Usergate UTM
Данное руководство описывает настройку сбора событий универсального шлюза безопасности UserGate и их отправки в хранилище R-Vision SIEM.
Настройка Usergate UTM для отправки логов на сервер syslog
Чтобы настроить Usergate UTM для отправки логов:
-
Авторизуйтесь в веб-интерфейсе Usergate UTM под учетной записью с правами администратора.
Данные учетной записи, созданной по умолчанию, см. в документации Usergate UTM. -
Перейдите в раздел Logs & Reports.
-
Добавьте новый Syslog-сервер. Для этого:
-
Нажмите Add Log Source.
-
Выберите Syslog в качестве типа источника логов.
-
Введите IP-адрес и порт коллектора SIEM.
-
-
Настройте параметры отправки логов:
-
Укажите, какие типы событий и уровни важности логов нужно отправлять.
-
При необходимости настройте фильтры и правила для обработки логов.
-
Настройка Usergate UTM для сбора логов
Чтобы настроить Usergate UTM для сбора логов с устройств:
-
В веб-интерфейсе Usergate UTM перейдите в раздел Devices.
-
Добавьте устройства, с которых вы хотите собирать логи.
-
Настройте параметры сбора логов для каждого устройства.
Настройка коллектора SIEM для сбора логов.
Для интеграции источника с R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Тип точки входа — Syslog;
-
Порт точки входа и Протокол — в соответствии с настройками на устройстве Usergate.
-
-
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
.dvendor = "Usergate" .dproduct = "UTM" -
Добавьте на конвейер Нормализатор с правилом Usergate UTM 6 (идентификатор
RV-N-36). Соедините нормализатор с VRL-трансформацией. -
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера
