PT Sandbox

Данное руководство описывает процесс настройки сбора и отправки событий Positive Technologies Sandbox (PT Sandbox) в R-Vision SIEM.

Настройка сбора событий на стороне источника

Для настройки отправки событий PT Sandbox выполните следующие шаги:

В главном меню перейдите в раздел Система → Основные параметры.
В группе параметров Отправка сообщений в системный журнал по протоколу syslog включите отправку сообщений.
В полях формы Сервер системного журнала введите IP-адрес или полное доменное имя (FQDN) и порт централизованного syslog-сервера, с которого будет осуществляться отправка сообщений в SIEM.
Выберите транспортный протокол — TCP или UDP.
Нажмите на кнопку Сохранить. Изменения будут применены в течение нескольких минут.

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте в конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog;
2. Порт точки входа — в соответствии с настройками на стороне PT Sandbox;
3. Протокол — TCP.
Соедините с точкой входа Нормализатор с добавленным правилом нормализации с ID RV-N-98.
Соедините с нормализатором конечную точку типа Хранилище событий.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

Таблица 5. icap.start
Поле модели событий	Значение
`suser`	`request.client_username`
`cs1`	Код ответа
`cs1Label`	Code
`src`	Клиент
`requestClientApplication`	`request.http.http_request.user_agent`
`request`	`request.http.http_request.url`
`objType`	`request.method`
`objPath`	`request.url`
`c6a1`	IP-адрес ICAP-клиента
`c6a1Label`	IP-адрес ICAP-клиента
`cn1`	`.raw.message.client.port`
`cn1Label`	Порт ICAP-клиента
`name`	`request.http.direction`
`requestMethod`	`request.http.http_request.method`
`reason`	`request.http.http_response.reason`
`dhost`	Сервер

Таблица 7. scan_machine.new_object
Поле модели событий	Значение
`name`	Архив/Файл/Email

Таблица 8. scan_machine.file_result.av
Поле модели событий	Значение
`cs2`	`.raw.message.engine_version`
`cs2Label`	Версия антивируса
`reason`	Причина
`app`	Антивирус ПО
`deviceCustomDate1`	Время последнего обновления баз антивируса
`deviceCustomDate1Label`	Время последнего обновления баз антивируса, который сканировал файл
`severity`	Важность
`cs3`	Семейство угроз
`cs3Label`	Семейство угроз
`act`	Действие
`outcome`	Success/Failure
`cs4`	Состояние сканирования
`cs4Label`	Состояние сканирования

Таблица 9. scan_machine.file_result.melded
Поле модели событий	Значение
`cs2`	`.raw.message.engine_version`
`cs2Label`	Версия антивируса
`reason`	Причина
`app`	Антивирус ПО
`deviceCustomDate1`	Время последнего обновления баз антивируса
`deviceCustomDate1Label`	Время последнего обновления баз антивируса, который сканировал файл
`severity`	Важность
`cs3`	Классификация угрозы
`cs3Label`	Классификация угрозы
`act`	Действие
`outcome`	Success/Failure
`cs4`	Состояние сканирования
`cs4Label`	Состояние сканирования

Таблица 10. scan_machine.final_result
Поле модели событий	Значение
`cs2`	`.raw.message.engine_version`
`cs2Label`	Версия антивируса
`reason`	Причина
`app`	Антивирус ПО
`deviceCustomDate1`	Время последнего обновления баз антивируса
`deviceCustomDate1Label`	Время последнего обновления баз антивируса, который сканировал файл
`severity`	Важность
`cs3`	Семейство угроз
`cs3Label`	Семейство угроз
`act`	Действие
`outcome`	Success/Failure
`cs4`	Состояние сканирования
`cs4Label`	Состояние сканирования

Таблица 11. av.update
Поле модели событий	Значение
`cs2`	`.raw.message.engine_version`
`cs2Label`	Версия антивируса
`app`	Антивирус ПО
`deviceCustomDate1`	Время последнего обновления баз антивируса
`deviceCustomDate1Label`	Время последнего обновления баз антивируса, который сканировал файл
`cs3`	Классификация угрозы
`cs3Label`	Классификация угрозы