Efros DefOps NAC: настройка источника

Данная инструкция описывает настройку сбора событий Efros DefOps NAC и их последующей отправки в R-Vision SIEM.

Предварительные требования

Сетевая доступность нод кластера SIEM по целевому порту и протоколу для источника.

Настройка Efros DefOps NAC

Настройка журналирования

Создание планировщика и отправка событий

Для осуществления сбора логов в SIEM необходимо в веб-интерфейсе Efros DefOps NAC создать планировщик задач и настроить отправку Syslog-сообщений.

Для создания планировщика задач выполните следующие действия:

  1. Войдите в веб-интерфейс с правами администратора.

  2. Перейдите в раздел Администрирование → Планировщик.

  3. Убедитесь что открыта вкладка По событию и нажмите на кнопку Задача (plus).

    efros nac scheduler event

  4. В открывшемся окне настройте параметры задачи:

    1. Переведите переключатель Статус в активное положение.

    2. Введите название планировщика.

    3. Добавьте необходимые условия.

    4. Добавьте действие Отправить Syslog сообщение со следующими настройками:

      1. Адрес сервера: укажите IP-адрес коллектора SIEM.

      2. Протокол: выберите протокол отправки событий TCP.

      3. Порт сервера: укажите порт точки входа на конвейере SIEM.

      4. Формат сообщения: выберите вариант RFC 3164.

        efros nac scheduler

  5. Нажмите на кнопку Создать.

При срабатывании выбранных в планировщике условий события будут отправляться в R-Vision SIEM.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Efros DefOps NAC.

    • Протокол: выберите из выпадающего списка вариант TCP.

  3. Добавьте VRL-трансформацию со следующим кодом:

    .device_vendor = "efros"

  4. Соедините VRL-трансформацию с точкой входа.

  5. Добавьте на конвейер элемент Нормализатор с правилом Efros NAC (идентификатор правила: RV-N-261).

  6. Соедините нормализатор с VRL-трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

efros nac pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Efros DefOps NAC.

Найти события Efros DefOps NAC в хранилище можно по следующему фильтру:

device_vendor = "efros"

efros nac storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь