Orion Soft zVirt: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Orion Soft zVirt в R-Vision SIEM.

Настройка Orion Soft zVirt

Журналирование событий аудита информационной безопасности сервиса Hosted Engine виртуализации zVirt по умолчанию ведется в СУБД PostgreSQL, которая запущена на том же хосте Hosted Engine. Записи из таблицы audit_log отображаются на портале администрирования в разделе События:

os zvirt event

Для настройки сбора событий выполните следующие подготовительные действия:

  1. Разрешите подключение к СУБД извне по паролю. Для этого отредактируйте файл pg_hba.conf, добавив в него следующую строку:

    host all all 0.0.0.0/0 md5

  2. Перезапустите сервис PostgreSQL:

    systemctl restart postgresql.service

  3. Создайте учетную запись, из-под которой будет производиться подключение к СУБД. Для этого подключитесь к СУБД локально от имени учетной записи postgres:

    sudo -u postgres psql

  4. Создайте пользователя для чтения записей из таблицы аудита и наделите его правами на подключение к базе данных engine:

    create user zvirt_logger;
alter role zvirt_logger with password 'password';
grant connect on engine to zvirt_logger;

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Строка подключения.

      • Строка подключения: введите строку вида:

        <jdbc:postgresql://<IP>:5432/engine?user=zvirt_logger&password=password - заменить на свою строку>

        Где:

        • /engine: база данных, созданная сервисом zVirt;

        • user=zvirt_logger: имя пользователя для подключения к СУБД;

        • password=password: пароль пользователя СУБД.

    4. Нажмите на кнопку Создать.

  2. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  3. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант PostgreSQL.

    • Адрес подключения: выберите секрет, созданный ранее.

    • SQL-запрос: введите запрос вида:

      SELECT *, 'zVirt' AS appname FROM audit_log WHERE audit_log_id > ?::integer;

    • Поле идентификатора: введите ключ audit_log_id со значением 1.

    • Интервал запроса, секунд: введите значение 15.

  4. Добавьте на конвейер элемент Нормализатор с правилом Orion Soft zVirt (идентификатор правила: RV-N-158).

  5. Соедините нормализатор с точкой входа.

  6. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  7. Соедините конечную точку с нормализатором.

  8. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

os zvirt pipeline scheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Orion Soft zVirt.

Найти события Orion Soft zVirt в хранилище можно по следующему фильтру:

dproduct = "zVirt"

os zvirt storage

include::ROOT:partial$MappingTable.adoc

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь