PT Application Firewall 3
Данное руководство описывает процесс настройки сбора и отправки событий Positive Technologies Application Firewall 3 (PT AF 3) в R-Vision SIEM.
Настройка PT AF 3
| Для источника PT AF 3 на конвейере коллектора R-SIEM необходимо создать отдельную точку входа с выделенным портом, в которую будут поступать только события от PT AF 3. При попадании в эту же точку входа событий от других источников работа правил нормализации будет некорректной, а ожидаемый результат на выходе непредсказуемым. |
Настройка отправки событий делится на два этапа:
-
Настройка системных сообщений.
-
Настройка прикладных событий веб-приложений.
Включение логирования системных и прикладных событий WAF
Для включения логирования системных и прикладных событий в консоли WSC выполните команды:
syslog set uri @@<target>:<port>
syslog set criticality error
syslog set send enabledЗдесь:
-
@@— указатель на протокол TCP. -
<target>— IP-адрес или полное доменное имя (FQDN) коллектора SIEM. -
<port>— порт точки входа Syslog на конвейере SIEM.
Включение логирования событий веб-приложений
На панели управления сервера PT AF 3 выполните следующие действия:
-
Перейдите в раздел Configuration → Security → Actions:
-
В разделе Actions нажмите на кнопку Create:
-
Создайте 3 действия:
-
Действие Attacks со следующими параметрами:
-
Name: введите значение
Send attack to syslog. -
Type: выберите вариант Send to syslog (attack, alert, vulnerability).
-
Object type: выберите вариант Attacks.
-
IP address: введите IP-адрес syslog-сервера.
-
Port: укажите порт syslog-сервера.
-
Format — введите строку:
-- Attack -- %EVENT_ID -- %EVENT_SEVERITY -- %EVENT_DESCRIPTION -- %POLICY_NAME -- %REQUEST_HOST -- %REQUEST_PATH -- %MATCHED.VALIDATOR -- %MATCHED.VARIABLE -- %MATCHED.VALUE -- %REQUEST_QUERY
Остальные параметры оставьте без изменений и нажмите на кнопку Apply.
-
-
Действие Alerts со следующими параметрами:
-
Name: введите значение
Send alert to syslog. -
Type: выберите вариант Send to syslog (attack, alert, vulnerability).
-
Object type: выберите вариант Alerts.
-
IP address: введите IP-адрес syslog-сервера.
-
Port: укажите порт syslog-сервера.
-
Format — введите строку:
-- Alert -- %ALERT_SEVERITY -- %ALERT_NAME -- %ALERT_DESCRIPTION
Остальные параметры оставьте без изменений и нажмите на кнопку Apply.
-
-
Действие Vulnerability со следующими параметрами:
-
Name: введите значение
Send vulnerability to syslog. -
Type: выберите вариант Send to syslog (attack, alert, vulnerability).
-
Object type: выберите вариант Vulnerabilities.
-
IP address: введите IP-адрес syslog-сервера.
-
Port: укажите порт syslog-сервера.
-
Format — введите строку:
-- Vulnerability -- %EVENT_ID -- %EVENT_SEVERITY -- %EVENT_DESCRIPTION -- %POLICY_NAME -- %REQUEST_HOST -- %REQUEST_PATH -- %MATCHED.VALIDATOR -- %MATCHED.VARIABLE -- %MATCHED.VALUE
Остальные параметры оставьте без изменений и нажмите на кнопку Apply.
-
-
Настройка в R-Vision SIEM
Для интеграции источника с R-Vision SIEM выполните следующие действия:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Добавьте на конвейер элемент Нормализатор со следующими правилами:
-
Positive Technologies Application Firewall 3 (идентификатор правила: RV-N-95);
-
Positive Technologies Application Firewall 3 (идентификатор правила: RV-N-96);
-
Positive Technologies Application Firewall 3 (идентификатор правила: RV-N-99).
-
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события PT AF 3.
|
Найти события PT AF 3 в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
