Универсальный коннектор CEF

Данное руководство содержит инструкции по настройке подключения к системе R-Vision SIEM источников событий, передающих данные в формате Common Event Format (CEF) через syslog.

Подключение источников событий, передающих данные в формате CEF, требует выполнения настроек на стороне источников, syslog-сервера и коллектора в R-Vision SIEM. После завершения настройки обеспечивается централизованный сбор, хранение и анализ событий безопасности от источников, поддерживающих логирование в формате CEF.

Корреляция событий, нормализованных универсальным коннектором CEF, в настоящий момент не поддерживается. Если для источника есть отдельные правила нормализации и корреляции, то источник следует подключать по инструкции для данного источника событий.

Предварительные требования

Настройка syslog-сервера

Для настройки syslog-сервера выполните следующие шаги:

  1. Убедитесь, что syslog-сервер настроен на прослушивание порта. Как правило, для протоколов UDP и TCP используется порт 514.

  2. Проверьте, что syslog-сервер принимает сообщения в формате CEF.

Настройка сетевой связности

Для настройки сетевой связности выполните следующие шаги:

  1. Откройте порты 514 для UDP или TCP на сетевых устройствах.

  2. Убедитесь, что источники событий имеют доступ к syslog-серверу.

Настройка источника событий

Убедитесь, что устройство или приложение поддерживает формат CEF и протокол syslog.

Способ настройки отправки событий может отличаться в зависимости от типа источника. Рекомендуем использовать официальную документацию источника при настройке логирования и отправки событий.

Для настройки источника событий для отправки сообщений в формате CEF выполните следующие шаги:

  1. Укажите формат отправки — CEF.

  2. Задайте адрес syslog-сервера.

  3. Укажите порт. В примере ниже введен порт 514.

Пример 1. Пример команды настройки
log_format CEF
log_server <syslog-server-IP>
log_port 514

Настройка syslog-сервера

Для настройки syslog-сервера выполните следующие шаги:

  1. Откройте конфигурационный файл rsyslog в директории /etc/rsyslog.d/.

  2. Добавьте в файл правило обработки CEF-сообщений:

    # Настройка для приема сообщений на порте 514 протокол UDP
module(load="imudp")
input(type="imudp" port="514")

# Направление CEF-сообщений в R-Vision SIEM
if $msg contains "CEF:" then {
    action(type="omfwd" Target="<siem>" Port="<port>" Protocol="tcp")
}

    Здесь:

    • <siem> — IP-адрес или полное доменное имя (FQDN) узла кластера Kubernetes, на котором запущен коллектор SIEM.

    • <port> — порт точки входа Syslog для отправки событий на конвейер SIEM — любой свободный порт в диапазоне 30000—​32767.

  3. Перезапустите syslog-сервер с помощью команды:

    sudo systemctl restart rsyslog

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне syslog-сервера.

    • Протокол: выберите вариант в соответствии с настройками на стороне syslog-сервера.

  3. Добавьте на конвейер элемент Нормализатор с правилом Universal CEF (идентификатор правила: RV-N-18).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

CEFPipelineScheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события источника.

Найти события источника в хранилище можно по следующему фильтру:

dproduct = "<Device Product>"

где <Device Product> — имя продукта, установленное вендором в поле Device Product CEF-заголовка события:

Jan 18 11:07:53 host CEF:Version|Device Vendor|Device Product|Device
Version|Device Event Class ID|Name|Severity|[Extension]

Проверка получения событий

Для проверки корректности настройки источника событий выполните следующие шаги:

  1. Используйте утилиту logger для отправки тестового сообщения:

    logger -P 514 -n <syslog-server-IP> "CEF:0|Vendor|Product|Version|SignatureID|Name|Severity|Extension"

    где <syslog-server-IP> — адрес syslog-сервера.

  2. Убедитесь, что события поступают в R-Vision SIEM и записываются в указанное хранилище.

  3. Проверьте логи на syslog-сервере для подтверждения получения отправленного сообщения.

  4. В случае отсутствия событий в SIEM убедитесь в корректности настроек порта, протокола и формата сообщений на стороне источника и syslog-сервера.

Решение проблем

Некорректный формат события может стать причиной неработающего правила нормализации.

Для устранения проблемы выполните следующие шаги:

  1. Проверьте, соответствует ли событие одному из допустимых форматов:

    CEF:0|Vendor|Product|Version|SignatureID|Name|Severity|Extension
'Syslog header' CEF:0|Vendor|Product|Version|SignatureID|Name|Severity|Extension

  2. Удалите из события префикс syslog и проверьте, работает ли правило нормализации.

  3. Если проблема сохраняется, проверьте событие на наличие лишних символов. Например, после разделителя | не должно быть пробелов.

    Пример с ошибкой:

    CEF:0|R-Vision|SEA|1.0|empty|empty|2| RealTime=09/13/2024 07:49:57

    Корректный формат:

    CEF:0|R-Vision|SEA|1.0|empty|empty|2|RealTime=09/13/2024 07:49:57

  4. В RObject-конфигурации правила нормализации замените VRL-функцию parse_cef на rv_parse_cef, которая поддерживает заголовки syslog. Например:

    normalizer: !vrl |
  # event = parse_cef(.raw.message) ?? {}
  event = rv_parse_cef(.raw.message) ?? {}
+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies