IPFIX: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий IPFIX в R-Vision SIEM.

Предварительные требования

Перед настройкой сбора событий в R-Vision SIEM убедитесь в выполнении следующих условий:

У получаемого R-Vision SIEM потока NetFlow данные должны быть структурированы в соответствии со стандартом Cisco.
Сетевая связность между устройством, передающим NetFlow и SIEM (или промежуточным syslog-сервером) обеспечена, а необходимые порты открыты.

Настройка IPFIX

Настройка IPFIX различается в зависимости от операционной системы сетевого оборудования: Cisco IOS XE, Cisco IOS XR, Cisco NX-OS и другие. Поэтому рекомендуется производить настройку в соответствии с эксплуатационной документацией производителя вашего оборудования.

Отправка событий

Отправка событий IPFIX рассматривается на примере vSphere Client. Для настройки отправки событий выполните следующие шаги:

В меню vSphere Client перейдите в раздел Networking.
Выберите доступный коммутатор DSwitch, в котором развернуты виртуальные машины, и перейдите в настройки NetFlow.
Укажите IP-адрес и порт коллектора для сбора пакетов NetFlow, а также IP-адрес коммутатора DSwitch, с которого будут отправляться пакеты.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Netflow.
- Порт точки входа: введите значение в соответствии с настройками на стороне IPFIX.
- Протокол: выберите вариант UDP.
Добавьте на конвейер элемент Нормализатор с правилом IPFix (идентификатор правила: RV-N-87).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

cisco ipfix pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события IPFIX.

Найти события IPFIX в хранилище можно по следующему фильтру:

dproduct = "IPFix"

cisco ipfix filter

Перечень событий

Структура протокола IPFIX описана в документации Cisco.

В системе поддерживается нормализация следующих событий:

IPFix traffic;
Unsupported version traffic.

Таблица маппинга

Тип события/журнала	Журнал аудита
deviceFacility	info
severity	Low
dvendor	Cisco Systems
dproduct	IPFix
dversion	parsed.IPFix.header.version
outcome	Success/failure
rt	timestamp
app	IPFix
name	IPFix
proto	UDP
reason	Unsupported Version
cs1	parsed.IPFix.header.length
cs1Label	Packet length
cs2	parsed.IPFix.header.observation_domain_id
cs2Label	Observation domain id
cs3	parsed.IPFix.header.sequence_number
cs3Label	Sequence number

Тип события/журнала

Журнал аудита

deviceFacility

info

severity

Low

dvendor

Cisco Systems

dproduct

IPFix

dversion

parsed.IPFix.header.version

outcome

Success/failure

timestamp

app

IPFix

name

IPFix

proto

UDP

reason

Unsupported Version

cs1

parsed.IPFix.header.length

cs1Label

Packet length

cs2

parsed.IPFix.header.observation_domain_id

cs2Label

Observation domain id

cs3

parsed.IPFix.header.sequence_number

cs3Label

Sequence number

Была ли полезна эта страница?