АйТи Бастион СКДПУ НТ: настройка источника

Данное руководство описывает процесс отправки событий АйТи Бастион СКДПУ НТ в R-Vision SIEM.

Предварительные требования

Перед настройкой отправки событий в R-Vision SIEM убедитесь в выполнении следующих условий:

  1. Пользователь, выполняющий настройку, имеет права администратора.

  2. IP-адреса отправителя и получателя корректны, и между ними существует маршрут.

Настройка АйТи Бастион СКДПУ НТ

Отправка событий АйТи Бастион СКДПУ НТ

Для перенаправления журналов СКДПУ НТ GW Syslog в SIEM выполните следующие шаги:

  1. В веб-интерфейсе SKDPU перейдите в раздел System.

  2. Выберите пункт SIEM Integration.

  3. Для отправки журналов, сохраненных в локальной файловой системе, настройте следующие параметры:

    • Выберите из выпадающего списка Routing значение Enabled, чтобы включить перенаправление журналов Syslog.

    • В поле IP/FQDN введите требуемый IP-адрес.

    • Выберите из выпадающего списка Protocol необходимый протокол.

    • В поле Port введите значение порта.

    • Выберите из выпадающего списка Log format требуемый формат записей.

    • Нажмите на кнопку Apply.

      it bastion skdpu nt gw logging

Для перенаправления журналов СКДПУ НТ Syslog в SIEM выполните следующие шаги:

  1. В веб-интерфейсе СКДПУ перейдите в раздел Система.

  2. Выберите пункт Интеграция с SIEM.

  3. Настройте следующие параметры:

    • Выберите из выпадающего списка Роутинг значение Включено, чтобы включить перенаправление журналов Syslog.

    • В поле Доменное имя или IP введите требуемый IP-адрес.

    • Выберите из выпадающего списка Протокол необходимый протокол.

    • В поле Порт введите значение порта.

    • Выберите из выпадающего списка Log format требуемый формат записей.

    • Нажмите на кнопку Применить.

    it bastion skdpu nt logging

Отправка событий АйТи Бастион СКДПУ НТ настроена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне АйТи Бастион СКДПУ НТ.

    • Протокол: выберите вариант в соответствии с настройками на стороне АйТи Бастион СКДПУ НТ.

  3. Добавьте на конвейер элемент Нормализатор с правилом IT Bastion SKDPU NT (идентификатор правила: RV-N-191).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

it bastion skdpu nt pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события АйТи Бастион СКДПУ НТ.

Найти события АйТи Бастион СКДПУ НТ в хранилище можно по следующему фильтру:

normalization_rule_name = "IT Bastion SKDPU NT"

it bastion skdpu nt storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь