Код Безопасности Континент 4: настройка источника Syslog

Данное руководство описывает процесс настройки сбора и отправки событий аппаратно-программного комплекса шифрования (АПКШ) Континент 4 в R-Vision SIEM посредством Syslog.

Настройка Континент 4

Система позволяет отправлять события аудита во внешние системы посредством Syslog. Для передачи функциональных событий АПКШ Континент 4 во внешние системы можно воспользоваться вынесенной СУБД Postgres.

Для настройки Syslog на АПКШ Континент 4 выполните следующие шаги:

  1. Подключитесь к центру управления сетью (далее — ЦУС) с помощью ПО "Континент. Менеджер конфигурации".

  2. Откройте вкладку Структура.

  3. Выберите узел безопасности (далее — УБ), с которого необходимо отправлять события в SIEM.

  4. Вызовите контекстное меню для УБ и выберите пункт Свойства. Откроется меню настроек УБ.

  5. Откройте вкладку Настройки журналирования.

  6. Для параметра Детализация задайте значение Высокий.

  7. Нажмите на кнопку добавления внешнего системного журнала.

  8. Заполните следующие параметры:

    • Адрес: введите IP-адрес коллектора SIEM или syslog-сервера, через который будут передаваться данные в SIEM.

    • Порт: введите значение порта, который планируется прослушивать.

    • Протокол: введите требуемый протокол.

    • Временной интервал: выберите вариант Всегда.

      Настройки журналирования должны выглядеть следующим образом:

      kodbezopasnosti kontinent4 logging settings syslog

  9. Нажмите на кнопку Применить.

  10. Нажмите на кнопку ОК.

  11. Отправьте конфигурацию на УБ. Для этого:

    1. В главном меню нажмите на кнопку kodbezopasnosti kontinent4 button.

    2. Отметьте УБ, для которого настраивалось внешнее журналирование.

    3. Нажмите на кнопку ОК.

Настройка на стороне АПКШ Континент 4 завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в диапазоне 30000—​32767.

    • Протокол: выберите вариант в соответствии с настройками на стороне Континент 4.

  3. Добавьте на конвейер элемент VRL-трансформация со следующим кодом:

    .device_product = "kontinent"
.device_version = "4"

  4. Соедините трансформацию с точкой входа.

  5. Добавьте на конвейер элемент Нормализатор с правилами Код Безопасности Континент 4 NXLOG (идентификатор правила: RV-N-273) и Код Безопасности Континент 4 (идентификатор правила: RV-N-274).

  6. Соедините нормализатор с трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

kodbezopasnosti kontinent4 pipeline syslog

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Континент 4.

Найти события Континент 4 в хранилище можно по следующему фильтру:

device_product = "kontinent" and device_version = "4"

kodbezopasnosti kontinent4 storage syslog

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь