Универсальный коннектор CEF

Данное руководство содержит инструкции по настройке подключения к системе R-Vision SIEM источников событий, передающих данные в формате Common Event Format (CEF) через syslog.

Подключение источников событий, передающих данные в формате CEF, требует выполнения настроек на стороне источников, syslog-сервера и коллектора в R-Vision SIEM. После завершения настройки обеспечивается централизованный сбор, хранение и анализ событий безопасности от источников, поддерживающих логирование в формате CEF.

Корреляция событий, нормализованных универсальным коннектором CEF, в настоящий момент не поддерживается. Если для источника есть отдельные правила нормализации и корреляции, то источник следует подключать по инструкции для данного источника событий.

Подготовка инфраструктуры

Настройка syslog-сервера

Для настройки syslog-сервера выполните следующие шаги:

Убедитесь, что syslog-сервер настроен на прослушивание порта (обычно 514 для UDP или TCP).
Проверьте, что syslog-сервер принимает сообщения в формате CEF.

Настройка сетевой связности

Для настройки сетевой связности выполните следующие шаги:

Откройте порты 514 (UDP или TCP) на сетевых устройствах.
Убедитесь, что источники событий имеют доступ к syslog-серверу.

Настройка источника событий

Убедитесь, что устройство или приложение поддерживает формат CEF и протокол syslog.

Способ настройки отправки событий может отличаться в зависимости от типа источника.

Для настройки источника событий для отправки сообщений в формате CEF выполните следующие шаги:

Укажите формат отправки: CEF.
Задайте адрес syslog-сервера.
Укажите порт (например, 514).

Пример 1. Пример команды настройки

log_format CEF
log_server <syslog-server-IP>
log_port 514

Пример настройки источника событий

Рассмотрим процесс настройки источника на примере ресурса, защищенном Positive Technologies Application Firewall (PTAF) 4.

Для настройки отправки событий в интерфейсе PTAF 4 выполните следующие шаги:

В главном меню PTAF 4 перейдите на вкладку Схема конфигурации. Откроется страница Схема конфигурации.
В раскрывающемся блоке Действия нажмите +. Откроется карточка действия.
Укажите следующие параметры действия:
1. Имя: введите имя действия;
2. Тип: Отправлять событие на syslog-сервер;
3. IP-адрес или имя узла: IP-адрес или доменное имя syslog-сервера;
4. Протокол и Порт: протокол и порт, на которых syslog-сервер будет принимать сообщения согласно правилу приема сообщений;
5. Максимальный размер: 65507;
6. Шаблон: CEF;
7. Остальные параметры оставьте без изменений.
  
  Пример заполненной формы настроек действия:
Нажмите на кнопку Добавить действие.

Настройка syslog-сервера

Для настройки syslog-сервера выполните следующие шаги:

Откройте конфигурационный файл rsyslog (/etc/rsyslog.conf или /etc/rsyslog.d/).

Добавьте правило обработки CEF-сообщений:

# Настройка для приема сообщений на порту 514
module(load="imudp")
input(type="imudp" port="514")

# Направление CEF-сообщений в R-Vision SIEM
if $msg contains "CEF:" then {
    action(type="omfwd" Target="siem" Port="30000" Protocol="tcp")
}

Перезапустите rsyslog для применения изменений:
```
sudo systemctl restart rsyslog
```

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog;
2. Порт точки входа и Протокол — в соответствии с настройками на стороне syslog-сервера.
Добавьте на конвейер Нормализатор с правилом Универсальное правило нормализации для формата CEF. Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

Проверка получения событий

Для проверки корректности настройки источника событий выполните следующие шаги:

Используйте утилиту logger для отправки тестового сообщения, заменив <syslog-server-IP> на адрес syslog-сервера:
```
logger -P 514 -n <syslog-server-IP> "CEF:0|Vendor|Product|Version|SignatureID|Name|Severity|Extension"
```
Убедитесь, что события поступают в R-Vision SIEM и записываются в указанное хранилище.
Проверьте логи на syslog-сервере для подтверждения получения отправленного сообщения.
В случае отсутствия событий в SIEM убедитесь в корректности настроек порта, протокола и формата сообщений на стороне источника и syslog-сервера.

Решение проблем

Некорректный формат события может стать причиной неработающего правила нормализации.

Для устранения проблемы выполните следующие шаги:

Проверьте, соответствует ли событие одному из допустимых форматов:

CEF:0|Vendor|Product|Version|SignatureID|Name|Severity|Extension
'Syslog header' CEF:0|Vendor|Product|Version|SignatureID|Name|Severity|Extension

Удалите из события префикс syslog и проверьте, отрабатывает ли правило нормализации.
Если проблема сохраняется, проверьте событие на наличие лишних символов. Например:
```
CEF:0|R-Vision|SEA|1.0|empty|empty|2| RealTime=09/13/2024 07:49:57
```
После разделителя | не должно быть пробелов. Корректный формат:
```
CEF:0|R-Vision|SEA|1.0|empty|empty|2|RealTime=09/13/2024 07:49:57
```
В RObject-конфигурации правила нормализации замените VRL-функцию parse_cef на rv_parse_cef, которая поддерживает заголовки syslog. Например:
```
normalizer: !vrl |
  # event = parse_cef(.raw.message) ?? {}
  event = rv_parse_cef(.raw.message) ?? {}
```