Mattermost: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Mattermost в R-Vision SIEM.

Предварительные требования

  • Сетевая доступность сервера Mattermost по целевому порту и протоколу для каждой ноды кластера SIEM.

Настройка Mattermost

По умолчанию журналы сервера хранятся в директории ~/app/mattermost/logs/mattermost.log. Дополнительных действий по настройке журналирования на источнике совершать не требуется.

Для отправки событий в R-Vision SIEM настройте службу rsyslog на сервере источника. Для этого добавьте в конфигурационный файл rsyslog следующие параметры:

module(load="imfile")

input(type="imfile"
      File="/opt/mattermost/docker/volumes/app/mattermost/logs/mattermost.log"
      Tag="mattermost-server")

if $syslogtag contains 'mattermost' then {
   action(type="omfwd" target="<IP-адрес_коллектора_SIEM>" port="<порт_коллектора_SIEM>" protocol="tcp")
   stop
}

Где:

  • <IP-адрес_коллектора_SIEM>: IP-адрес узла кластера R-Vision SIEM, на котором развернут коллектор.

  • <порт_коллектора_SIEM>: порт, используемый точкой входа коллектора.

После внесения изменений перезапустите службу rsyslog.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Mattermost.

    • Протокол: выберите вариант в соответствии с настройками на стороне Mattermost.

  3. Добавьте на конвейер элемент Нормализатор с правилом Mattermost Inc Mattermost (идентификатор правила: RV-N-129).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера: mattermost pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Mattermost.

Найти события Mattermost в хранилище можно по следующему фильтру:

dproduct = "Mattermost"

mattermost storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь