Код Безопасности Континент 4: настройка источника PostgreSQL

Данное руководство описывает процесс настройки сбора и отправки событий аппаратно-программного комплекса шифрования (АПКШ) Континент 4 в R-Vision SIEM посредством PostgreSQL.

Предварительные требования

Необходима внешняя БД PostgreSQL для хранения событий Континент 4 и их последующей передачи в R-Vision SIEM.

Настройка СУБД PostgreSQL

Для создания БД в PostgreSQL подключитесь к СУБД от имени пользователя, имеющего права администратора СУБД. Дальнейший алгоритм настройки:

  1. Создайте Администратора будущей БД. Данная запись потребуется для записи событий в БД:

    CREATE USER root WITH PASSWORD 'password';

  2. Создайте БД kontinent, администратором которой будет созданный на предыдущем шаге пользователь:

    CREATE DATABASE kontinent OWNER root;

  3. Создайте пользователя для чтения таблиц БД kontinent:

    CREATE USER reader WITH PASSWORD 'password';

  4. Подключитесь к БД kontinent:

    \c kontinent
    Данная команда работает, если настройка производится через клиент psql. Если вы проводите настройку с помощью другого внешнего клиента, то создайте новое подключение к СУБД с указанием БД kontinent.

  5. Предоставьте права на подключение к БД пользователю reader:

    GRANT CONNECT ON DATABASE kontinent TO reader;

  6. Установите права пользователя reader по умолчанию для таблиц, которые будут создаваться пользователем root:

    ALTER DEFAULT PRIVILEGES FOR USER root IN SCHEMA public
GRANT SELECT ON TABLES TO reader;

Настройка PostgeSQL завершена.

Настройка Континент 4

Для настройки отправки событий во внешнюю СУБД PostgreSQL на АПКШ Континент 4 выполните следующие шаги:

  1. Подключитесь к центру управления сетью (далее — ЦУС) с помощью ПО "Континент. Менеджер конфигурации".

  2. Откройте вкладку Структура.

  3. Выберите узел безопасности (далее — УБ), с которого необходимо отправлять события в SIEM.

  4. Вызовите контекстное меню для УБ и выберите пункт Свойства. Откроется меню настроек УБ.

  5. Откройте вкладку Настройки журналированияВнешнее хранилище.

  6. Для параметра Детализация задайте значение Высокий.

  7. Нажмите на кнопку добавления внешнего системного журнала.

  8. Заполните параметры для блока Внешняя база данных:

    • Адрес: введите IP-адрес СУБД.

    • Порт: введите значение порта, прослушиваемого сервером СУБД.

    • Название базы данных: введите имя БД, подготовленной для записи событий Континент 4.

    • Имя пользователя: введите имя пользователя с правами на запись в БД.

    • Пароль: введите пароль пользователя.

  9. Блок Поисковая машина заполните любыми данными.

    Настройки журналирования должны выглядеть следующим образом:

    kodbezopasnosti kontinent4 logging settings db

  10. Нажмите на кнопку Применить.

  11. Нажмите на кнопку ОК.

  12. Отправьте конфигурацию на УБ. Для этого:

    1. В главном меню нажмите на кнопку kodbezopasnosti kontinent4 button.

    2. Отметьте УБ, для которого настраивалось внешнее журналирование.

    3. Нажмите на кнопку ОК.

Настройка на стороне АПКШ Континент 4 завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Строка подключения.

      • Строка подключения: введите строку вида:

        jdbc:postgresql://DBSERVER:PORT/kontinent?user=reader&password=passw0rd

        Здесь:

        • DBSERVER — FQDN или IP-адрес сервера с СУБД.

        • PORT — порт, прослушиваемый СУБД.

        kodbezopasnosti kontinent4 create secret connection string

    4. Нажмите на кнопку Создать.

  2. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  3. Далее необходимо добавить три элемента типа Точка входа:

    1. Точка входа для сбора событий аудита:

      • Название: введите название точки входа.

      • Тип точки входа: выберите вариант Database.

      • Драйвер базы данных: выберите вариант PostgreSQL.

      • Адрес подключения: выберите секрет, созданный ранее.

      • SQL-запрос: введите запрос вида:

        SELECT
	id
	,timestamp
	,timestamp_str
	,hostname
	,syslogfacility
	,syslogseverity
	,sourcename
	,message
	,msgrepeatcount
	,hwserial
	,additional
	,'Journal_1' AS sourceservicename
	,'Kontinent 4' as appname
FROM public.log
WHERE id > CAST(? AS BIGINT)
ORDER BY id ASC LIMIT 10000;

      • Поле идентификатора: введите ключ id со значением 1.

      • Интервал запроса, секунд: введите значение 15.

    2. Точка входа для сбора событий фильтрации:

      • Название: введите название точки входа.

      • Тип точки входа: выберите вариант Database.

      • Драйвер базы данных: выберите вариант PostgreSQL.

      • Адрес подключения: выберите секрет, созданный ранее.

      • SQL-запрос: введите запрос вида:

        SELECT
	id
	,timestamp
	,timestamp_str
	,sensor_id
	,event_type, src_ip
	,src_port, dest_ip
	,dest_port
	,proto
	,in_iface
	,action
	,signature_id
	,signature
	,category
	,severity
	,payload
	,packet
	,msgrepeatcount
	,dest_domain
	,revision
	,signature_body
	,sourcename
	,hostname
	,dest_country
	,src_country
	,username
	,vrf
	,'Journal_2' AS sourceservicename
	,'Kontinent 4' as appname
FROM public.ids_log
WHERE id > CAST(? AS BIGINT)
ORDER BY id ASC LIMIT 10000;

      • Поле идентификатора: введите ключ id со значением 1.

      • Интервал запроса, секунд: введите значение 15.

    3. Точка входа для сбора событий управления конфигурацией:

      • Название: введите название точки входа.

      • Тип точки входа: выберите вариант Database.

      • Драйвер базы данных: выберите вариант PostgreSQL.

      • Адрес подключения: выберите секрет, созданный ранее.

      • SQL-запрос: введите запрос вида:

        SELECT
    id
    ,timestamp
    ,timestamp_str
    ,hostname
    ,syslogseverity
    ,category
    ,subject
    ,action
    ,hwserial
    ,sourcename
	,'Journal_3' AS sourceservicename
	,'Kontinent 4' as appname
FROM public.management_log
WHERE id > CAST(? AS BIGINT)
ORDER BY id ASC LIMIT 10000;
        При большом количестве событий в СУБД рекомендуется добавлять LIMIT 10000 в конец SQL-запроса.

      • Поле идентификатора: введите ключ id со значением 1.

      • Интервал запроса, секунд: введите значение 15.

  4. Добавьте на конвейер элемент Нормализатор с правилом Код Безопасности Континент 4 БД (идентификатор правила: RV-N-276).

  5. Соедините нормализатор с точками входа.

  6. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  7. Соедините конечную точку с нормализатором.

  8. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

kodbezopasnosti kontinent4 pipeline db

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Континент 4.

Найти события Континент 4 в хранилище можно по следующему фильтру:

normalization_rule_id = "RV-N-276"

kodbezopasnosti kontinent4 storage db

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь