Positive Technologies ISIM: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий Positive Technologies ISIM в R-Vision SIEM.
Предварительные требования
-
Сетевая доступность сервера Positive Technologies ISIM по целевому порту и протоколу для каждой ноды кластера SIEM.
Настройка Positive Technologies ISIM
Для пересылки событий, зарегистрированных Positive Technologies ISIM, в R-Vision SIEM по протоколу Syslog:
-
Перейдите в директорию
/opt/ptisim/lib/ptisim-httpapi/templates/alerts/notifycd /opt/ptisim/lib/ptisim-httpapi/templates/alerts/notify -
В данной директории имеется 3 раздела отвечающих за формат присылаемого сообщения, это:
-
alert_create_message -
alert_status_message -
alert_progress_messageВ каждом из этих разделов нужно произвести настройку шаблона сообщения. Рассмотрим на примере
alert_create_message:-
Перейдите в директорию
alert_create_message/syslog -
Скопируйте файлы
ru.htmlиeng.html:cp ru.html ru.html.old cp eng.html eng.html.old -
В файлах
ru.htmlиeng.htmlнеобходимо заменить содержание на следующее:{% include "alerts/notify/_syslog_base.html" %}Created: incident_id:`{{incident.id}}`, incident_name:`{{ incident.name.eng }}`, incident_at_step:{{ incident.progress }}/{{ incident.capacity }}, incident_url:`{{ incident_url }}, incident_status:`{{incident.status}}`, incident_start_time:`{{incident.start.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_src_ip:`{{incident.src_ip}}`, incident_src_mac:`{{incident.src_mac}}`, incident_dst_ip:`{{incident.dst_ip}}`, incident_dst_mac:`{{incident.dst_mac}}`, incident_group:`{{incident.group}}`, incident_shost:`{{station_name}}`, incident_end_time:`{{incident.end.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_type:`{{incident.type}}`, incident_dvc:`{{ip}}` {# all available fields /opt/ptisim/etc/fullview/httpapi.conf.d/incidents-notify-fields.yaml #}
-
-
-
В директориях
alert_status_messageиalert_progress_messageнеобходимо проделать те же действия, используя следующие шаблоны:-
для
alert_status_message:{% include "alerts/notify/_syslog_base.html" %}Incident change status: incident_id:`{{incident.id}}`, incident_name:`{{ incident.name.eng }}`, incident_at_step:{{ incident.progress }}/{{ incident.capacity }}, incident_url:`{{ incident_url }}`, incident_status:`{{incident.status}}`, incident_start_time:`{{incident.start.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_src_ip:`{{incident.src_ip}}`, incident_src_mac:`{{incident.src_mac}}`, incident_dst_ip:`{{incident.dst_ip}}`, incident_dst_mac:`{{incident.dst_mac}}`, incident_group:`{{incident.group}}`, incident_shost:`{{station_name}}`, incident_end_time:`{{incident.end.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_type:`{{incident.type}}`, incident_dvc:`{{ip}}` {# all available fields /opt/ptisim/etc/fullview/httpapi.conf.d/incidents-notify-fields.yaml #} -
для
alert_progress_message:{% include "alerts/notify/_syslog_base.html" %}Incident change progress: incident_id:`{{incident.id}}`, incident_name:`{{ incident.name.eng }}`, incident_at_step:{{ incident.progress }}/{{ incident.capacity }}, incident_old_step:`{{ old_progress }}/{{ incident.capacity }}`, incident_url:`{{ incident_url }}`, incident_status:`{{incident.status}}`, incident_start_time:`{{incident.start.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_src_ip:`{{incident.src_ip}}`, incident_src_mac:`{{incident.src_mac}}`, incident_dst_ip:`{{incident.dst_ip}},` incident_dst_mac:`{{incident.dst_mac}}`, incident_group:`{{incident.group}}`, incident_shost:`{{station_name}}`, incident_end_time:`{{incident.end.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_type:`{{incident.type}}`, incident_dvc:`{{ip}}` {# all available fields /opt/ptisim/etc/fullview/httpapi.conf.d/incidents-notify-fields.yaml #}
-
-
Далее необходимо перезагрузить службу
ptisim-httpapi.service:sudo systemctl restart ptisim-httpapi.service -
Необходимо создать правило МЭ, которое позволит передавать события на коллектор, для этого внесите в конец файла
/opt/ptisim/default.rulesследующие строки:# Если для передачи предполагается использовать tcp -A OUTPUT -p tcp --dport <порт коллектора SIEM в диапазоне 30000--32767> -j ACCEPT -A INPUT -p tcp --sport <порт коллектора SIEM в диапазоне 30000--32767> -j ACCEPT # Если для передачи предполагается использовать udp -A OUTPUT -p udp --dport <порт коллектора SIEM в диапазоне 30000--32767> -j ACCEPT -
Сохраните файл и перезапустите службу
ptisim-firewall:sudo systemctl restart ptisim-firewall.service -
Теперь необходимо настроить отправку инцидентов через syslog в веб-интерфейсе. Войдите веб-интерфейс.
-
Перейдите в раздел Система → Отправка сообщений об инцидентах в syslog
-
В данном разделе отметьте Отправлять и в соответствующих полях введите информацию о SIEM:
-
IP-адрес: укажите IP-адрес коллектора R-Vision SIEM.
-
Транспортный протокол: выберите вариант TCP или UDP.
-
Порт: укажите открытый порт коллектора (введите значение в диапазоне 30000—32767).
-
-
Нажмите Сохранить.
Настройка передачи инцидентов завершена.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне Positive Technologies ISIM.
-
Протокол: выберите вариант в соответствии с настройками на стороне Positive Technologies ISIM.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Positive Technologies ISIM (идентификатор правила: RV-N-286).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Positive Technologies ISIM.
|
Найти события Positive Technologies ISIM в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
