BIND DNS: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий BIND DNS в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь в выполнении следующих условий:

  • Сетевая связность между сервером BIND DNS и SIEM (или промежуточным узлом) обеспечена, а необходимые порты открыты.

Настройка BIND DNS

Настройка журналирования BIND DNS

Для настройки журналирования BIND DNS выполните следующие действия:

  1. Добавьте в файл named.conf следующую конфигурацию логирования:

    Файл конфигурации named.conf в разных ОС может находиться либо в /etc/, либо в /etc/bind/.

    		 
    logging {
        channel anomalies_log {
                file "/var/log/named/anomalies.log" versions 5 size 50m;
                severity info;
                print-category yes;
                print-severity yes;
                print-time yes;
        };
        channel security_log {
                file "/var/log/named/security.log" versions 3 size 5m;
                severity info;
                print-category yes;
                print-severity yes;
                print-time yes;
        };
        channel query_log {
                file "/var/log/named/query.log" versions 600 size 20m;
                print-time yes;
                print-category yes;
                print-severity yes;
                severity info;
        };

        // categories binginds
        category queries { query_log; };

        category resolver { anomalies_log; };
        category dnssec { anomalies_log; };
        category lame-servers { anomalies_log; };
        category network { anomalies_log; };
        category rate-limit { anomalies_log; };

        category xfer-in { security_log; };
        category xfer-out { security_log; };
        category security { security_log; };
        category client  { security_log; };
        category update-security  { security_log; };

};

  2. Перезапустите сервис named с помощью команды:

    sudo systemctl restart named.service

Журналирование BIND DNS настроено.

Настройка отправки событий в R-Vision SIEM

В настоящем руководстве рассматривается передача событий с помощью службы syslog.

rsyslog

Предполагается, что rsyslog на станции с ОС Linux уже установлен и модуль imfile подгружен в /etc/rsyslog.conf. Для настройки передачи событий из файлов BIND DNS выполните следующие действия:

  1. Создайте файл /etc/rsyslog.d/99-binddns-siem.conf со следующим содержимым:

    input(type="imfile"
      File="/var/log/named/security.log"
      Tag="bind-security"
      Severity="info"
      Facility="local7"
)

input(type="imfile"
      File="/var/log/named/anomalies.log"
      Tag="bind-anomalies"
      Severity="info"
      Facility="local7"
)

input(type="imfile"
      File="/var/log/named/query.log"
      Tag="bind-queries"
      Severity="info"
      Facility="local7"
)

if $syslogtag contains 'bind' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="udp")
}

    Здесь:

    • <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.

    • <port> — порт точки входа Syslog на конвейере SIEM.

  2. Перезапустите сервис rsyslog с помощью команды:

    sudo systemctl restart rsyslog

Отправка событий BIND DNS настроена.

syslog-ng

Предполагается, что syslog-ng на станции с ОС Linux уже установлен. Для настройки передачи событий из файлов BIND DNS выполните следующие действия:

  1. Создайте файл /etc/syslog-ng/conf.d/binddns-siem.conf со следующим содержимым:

    source binddns {
        file("/var/log/named/anomalies.log" flags(no-parse) log_prefix("bind-anomalies: "));
        file("/var/log/named/security.log" flags(no-parse) log_prefix("bind-security: "));
        file("/var/log/named/query.log" flags(no-parse) log_prefix("bind-queries: "));
};

destination siem {
        udp("<target>" port(<port>)); # указать IP и порт точки входа SIEM
};

log {
        source(binddns); destination(siem);
};

    Здесь:

    • <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.

    • <port> — порт точки входа Syslog на конвейере SIEM.

  2. Перезапустите сервис syslog-ng с помощью команды:

    sudo systemctl restart syslog-ng

Отправка событий BIND DNS настроена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий BIND DNS в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне источника.

    • Протокол: выберите вариант в соответствии с настройками на стороне источника.

  3. Добавьте на конвейер элемент Нормализатор с правилом BIND DNS (идентификатор правила: RV-N-188).

    binddns enable rules v2

  4. Соедините точку входа с нормализатором.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. При необходимости добавьте на конвейер элемент Шина, настроенный на получение. Он используется для проброса событий между конвейерами.

  7. Соедините конечную точку и шину с нормализатором.

  8. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

binddns conv

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события BIND DNS.

Найти события BIND DNS в хранилище можно по следующему фильтру:

device_product = "bind_dns"

binddns storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь