PT Sandbox
Данное руководство описывает процесс настройки сбора и отправки событий Positive Technologies Sandbox (PT Sandbox) в R-Vision SIEM.
Настройка PT Sandbox
Для настройки отправки событий PT Sandbox выполните следующие шаги:
-
В главном меню интерфейса PT Sandbox перейдите в раздел Система → Основные параметры.
-
В группе параметров Отправка сообщений по протоколу syslog установите верхний переключатель в активное положение, чтобы включить отправку сообщений.
-
В поле Адрес syslog-сервера введите IP-адрес или полное доменное имя (FQDN) коллектора R-Vision SIEM.
-
Укажите значение порта в диапазоне 30000—32767 в соответствии с настройками на конвейере SIEM.
-
В поле Протокол выберите транспортный протокол TCP.
-
Установите переключатель Отправлять события аудита в активное положение.
-
Нажмите на кнопку Сохранить. Изменения будут применены в течение нескольких минут.
Настройка в R-Vision SIEM
Для интеграции источника с R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне PT Sandbox.
-
Протокол: выберите вариант в соответствии с настройками на стороне PT Sandbox.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Positive Technologies Sandbox (идентификатор правила: RV-N-98).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события PT Sandbox.
|
Найти события PT Sandbox в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
