R-Vision TDP
Данное руководство описывает процесс настройки сбора и отправки событий R-Vision Threat Deception Platform (R-Vision TDP) в R-Vision SIEM.
Настройка R-Vision TDP
Для настройки отправки событий выполните следующие действия:
-
Войдите в веб-интерфейс R-Vision TDP.
-
Перейдите в раздел Настройки → Интеграции → Syslog.
-
В открывшейся вкладке нажмите кнопку Добавить.
-
В текущем окне заполните параметры интеграции:
-
Адрес сервера — IP-адрес или FQDN ноды кластера R-Vision SIEM.
-
Порт — порт Syslog-сервера.
-
Протокол — сетевой протокол (
tcpилиupd).
-
-
Нажмите на кнопку Далее.
-
Выберите типы событий для отправки.
-
Нажмите на кнопку Добавить.
Если настройка на стороне TDP проведена корректно, в разделе Syslog отобразится добавленная вами интеграция.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Тип точки входа: Syslog.
-
Порт точки входа и протокол: в соответствии с настройками на стороне R‑Vision Threat Deception Platform.
-
-
Добавьте на конвейер элемент Нормализатор с правилом R‑Vision Threat Deception Platform (идентификатор правила: RV-N-102). Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события R-Vision TDP.
|
Найти события R‑Vision TDP в хранилище можно по следующему фильтру: |
