Solar webProxy

Данное руководство описывает процесс отправки событий Solar webProxy в R-Vision SIEM.

Настройка Solar webProxy

Чтобы настроить журналирование Solar webProxy, выполните следующие шаги:

Войдите в веб-интерфейс Solar webProxy.
Для настройки журналирования сообщений службы skvt-play-server перейдите в раздел Система → Основные настройки → Журналирование → Сервер веб-интерфейса.
Раскройте пункт Форматы записи в syslog и установите флажки напротив следующих параметров:
- Запись журнала (формат access-log);
- Запись журнала (формат SIEM);
- Запись преобразования IP-адреса источника (формат SIEM).
Нажмите на кнопку Сохранить.
Для настройки журналирования сообщений службы skvt-wizor в файл syslog-ng выполните следующие действия:
1. Перейдите в раздел Система → Расширенные настройки → Фильтрация и кэширование трафика → Фильтрация и анализ трафика пользователей → Форматы записи в syslog.
2. Выберите формат записи в системный журнал сообщений: access-log, siem-log или ip-translation-log.
Нажмите на кнопку Сохранить.

Журналирование настроено.

Чтобы настроить отправку событий Solar webProxy в R-Vision SIEM, выполните следующие шаги:

Настройте передачу событий из файла. Для этого создайте файл /etc/syslog-ng/conf.d/10-solar-webproxy.conf со следующим содержимым:
```
source skvt {
        file("/opt/dozor/var/log/skvt-wizor/current" flags(no-parse) program_override("webproxy-skvt-wizor"));
        file("/opt/dozor/var/log/skvt-play-server/current" flags(no-parse) program_override("webproxy-skvt-play-server"));
};

destination rlog {
        <protocol>("<target>" port(<port>));
};

log {
        source(skvt);
        destination(rlog);
};
```
Здесь:
- <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.
- <port> — порт точки входа Syslog в конвейере SIEM.
- <protocol> — сетевой протокол: tcp или udp.
Перезапустите службу syslog-ng с помощью команды:
```
systemctl restart syslog-ng
```

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Solar webProxy.
- Протокол: выберите вариант в соответствии с настройками на стороне Solar webProxy.
Добавьте на конвейер элемент Нормализатор с правилами Solar webProxy (идентификатор правила: RV-N-115) и Solar webProxy (идентификатор правила: RV-N-116).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

solar web proxy pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Solar webProxy.

Найти события Solar webProxy в хранилище можно по следующему фильтру:

dproduct = "webProxy"

solar web proxy storage

Таблицы соответствия полей события для всех рассмотренных типов событий представлены здесь и здесь.