РЕД База Данных: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий РЕД База Данных в R-Vision SIEM.

Предварительные требования

Перед началом настройки убедитесь, что выполнены следующие условия:

Сетевая связность между сервером СУБД (РЕД База Данных) и SIEM (или промежуточным syslog-сервером) обеспечена, а необходимые порты открыты.
На машине, с которой планируется сбор событий, установлен сервис rsyslog или syslog-ng.
Создана учетная запись с правами администратора для изменения конфигурации РЕД База Данных и rsyslog.

Настройка РЕД База Данных

В настоящем руководстве рассматривается передача событий с помощью службы rsyslog.

Настройка журналирования РЕД База Данных

Для настройки источника выполните следующие действия:

В конфигурационном файле раскомментируйте следующую строку:
```
    AuditTraceConfigFiles = fbtrace.conf;
```

В конфигурационном файле fbtrace.conf найдите и отредактируйте параметры:

database
{
        enabled = true
        format = system
        include_filter = "%(SELECT|INSERT|UPDATE|DELETE|DROP|ALTER|CREATE|GRANT|REVOKE)%"
        log_connections = true
        log_transactions = true
        log_statement_finish = true
        log_errors = true
        log_warnings = true
        print_hostname = true
}

Перезапустите сервис базы данных командой:
```
systemctl restart firebird
```

Отправка событий РЕД База Данных

Чтобы настроить отправку событий РЕД База Данных:

Создайте файл /etc/rsyslog.d/10-reddb.conf со следующим содержимым:
```
if $programname == 'RedDatabase' or $syslogtag == 'RedDatabase' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
  stop
}
```
Здесь:
- <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.
- <port> — порт точки входа Syslog в конвейере SIEM.
- <protocol> — сетевой протокол: tcp или udp.
Перезапустите службу rsyslog.service с помощью команды:
```
systemctl restart rsyslog.service
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне РЕД База Данных.
- Протокол: выберите вариант в соответствии с настройками на стороне РЕД База Данных.
Добавьте на конвейер элемент Нормализатор с правилом RED SOFT RED Database (идентификатор правила: RV-N-318).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

reddb pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события РЕД База Данных.

Найти события РЕД База Данных в хранилище можно по следующему фильтру:

device_product = "reddb"

Была ли полезна эта страница?