Код Безопасности Secret Net LSP: настройка источника

Данное руководство содержит инструкции по настройке отправки событий в систему R-Vision SIEM из продукта Secret Net LSP.

События Secret Net LSP

Подробная информация о записываемых событиях приведена в документации Secret Net LSP.

Secret Net LSP записывает события в две базы данных: Системная и БД аудита.

Syslog читает события только из системной БД, поскольку журналы в БД аудита зашифрованы. Правило, указанное в данной инструкции, нормализует только события из системной БД, которые относятся к следующим типам:

  • Аутентификация через графический интерфейс или SSH;

  • Повышение привилегий;

  • Изменение политик;

  • Настройка аудита;

  • Резервное копирование;

  • Взаимодействие с журналами;

  • Взаимодействие с правилами МЭ;

  • Блокировка или разблокировка АРМ.

Сбор событий из БД аудита осуществляется посредством сервера безопасности Secret Net Studio, под управлением которого может находиться Secret Net LSP.

Настройка Secret Net LSP

Для отправки событий Secret Net LSP в R-Vision SIEM:

  1. Откройте файл /opt/secretnet/etc/syslog-ng/syslog-ng.conf с помощью команды:

    sudo nano /opt/secretnet/etc/syslog-ng/syslog-ng.conf

  2. Дополните файл строками:

    • Для передачи событий по протоколу UDP:

      destination rcollector { udp("<ip-адрес коллектора>" port(<слушаемый порт>));};

    • Для передачи событий по протоколу TCP:

      destination rcollector { tcp("<ip-адрес коллектора>" port(<слушаемый порт>) log-fifo-size(1000));};

      Сохраните изменения:

      log { source(src_main); destination(rcollector);};

  3. Перезагрузите рабочую станцию.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне syslog-сервера.

    • Протокол: выберите вариант в соответствии с настройками на стороне syslog-сервера.

  3. Добавьте на конвейер элемент Нормализатор с правилом Security Code Secret Net LSP (идентификатор правила: RV-N-108).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

LSPPipelineScheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Secret Net LSP.

Найти события Secret Net LSP в хранилище можно по следующему фильтру:

dproduct = "Secret Net LSP"

kodbezopasnosti secret net lsp storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь