S-Terra Gate 4.3

Данное руководство описывает процесс настройки отправки событий логирования в R-Vision SIEM, а также получения событий аудита c ViPNet Coordinator 4.

Настройка сбора событий на стороне источника

Для настройки отправки событий логирования в SIEM выполните следующие шаги:

Откройте Cisco-like консоль источника.
Перейдите в режим администрирования:
```
enable
```
Перейдите в режим конфигурации:
```
configure terminal
```
Включите логирование и установите уровень логирования:
```
logging on
logging trap debugging
```
Настройте службу отправки. Для этого выполните следующие команды в командной строке источника:
```
log_mgr set-syslog -y enable -a <siem-collector-ip> -f local7
log_mgr set -l debug
```
Здесь:
- <siem-collector-ip> — IP-адрес коллектора SIEM.

Установите предподготовленные (изначально имеющиеся в источнике) конфигурационные файлы логирования:

log_mgr set -e /opt/VPNagent/etc/msg_grpCERTS.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpKERNEL.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpLDAP.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpPOLICY.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpSYSTEM.ini -f

Настройка службы rsyslog

Откройте файл /etc/rsyslog.conf.
Добавьте в файл следующую строку:
```
local7.* @<siem-collector-ip><port>
```
Здесь:
- <siem-collector-ip> — IP-адрес коллектора SIEM, указанный при настройке источника.
- <port> — порт точки входа Syslog в конвейере SIEM — любой свободный порт больше 30000.
Перезапустите службу rsyslog:
```
systemctl restart rsyslog.service
```

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте в конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog. Создайте точку входа с указанными параметрами:
2. Порт точки входа — в соответствии с настройками на стороне службы rsyslog.
3. Протокол — UDP.
Соедините с точкой входа Нормализатор с добавленным правилом нормализации с ID b4a8c51f-b211-4967-825e-71cf9a3b856a.
Соедините с нормализатором конечную точку типа Хранилище событий.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

Список типов событий

События из S-Terra Gate во внешние системы передаются в формате RFC. Подробная информация о событиях представлена в документе РЛКЕ.00027-01 92 01б "РУКОВОДСТВО АДМИНИСТРАТОРА ПРОТОКОЛИРОВАНИЕ СОБЫТИЙ" от 10.09.2021.

Таблицы маппинга

Таблица 1. Общий маппинг
Поле модели событий	Значение
`dvendor`	`s-terra`
`dproduct`	`s-terra gate st`
`dversion`	`4.3`
`dvchost`	`raw.hostname`
`dvc`	`raw.hostname`
`msg`	Приводится к виду `user-like` на основе других полей
`rt`	`raw.timestamp`
`severity`	`raw.severity`
`externalId`	`raw.message.code`
`facility`	`raw.facility`
`destinationServiceName`	`raw.message.appname`

Таблица 2. Login in cisco-like
Поле модели событий	Значение
`name`	`Cisco-like console started`
`outcome`	`success`
`act`	`login`
`suser`	`account name`

Таблица 3. Logout
Поле модели событий	Значение
`name`	`Cisco-like console exited`
`outcome`	`success`
`act`	`logout`
`suser`	`account name`

Таблица 4. Use command interpreter
Поле модели событий	Значение
`outcome`	`success/failure`
`act`	`input command`
`suser`	`account name`
`cmd`	`raw.message.command`

Таблица 5. User created/removed/password changed/privilege changed
Поле модели событий	Значение
`name`	User created/removed/password changed/privilege changed
`act`	user created/removed/password changed/privilege changed
`duser`	Учетная запись, над которой выполняется операция
`suser`	Учетная запись, выполняющая операцию

Таблица 6. Enable mode
Поле модели событий	Значение
`name`	`User privilege changed`
`outcome`	`success`
`act`	`enable mode`

Таблица 7. Start IKE session
Поле модели событий	Значение
`name`	`Start IKE session`
`dst`	`raw.message.peer.address`
`dpt`	`raw.message.peer.port`
`targetSessionId`	`raw.message.sessionId`

Таблица 8. IPSec connection established
Поле модели событий	Значение
`name`	`IPSec connection established`
`dst`	`raw.message.peer.address`
`dpt`	`raw.message.peer.port`
`cs1`	`raw.message.traffic selector.src subnet`
`cs1Label`	`src tunnel subnet`
`cs2`	`raw.message.traffic selector.dst subnet`
`cs2Label`	`dst tunnel subnet`
`cs3`	`raw.message.connection num`
`cs3Label`	`connection num`

Таблица 9. IPSec connection closed
Поле модели событий	Значение
`name`	`IPSec connection closed`
`cs3`	`raw.message.connection num`
`cs3Label`	`connection num`
`bytesIn`	`raw.message.bytes received`
`bytesOut`	`raw.message.bytes sent`

Таблица 10. ISAKMP connection established
Поле модели событий	Значение
`name`	`ISAKMP connection established`
`dst`	`raw.message.peer.address`
`dpt`	`raw.message.peer.port`
`cs3`	`raw.message.connection num`
`cs3Label`	`connection num`

Таблица 11. ISAKMP connection closed
Поле модели событий	Значение
`name`	`ISAKMP connection closed`
`cs3`	`raw.message.connection num`
`cs3Label`	`connection num`
`bytesIn`	`raw.message.bytes received`
`bytesOut`	`raw.message.bytes sent`