PT Sandbox

Данное руководство описывает процесс настройки сбора и отправки событий Positive Technologies Sandbox (PT Sandbox) в R-Vision SIEM.

Настройка PT Sandbox

Для настройки отправки событий PT Sandbox выполните следующие шаги:

  1. В главном меню перейдите в раздел Система → Основные параметры.

  2. В группе параметров Отправка сообщений в системный журнал по протоколу syslog включите отправку сообщений.

  3. В полях формы Сервер системного журнала введите IP-адрес или полное доменное имя (FQDN) коллектора R-Vision SIEM.

  4. Выберите транспортный протокол: TCP.

  5. Нажмите на кнопку Сохранить. Изменения будут применены в течение нескольких минут.

    pt sandbox settings

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Тип точки входа: Syslog.

    • Порт точки входа и протокол: в соответствии с настройками на стороне PT Sandbox.

  3. Добавьте на конвейер элемент Нормализатор с правилом "Positive Technologies Sandbox" (идентификатор правила: RV-N-98). Соедините нормализатор с точкой входа.

  4. Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.

  5. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

pt sandbox pipeline scheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события PT NAD.

Найти события PT NAD в хранилище можно по следующему фильтру:

dproduct = "Sandbox"

pt sandbox events

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение