ЕЦУ Dallas Lock: сбор событий в формате CEF

Данное руководство описывает процесс настройки сбора и отправки событий ЕЦУ Dallas Lock в R-Vision SIEM.

Настройка ЕЦУ Dallas Lock

Для пересылки событий, зарегистрированных ЕЦУ Dallas Lock, в R-Vision SIEM в формате CEF выполните следующие действия:

  1. Откройте Консоль управления ЕЦУ.

  2. Нажмите на кнопку menu в левом верхнем углу и выберите из выпадающего списка пункт Экспорт ИБ. Откроется окно настройки экспорта.

    dallas lock ecu cef 1

  3. В открывшемся окне установите флажок Экспорт инцидентов безопасности в SIEM-систему.

  4. Выберите из выпадающего списка Формат вариант CEF.

  5. В поле Сервер введите IP-адрес коллектора.

  6. Выберите из выпадающего списка Протокол протокол точки входа.

  7. В поле Порт введите значение порта точки входа.

    dallas lock ecu cef 2

  8. Нажмите на кнопку Применить.

Настройка на стороне ЕЦУ Dallas Lock завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне ЕЦУ Dallas Lock.

    • Протокол: выберите вариант в соответствии с настройками на стороне ЕЦУ Dallas Lock.

  3. Добавьте на конвейер элемент Нормализатор с правилом confident dallas_lock_syslog (идентификатор правила: RV-N-135).

    Правило RV-N-135 также нормализует события, получаемые из Dallas Lock 8.0.

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

confident ecu dallas lock cef pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события ЕЦУ Dallas Lock.

Найти события ЕЦУ Dallas Lock в хранилище можно по следующему фильтру:

dproduct = "Единый центр управления"

dallas lock cef storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь