R-Vision TDP: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий R-Vision Threat Deception Platform (R-Vision TDP) в R-Vision SIEM.
Настройка R-Vision TDP
Для настройки отправки событий выполните следующие действия:
-
Войдите в веб-интерфейс R-Vision TDP.
-
Перейдите в раздел Настройки → Интеграции → Syslog.
-
В открывшейся вкладке нажмите на кнопку Добавить (
). -
В текущем окне заполните параметры интеграции:
-
Название — название системы.
-
Адрес сервера — IP-адрес или FQDN узла кластера R-Vision SIEM.
-
Порт — порт Syslog-сервера.
-
Протокол — сетевой протокол (TCP или UDP).
-
-
Нажмите на кнопку Далее.
-
Выберите типы событий для отправки.
-
Нажмите на кнопку Добавить.
Если настройка на стороне R-Vision TDP проведена корректно, в разделе Интеграции → Syslog отобразится добавленная вами интеграция.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Socket.
-
Порт точки входа: введите значение в соответствии с настройками на стороне R‑Vision TDP.
-
Протокол: выберите вариант в соответствии с настройками на стороне R‑Vision TDP.
-
-
Добавьте на конвейер элемент Нормализатор с правилом R‑Vision TDP (идентификатор правила: RV-N-287).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события R-Vision TDP.
|
Найти события R‑Vision TDP в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
