Linux R-Vision Endpoint: настройка источника

Данное руководство описывает процесс сбора и отправки событий операционных систем на основе ядра Linux в R-Vision SIEM с помощью агента платформы R-Vision.

Предварительные требования

Перед началом настройки убедитесь, что выполнены следующие условия:

  • Версия ядра Linux на машинах, с которых планируется сбор событий, не ниже 5.10

  • Ядро Linux должно поддерживать BPF

Настройка ОС Linux

Настройка сбора событий ОС Linux с помощью агента платформы R-Vision включает установку агента R-Vision на конечное устройство и конфигурирование группы агентов.

Установка агента

Установите агент R-Vision Endpoint на станцию и настройте его связь с кластером R-Vision SIEM. После этого в веб-интерфейсе R-Vision SIEM в разделе Агенты появится информация о подключенном хосте.

Для установки агента обратитесь к документации продукта R-Vision SIEM.
Для настройки подключения агента R-Vision Endpoint к кластеру R-Vision SIEM обратитесь к документации продукта R-Vision SIEM.

После настройки связи агента с кластером R-Vision SIEM, убедитесь, что рабочая станция появилась в списке агентов:

rpoint newly added host

Настройка в R-Vision SIEM

Настройка отправки событий в R-Vision SIEM

  1. В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты → Группы агентов.

  2. Создайте группу и добавьте в нее узел, на котором установлен агент.

  3. В созданной группе узлов в секции Пользователи и процессы переведите следующие переключатели в активное положение:

    • Вход/выход пользователей (Linux / macOS);

    • Создание процессов (Linux / macOS);

    • Добавление или изменение сервисов (Linux);

    • Управление пользователями (Linux / macOS).

  4. В созданной группе узлов в секции Доступ к объектам (Linux) добавьте Исключения:

    Добавление исключения нужно для того, чтобы агент не "спамил" событиями о своей активности. Аналогично можно добавить исключения для других легитимных системных служб.

    • По пути родительского процесса:

      • /opt/rvision/agent

  5. Нажмите на кнопку Сохранить.

    rpoint group settings

Добавление узла в группу

Для добавления узла под управлением ОС Linux в созданную группу:

  1. В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты.

  2. Выберите нужный узел и нажмите на кнопку agent to group на панели инструментов.

  3. Выберите ранее созданную группу и нажмите на кнопку Добавить.

  4. Дождитесь применения политики группы на агенте.

Настройка обработки событий в R-Vision SIEM

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа с типом R-Vision Endpoint.

    Для настройки точки входа типа R-Vision Endpoint обратитесь к документации продукта R-Vision SIEM.

  3. Добавьте на конвейер элемент Нормализатор с правилом R-Vision Endpoint for Linux (идентификатор правила: RV-N-299).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

rpoint pipeline

После настройки группы агентов и передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события хоста под управлением ОС Linux.

Найти события хоста под управлением ОС Linux в хранилище можно по следующему фильтру:

device_product = "endpoint"

rpoint storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь