Dr.Web Enterprise Security Suite: настройка источника

Данное руководство описывает процесс настройки сбора событий Dr.Web Enterprise Security Suite (ESS) в формате CEF и их отправки в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая связность между сервером Dr.Web и SIEM обеспечена, а необходимые порты открыты.

Настройка Dr.Web ESS

Настройка отправки событий в R-Vision SIEM

Чтобы настроить отправку событий Dr.Web ESS в R-Vision SIEM, выполните следующие шаги:

  1. Войдите в веб-интерфейс Dr.Web под учетной записью с правами администратора.

  2. Перейдите в раздел Администрирование.

    drweb ess cef admin

  3. В разделе Оповещения выберите вариант Конфигурация оповещений.

    drweb ess cef notif

  4. Выберите из выпадающего списка Метод отправки оповещений вариант Syslog.

  5. В поле Получатель укажите адрес коллектора SIEM или промежуточный сервер Syslog в формате:

    <protocol>://<ip>:<port>

    Здесь:

    • <protocol> — сетевой протокол: tcp или udp.

    • <ip> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.

    • <port> — порт точки входа Socket на конвейере SIEM.

  6. Выберите из выпадающего списка формат событий CEF (Common Event Format).

  7. В поле Отправитель укажите FQDN сервера Dr.Web.

  8. Убедитесь, что установлены все флажки.

    drweb ess cef notif send

  9. Нажмите на кнопку Сохранить в правом верхнем углу.

    drweb ess cef notif save

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Socket.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Dr.Web ESS.

    • Протокол: выберите вариант в соответствии с настройками на стороне Dr.Web ESS.

  3. Добавьте на конвейер элемент Нормализатор с правилом Dr Wed ESS (идентификатор правила: RV-N-297).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

drweb ess cef pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Dr.Web ESS.

Найти события Dr.Web ESS в хранилище можно по следующему фильтру:

normalization_rule_name = "Dr Wed ESS"

drweb ess cef filter

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь