIEM>" Port="<Порт>" Protocol="<tcp/udp>")
  stop
}

  4. Перезапустите службу rsyslog с помощью команды:

    sudo systemctl restart rsyslog.service

Альтернативная настройка

Если в rsyslog возникает ошибка, связанная с доступом к journal, выполните альтернативную настройку:

  1. Включите передачу событий OpenBao в файл с помощью команды:

    sudo openbao audit enable -address="https://<адрес openbao>:8200" file file_path="/var/log/openbao_audit.log"

  2. Добавьте в файл конфигурации /etc/rsyslog.d/xx-openbao.conf следующие строки:

    module(load="imfile" PollingInterval="10" mode="inotify")

input(type="imfile"
      File="/var/log/openbao_audit.log"
      Tag="openbao"
      Severity="info"
      Facility="local6"
)

local6.info action(type="omfwd" Target="<Адрес коллектора SIEM>" Port="<Порт>" Protocol="<tcp/udp>")

  3. Перезапустите службу rsyslog с помощью команды:

    sudo systemctl restart rsyslog.service

Настройка в R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

  1. В веб-интерфейсе R-Vision SIEM перейдите в раздел Ресурсы → Коллекторы и создайте новый конвейер в коллекторе.

  2. Добавьте в конвейер элемент Точка входа со следующими параметрами:

  3. Добавьте на конвейер элемент Нормализатор с правилом OpenBao (идентификатор правила: RV-N-89). Соедините нормализатор с точкой входа.

  4. Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.

  5. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

openbao pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события OpenBao.

Найти события OpenBao в хранилище можно по следующему фильтру:

dproduct = "OpenBao"
openbao storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies