R-Vision SOAR: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий R-Vision SOAR в R-Vision SIEM.
Предварительные требования
-
Сетевая доступность узлов кластера SIEM по целевому порту и протоколу для источника или сетевая доступность централизованного Syslog-сервера.
Настройка R-Vision SOAR
Настройка отправки событий в R-Vision SIEM
Чтобы настроить отправку событий R-Vision SOAR в R-Vision SIEM, выполните следующие шаги:
-
Войдите в веб-интерфейс R-Vision SOAR под учетной записью администратора.
-
Перейдите в раздел Настройки системы → Общие → Журнал.
-
В карточке журнала перейдите на вкладку Настройки.
-
Установите переключатель Отправка логов по syslog в активное положение.
-
Введите IP-адрес сервера rsyslog.
-
Введите значение порта сервера rsyslog.
-
Выберите из выпадающего списка протокол TCP.
-
Сохраните изменения.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне R-Vision SOAR.
-
Протокол: выберите из выпадающего списка вариант TCP.
-
-
Добавьте на конвейер элемент Нормализатор с правилом R‑Vision SOAR (идентификатор правила: RV-N-292).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события R-Vision SOAR.
|
Найти события R-Vision SOAR в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
