NetFlow v5: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий NetFlow v5 в R-Vision SIEM.
Предварительные требования
Перед настройкой сбора событий в R-Vision SIEM убедитесь, что у получаемого R-Vision SIEM потока NetFlow данные структурированы в соответствии со стандартом Cisco.
Настройка NetFlow v5
Настройка NetFlow v5 различается в зависимости от операционной системы сетевого оборудования: Cisco IOS XE, Cisco IOS XR, Cisco NX-OS и другие. Поэтому рекомендуется производить настройку в соответствии с эксплуатационной документацией производителя вашего оборудования.
Отправка событий
Отправка событий рассматривается на примере Cisco Router. Для настройки отправки событий выполните следующие шаги:
-
Перейдите в режим привилегированного пользователя, выполнив команду:
enable -
Перейдите в режим глобальной конфигурации:
conf t -
Укажите IP-адрес коллектора SIEM и порт:
ip flow-export destination <target> <port>Здесь:
-
<target>— IP-адрес или полное доменное имя (FQDN) коллектора SIEM; -
<port>— порт точки входа в конвейере SIEM.
-
-
Укажите версию протокола NetFlow, пакеты которой будут отправляться в SIEM:
ip flow-export version 5 -
Укажите интерфейсы, на которых будет собираться статистика для пакетов NetFlow:
ip flow-export source <interface_name>Здесь
<interface_name>— наименование интерфейса, на котором будет собираться статистика (например,GigabitEthernet 0/0). Можно указывать несколько интерфейсов, вводя команды последовательно, например:ip flow-export source GigabitEthernet 0/1 ip flow-export source GigabitEthernet 0/2 ip flow-export source GigabitEthernet 0/3 -
Для каждого сетевого интерфейса, указанного на предыдущем шаге, определите направление собираемого трафика: входящий, исходящий или оба. Для этого из глобального конфигурационного режима (
conf t) поочередно перейдите в режим управления каждого интерфейса, например:interface GigabitEthernet 0/0 -
Для сбора статистики входящего трафика выполните команду:
ip flow egress -
Для сбора статистики исходящего трафика выполните команду:
ip flow ingressДля остальных интерфейсов настройка выполняется аналогично.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Netflow.
-
Порт точки входа: введите значение в соответствии с настройками на стороне NetFlow v5.
-
Протокол: выберите вариант UDP.
-
-
Добавьте на конвейер элемент VRL-трансформация со значением:
.dproduct = "Netflow_V5" -
Соедините точку входа с VRL-трансформацией.
-
Добавьте на конвейер элемент Нормализатор с правилом Netflow v5 (идентификатор правила: RV-N-86).
-
Соедините нормализатор с VRL-трансформацией.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события NetFlow v5.
|
Найти события NetFlow v5 в хранилище можно по следующему фильтру:
|
Перечень событий
Структура протокола NetFlow v5 описана в документации IBM.
Таблица маппинга
| Тип события/журнала | Журнал аудита |
|---|---|
deviceFacility |
info |
severity |
Low |
dvendor |
Cisco Systems |
dproduct |
Netflow_V5 |
dversion |
parsed.header.version |
outcome |
Success |
rt |
timestamp |
app |
Netflow_V5 |
name |
Netflow_V5 traffic |
proto |
UDP |
destinationTranslatedAddress |
parsed.body.dst_addr |
dpt |
parsed.body.dst_port |
cs1Label |
Next waypoint |
cs1 |
parsed.body.next_hop |
sourceIp |
parsed.body.src_addr |
spt |
parsed.body.src_port |
cs4 |
parsed.body.d_pkts |
cs4Label |
Number of transmitted packets |
cs5 |
parsed.header.flow_sequence |
cs5Label |
Thread sequence number |
Была ли полезна эта страница?
