СёрчИнформ КИБ: настройка источника

Данное руководство содержит инструкции по настройке подключения СёрчИнформ КИБ к системе R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что установлена сетевая связность между сервером AlertCenter и SIEM по целевому порту и протоколу.

Настройка СёрчИнформ КИБ

На сервере SearchInform откройте консоль AlertCenter и перейдите на вкладку SIEM Service.
Нажмите на кнопку Настройки экспорта SIEM.
В открывшемся окне создания задачи экспорта нажмите на кнопку Добавить и создайте задачу экспорта с требуемой периодичностью.
Укажите требуемые значения в полях Syslog хост-сервер, Порт syslog и Транспорт.
Сохраните изменения.

Настройка на стороне источника завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Socket.
- Порт точки входа: введите значение в соответствии с настройками на стороне источника.
- Протокол: выберите вариант в соответствии с настройками на стороне источника.
Добавьте на конвейер элемент Нормализатор с правилом Searchinform DLP (идентификатор правила: RV-N-312).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

searchinform dlp siem pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события СёрчИнформ КИБ.

Найти события СёрчИнформ КИБ в хранилище можно по следующему фильтру:

device_product = "searchinform_dlp"

searchinform dlp storage

Была ли полезна эта страница?