ЕЦУ Dallas Lock: сбор событий из СУБД PostgreSQL

Данное руководство описывает процесс настройки сбора и отправки событий ЕЦУ Dallas Lock в R-Vision SIEM.

Предварительные требования

Сетевая доступность сервера СУБД источника по целевому порту и протоколу для каждой ноды кластера SIEM.
Учетная запись в СУБД с правами на чтение таблиц БД.
Сетевая доступность нод кластера SIEM по целевому порту и протоколу для источника.

Настройка СУБД PostgreSQL

Для настройки сбора логов из базы данных необходимо подключиться к ней с использованием специальной сервисной учетной записи (далее — УЗ).

Создание учетной записи в СУБД PostgreSQL

Чтобы создать сервисную УЗ, подключитесь к СУБД с правами администратора. Для этого выполните следующие действия на сервере с установленной СУБД:

Выполните следующую команду от имени пользователя postgres:
```
sudo -u postgres psql
```
Создайте сервисную учетную запись, выполнив следующие команды:
```
CREATE USER "dl_reader";
ALTER ROLE dl_reader WITH PASSWORD 'passw0rd';
```
Предоставьте права на подключение к базе данных и чтение таблицы:
```
GRANT CONNECT ON DATABASE dallaslock to dl_reader;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO dl_reader;
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:
1. Перейдите в раздел Ресурсы → Секреты.
2. Нажмите на кнопку Создать ().
3. В раскрывшемся окне создания секрета заполните поля:
  - Название: введите название секрета.
  - Описание (опционально): опишите, для чего будет использоваться секрет.
  - Тип секрета: выберите вариант Строка подключения.
  - Строка подключения — введите строку вида:
    
    jdbc:postgresql://DBSERVER:5432/DBNAME?user=dl_reader&password=passw0rd
    
    Здесь:
    
    DBSERVER — FQDN или IP-адрес сервера СУБД.
    
    5432 — порт подключения.
4. Нажмите на кнопку Создать.
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Database.
- Драйвер базы данных: выберите вариант PostgreSQL.
- Адрес подключения: выберите секрет, созданный ранее.
- SQL-запрос — введите запрос вида:
  SELECT record_id as record_id ,timestamp as timestamp ,timestamp_timezone as timezone ,user as user ,event_id as event_id ,obj_name as obj ,status as status ,comment as comment ,guid as guid ,(SELECT vers_t.value FROM public.ucc_metainfo vers_t WHERE vers_t.key = 'version') as version ,'DL_PSQL' as filter ,inet_server_addr() AS dvc FROM public.jrn_uccmainjournal WHERE record_id > CAST(? AS BIGINT) ORDER BY record_id ASC;
- Поле идентификатора: введите ключ record_id со значением 1.
- Интервал запроса, секунд: введите значение 300.
Добавьте на конвейер элемент Нормализатор с правилом confident dallas_lock_ECU_PSQL (идентификатор правила: RV-N-133).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

dallas lock ecu psql

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события ЕЦУ Dallas Lock.

Найти события ЕЦУ Dallas Lock в хранилище можно по следующему фильтру:

dproduct = "Единый центр управления"

confident ecu dallas lock cef storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?