Suricata: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий Suricata в R-Vision SIEM.
Настройка Suricata
Журналирование событий сервиса Suricata по умолчанию ведется в директории /var/log/suricata/eve.json. Отправка сообщений осуществляется посредством syslog через демон rsyslog.
Для настройки передачи событий выполните следующие действия:
-
Добавьте файл конфигурации
10-Suricata.confв директорию/etc/rsyslog.d/со следующим содержанием:$ModLoad imfile $InputFileName /var/log/suricata/eve.json $InputFileTag Suricata-eve $InputFileSeverity info $InputFileFacility local4 $InputRunFileMonitor $InputRunFileMonitor if $syslogtag == 'Squid' then { action(type="omfwd" Target="<IP-адрес или FQDN коллектора>" Port="<Порт точки входа>" Protocol="tcp") stop } -
Примените настройки, перезапустив службу
rsyslog.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение (рекомендуется использовать любой свободный порт больше 30000) в соответствии с настройками на стороне Suricata.
-
Протокол: выберите
TCPилиUDPв соответствии с настройками на стороне Suricata.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Suricata Eve Json (идентификатор правила: RV-N-140).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события eve.json.
|
Найти события Suricata в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
