NetFlow v9: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий NetFlow v9 в R-Vision SIEM.

Предварительные требования

Перед настройкой сбора событий в R-Vision SIEM убедитесь, что у получаемого R-Vision SIEM потока NetFlow данные структурированы в соответствии со стандартом Cisco.

Настройка NetFlow v9

Настройка NetFlow v9 различается в зависимости от операционной системы сетевого оборудования: Cisco IOS XE, Cisco IOS XR, Cisco NX-OS и другие. Поэтому рекомендуется производить настройку в соответствии с эксплуатационной документацией производителя вашего оборудования.

Отправка событий

Отправка событий протокола NetFlow v9 рассматривается на примере маршрутизатора Cisco Router. Для настройки отправки событий выполните следующие шаги:

Перейдите в режим привилегированного пользователя, выполнив команду:
```
enable
```
Перейдите в режим глобальной конфигурации:
```
conf t
```
Укажите IP-адрес коллектора SIEM и порт точки входа:
```
ip flow-export destination <target> <port>
```
Здесь:
- <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM (например, 10.10.10.10).
- <port> — порт точки входа в конвейере SIEM (например, 2222).
Укажите версию протокола NetFlow, пакеты которой устройство будет отправлять в R-Vision SIEM:
```
ip flow-export version 9
```
Укажите интерфейсы, на которых будет собираться статистика для пакетов NetFlow:
```
ip flow-export source <interface_name>
```
Здесь <interface_name> — наименование интерфейса (например, GigabitEthernet 0/0). Можно указывать несколько интерфейсов, вводя команды последовательно, например:
```
ip flow-export source GigabitEthernet 0/1
ip flow-export source GigabitEthernet 0/2
ip flow-export source GigabitEthernet 0/3
```
Для каждого сетевого интерфейса определите направление собираемого трафика: входящий, исходящий или оба. Для этого из режима глобальной конфигурации (conf t) поочередно перейдите в режим управления каждого интерфейса:
```
interface <interface_name>
```
Для сбора статистики входящего трафика выполните команду:
```
ip flow egress
```
Для сбора статистики исходящего трафика выполните команду:
```
ip flow ingress
```
Для остальных интерфейсов настройка выполняется аналогично.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Netflow.
- Порт точки входа: введите значение в соответствии с настройками на стороне NetFlow v9.
- Протокол: выберите вариант UDP.
Добавьте на конвейер элемент VRL-трансформация со следующим значением:
```
.dproduct = "Netflow_V9"
. = unnest(.raw.netflow_packets[0].V9.flowsets[0].data.data_fields) ?? ""
```
Соедините точку входа с VRL-трансформацией.
Добавьте на конвейер элемент Нормализатор с правилом Netflow v9 (идентификатор правила: RV-N-88).
Соедините нормализатор с VRL-трансформацией.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

cisco netflow v9 pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события NetFlow v9.

Найти события NetFlow v9 в хранилище можно по следующему фильтру:

dproduct = "Netflow_V9"

cisco netflow v9 filter

Перечень событий

Структура протокола NetFlow v9 описана в официальной документации Cisco.

Таблица маппинга

Тип события/журнала	Журнал аудита
deviceFacility	info
severity	Low
dvendor	Cisco Systems
dproduct	Netflow_V9
dversion	parsed.header.version
rt	timestamp
outcome	Success/Failure
app	Netflow_V9
name	Netflow_V9 traffic
proto	fields.Protocol.ProtocolType
reason
shost	fields.Ipv4SrcAddr.Ip4Addr
dhost	fields.Ipv4DstAddr.Ip4Addr
spt	fields.L4SrcPort.DataNumber
dpt	fields.L4DstPort.DataNumber
bytesIn	fields.InBytes.DataNumber
cs1	fields.Ipv4NextHop.Ip4Addr
cs1Label	NextHop
cn1	fields.TcpFlags.DataNumber
cn1Label	TcpFlags

Тип события/журнала

Журнал аудита

deviceFacility

info

severity

Low

dvendor

Cisco Systems

dproduct

Netflow_V9

dversion

parsed.header.version

timestamp

outcome

Success/Failure

app

Netflow_V9

name

Netflow_V9 traffic

proto

fields.Protocol.ProtocolType

reason

shost

fields.Ipv4SrcAddr.Ip4Addr

dhost

fields.Ipv4DstAddr.Ip4Addr

spt

fields.L4SrcPort.DataNumber

dpt

fields.L4DstPort.DataNumber

bytesIn

fields.InBytes.DataNumber

cs1

fields.Ipv4NextHop.Ip4Addr

cs1Label

NextHop

cn1

fields.TcpFlags.DataNumber

cn1Label

TcpFlags

Была ли полезна эта страница?