PT Application Firewall 3

Данное руководство описывает процесс настройки сбора и отправки событий Positive Technologies Application Firewall v3 (PTAF v3) в R-Vision SIEM.

Настройка PTAF 3

Для источника PTAF v3 в конвейере коллектора R-SIEM необходимо создать отдельную точку входа с выделенным портом, на которую будут поступать только события от PTAF v3. При попадании в эту же точку входа событий от других источников работа правил нормализации будет некорректной, а ожидаемый результат на выходе непредсказуемым.

Настройка отправки событий делится на два этапа:

  1. Настройка системных сообщений.

  2. Настройка прикладных событий веб-приложений.

Включение логирования системных и прикладных событий WAF

Для включения логирования системных и прикладных событий в консоли WSC выполните команды:

syslog set uri @@<target>:<port>
syslog set criticality error
syslog set send enabled

Здесь:

  • @@ — указатель на протокол TCP.

  • <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.

  • <port> — порт точки входа Syslog в конвейере SIEM.

Включение логирования событий веб-приложений

В панели управления сервера PTAF 3 выполните следующие действия:

  1. Перейдите в Configuration → Security → Actions:

    pt af3 configuration1

  2. В разделе Actions нажмите Create:

    pt af3 configuration2

  3. Создайте 3 действия:

    1. Attacks со следующими параметрами:

      • Name: Send attack to syslog;

      • Type: Send to syslog (attack, alert, vulnerability);

      • Object type: Attacks;

      • IP address: IP-адрес syslog-сервера;

      • Port: порт syslog-сервера;

      • Format:

        -- Attack -- %EVENT_ID -- %EVENT_SEVERITY -- %EVENT_DESCRIPTION -- %POLICY_NAME -- %REQUEST_HOST -- %REQUEST_PATH -- %MATCHED.VALIDATOR -- %MATCHED.VARIABLE -- %MATCHED.VALUE -- %REQUEST_QUERY

      Остальные параметры оставьте без изменений и нажмите Apply.

    2. Alerts со следующими параметрами:

      • Name: Send alert to syslog;

      • Type: Send to syslog (attack, alert, vulnerability)

      • Object type: Alerts;

      • IP address: IP-адрес syslog-сервера;

      • Port: порт syslog-сервера;

      • Format:

        -- Alert -- %ALERT_SEVERITY -- %ALERT_NAME -- %ALERT_DESCRIPTION

      Остальные параметры оставьте без изменений и нажмите Apply.

    3. Vulerability со следующими параметрами:

      • Name: Send vulerability to syslog;

      • Type: Send to syslog (attack, alert, vulnerability);

      • Object type: Vulerabilities;

      • IP address: IP-адрес syslog-сервера;

      • Port: порт syslog-сервера;

      • Format:

        -- Vulnerability -- %EVENT_ID -- %EVENT_SEVERITY -- %EVENT_DESCRIPTION -- %POLICY_NAME -- %REQUEST_HOST -- %REQUEST_PATH -- %MATCHED.VALIDATOR -- %MATCHED.VARIABLE -- %MATCHED.VALUE

      Остальные параметры оставьте без изменений и нажмите Apply.

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие действия:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Тип точки входа: Syslog.

    • Порт точки входа и протокол: в соответствии с настройками на стороне PTAF 3.

  3. Добавьте на конвейер элемент Нормализатор с правилами "RV-N-95" и "RV-N-96". Соедините нормализатор с точкой входа.

  4. Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.

  5. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

pt af3 pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события PTAF 3.

Найти события PTAF 3 в хранилище можно по следующему фильтру:

dproduct = "Application Firewall"
pt af3 storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.