С-Терра Шлюз 4.3

Данное руководство описывает процесс настройки отправки событий логирования в R-Vision SIEM, а также получения событий аудита С-Терра Шлюз 4.3.

Настройка С-Терра Шлюз 4.3
- Настройка службы rsyslog
Настройка в R-Vision SIEM
Типы обрабатываемых событий
Таблицы маппинга

Настройка С-Терра Шлюз 4.3

Для настройки отправки событий логирования в SIEM выполните следующие шаги:

Откройте Cisco-like консоль источника.
Перейдите в режим администрирования:
```
enable
```
Перейдите в режим конфигурации:
```
configure terminal
```
Включите логирование и установите уровень логирования:
```
logging on
logging trap debugging
```
Настройте службу отправки. Для этого выполните следующие команды в командной строке источника:
```
log_mgr set-syslog -y enable -a <siem-collector-ip> -f local7
log_mgr set -l debug
```
Здесь <siem-collector-ip> — IP-адрес коллектора SIEM.

Установите предподготовленные (изначально имеющиеся в источнике) конфигурационные файлы логирования:

log_mgr set -e /opt/VPNagent/etc/msg_grpCERTS.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpKERNEL.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpLDAP.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpPOLICY.ini -f
log_mgr set -e /opt/VPNagent/etc/msg_grpSYSTEM.ini -f

Настройка службы rsyslog

Откройте файл /etc/rsyslog.conf.
Добавьте в файл следующую строку:
```
local7.* @<siem-collector-ip><port>
```
Здесь:
- <siem-collector-ip> — IP-адрес коллектора SIEM, указанный при настройке источника.
- <port> — порт точки входа Syslog на конвейере SIEM — любой свободный порт в диапазоне 30000—32767.
Перезапустите службу rsyslog с помощью команды:
```
systemctl restart rsyslog.service
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне службы rsyslog.
- Протокол: выберите вариант UDP.
Добавьте на конвейер элемент Нормализатор с правилом S-Terra Gate ST 4.3 (идентификатор правила: RV-N-106).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

s terra gate pipeline scheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события С-Терра Шлюз 4.3.

Найти события С-Терра Шлюз 4.3 в хранилище можно по следующему фильтру:

dproduct = "s-terra gate st"

s terra gate storage

Типы обрабатываемых событий

События из С-Терра Шлюз 4.3 во внешние системы передаются в формате RFC. Подробная информация о событиях представлена в документе РЛКЕ.00027-01 92 01б "РУКОВОДСТВО АДМИНИСТРАТОРА ПРОТОКОЛИРОВАНИЕ СОБЫТИЙ" от 10.09.2021.

Таблицы маппинга

Таблица 1. Общий маппинг
Поле модели событий	Значение
`dvendor`	`s-terra`
`dproduct`	`s-terra gate st`
`dversion`	`4.3`
`dvchost`	`raw.hostname`
`dvc`	`raw.hostname`
`msg`	Приводится к виду `user-like` на основе других полей
`rt`	`raw.timestamp`
`severity`	`raw.severity`
`externalId`	`raw.message.code`
`facility`	`raw.facility`
`destinationServiceName`	`raw.message.appname`

Таблица 2. Login in cisco-like
Поле модели событий	Значение
`name`	`Cisco-like console started`
`outcome`	`success`
`act`	`login`
`suser`	`account name`

Таблица 3. Logout
Поле модели событий	Значение
`name`	`Cisco-like console exited`
`outcome`	`success`
`act`	`logout`
`suser`	`account name`

Таблица 4. Use command interpreter
Поле модели событий	Значение
`outcome`	`success/failure`
`act`	`input command`
`suser`	`account name`
`cmd`	`raw.message.command`

Таблица 5. User created/removed/password changed/privilege changed
Поле модели событий	Значение
`name`	User created/removed/password changed/privilege changed
`act`	user created/removed/password changed/privilege changed
`duser`	Учетная запись, над которой выполняется операция
`suser`	Учетная запись, выполняющая операцию

Таблица 6. Enable mode
Поле модели событий	Значение
`name`	`User privilege changed`
`outcome`	`success`
`act`	`enable mode`

Таблица 7. Start IKE session
Поле модели событий	Значение
`name`	`Start IKE session`
`dst`	`raw.message.peer.address`
`dpt`	`raw.message.peer.port`
`targetSessionId`	`raw.message.sessionId`

Таблица 8. IPSec connection established
Поле модели событий	Значение
`name`	`IPSec connection established`
`dst`	`raw.message.peer.address`
`dpt`	`raw.message.peer.port`
`cs1`	`raw.message.traffic selector.src subnet`
`cs1Label`	`src tunnel subnet`
`cs2`	`raw.message.traffic selector.dst subnet`
`cs2Label`	`dst tunnel subnet`
`cs3`	`raw.message.connection num`
`cs3Label`	`connection num`

Таблица 9. IPSec connection closed
Поле модели событий	Значение
`name`	`IPSec connection closed`
`cs3`	`raw.message.connection num`
`cs3Label`	`connection num`
`bytesIn`	`raw.message.bytes received`
`bytesOut`	`raw.message.bytes sent`

Таблица 10. ISAKMP connection established
Поле модели событий	Значение
`name`	`ISAKMP connection established`
`dst`	`raw.message.peer.address`
`dpt`	`raw.message.peer.port`
`cs3`	`raw.message.connection num`
`cs3Label`	`connection num`

Таблица 11. ISAKMP connection closed
Поле модели событий	Значение
`name`	`ISAKMP connection closed`
`cs3`	`raw.message.connection num`
`cs3Label`	`connection num`
`bytesIn`	`raw.message.bytes received`
`bytesOut`	`raw.message.bytes sent`