PT Application Firewall 3
Данное руководство описывает процесс настройки сбора и отправки событий Positive Technologies Application Firewall v3 (PTAF v3) в R-Vision SIEM.
Настройка PTAF 3
| Для источника PTAF v3 в конвейере коллектора R-SIEM необходимо создать отдельную точку входа с выделенным портом, на которую будут поступать только события от PTAF v3. При попадании в эту же точку входа событий от других источников работа правил нормализации будет некорректной, а ожидаемый результат на выходе непредсказуемым. |
Настройка отправки событий делится на два этапа:
-
Настройка системных сообщений.
-
Настройка прикладных событий веб-приложений.
Включение логирования системных и прикладных событий WAF
Для включения логирования системных и прикладных событий в консоли WSC выполните команды:
syslog set uri @@<target>:<port>
syslog set criticality error
syslog set send enabledЗдесь:
-
@@— указатель на протокол TCP. -
<target>— IP-адрес или полное доменное имя (FQDN) коллектора SIEM. -
<port>— порт точки входа Syslog в конвейере SIEM.
Включение логирования событий веб-приложений
В панели управления сервера PTAF 3 выполните следующие действия:
-
Перейдите в Configuration → Security → Actions:
-
В разделе Actions нажмите Create:
-
Создайте 3 действия:
-
Attacks со следующими параметрами:
-
Name: Send attack to syslog;
-
Type: Send to syslog (attack, alert, vulnerability);
-
Object type: Attacks;
-
IP address: IP-адрес syslog-сервера;
-
Port: порт syslog-сервера;
-
Format:
-- Attack -- %EVENT_ID -- %EVENT_SEVERITY -- %EVENT_DESCRIPTION -- %POLICY_NAME -- %REQUEST_HOST -- %REQUEST_PATH -- %MATCHED.VALIDATOR -- %MATCHED.VARIABLE -- %MATCHED.VALUE -- %REQUEST_QUERY
Остальные параметры оставьте без изменений и нажмите Apply.
-
-
Alerts со следующими параметрами:
-
Name: Send alert to syslog;
-
Type: Send to syslog (attack, alert, vulnerability)
-
Object type: Alerts;
-
IP address: IP-адрес syslog-сервера;
-
Port: порт syslog-сервера;
-
Format:
-- Alert -- %ALERT_SEVERITY -- %ALERT_NAME -- %ALERT_DESCRIPTION
Остальные параметры оставьте без изменений и нажмите Apply.
-
-
Vulerability со следующими параметрами:
-
Name: Send vulerability to syslog;
-
Type: Send to syslog (attack, alert, vulnerability);
-
Object type: Vulerabilities;
-
IP address: IP-адрес syslog-сервера;
-
Port: порт syslog-сервера;
-
Format:
-- Vulnerability -- %EVENT_ID -- %EVENT_SEVERITY -- %EVENT_DESCRIPTION -- %POLICY_NAME -- %REQUEST_HOST -- %REQUEST_PATH -- %MATCHED.VALIDATOR -- %MATCHED.VARIABLE -- %MATCHED.VALUE
Остальные параметры оставьте без изменений и нажмите Apply.
-
-
Настройка интеграции с R-Vision SIEM
Для интеграции источника с R-Vision SIEM выполните следующие действия:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Тип точки входа: Syslog.
-
Порт точки входа и протокол: в соответствии с настройками на стороне PTAF 3.
-
-
Добавьте на конвейер элемент Нормализатор с правилами "RV-N-95" и "RV-N-96". Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события PTAF 3.
|
Найти события PTAF 3 в хранилище можно по следующему фильтру: 
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
