Multifactor Radius Adapter: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Multifactor Radius Adapter в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь в выполнении следующих условий:

Сетевая связность между RADIUS-сервером Multifactor Radius Adapter и R-Vision SIEM (или промежуточным узлом) обеспечена, а необходимые порты открыты.

Настройка Multifactor Radius Adapter

Настройка журналирования Multifactor Radius Adapter

Для настройки журналирования Multifactor Radius Adapter выполните следующие действия:

linux
windows

В файле /opt/multifactor/radius/multifactor-radius-adapter.dll.config установите следующие значения параметрам:
```
<add key="logging-level" value="Debug"/>
<add key="logging-format" value="json"/>
```
Перезапустите сервис multifactor-radius с помощью команды:
```
sudo systemctl restart multifactor-radius.service
```
Журналирование и отправка событий Multifactor Radius Adapter для Linux настроены.

В файле C:\Program Files\MFA Radius\MultiFactor.Radius.Adapter.exe.config установите следующие значения параметрам:
```
<add key="logging-level" value="Debug"/>
<add key="logging-format" value="json"/>
<add key="syslog-app-name" value="mfa-radius"/>
<add key="syslog-server" value="udp://<target>:<udp_port>"/>
<add key="syslog-format" value="RFC5424"/>
<add key="syslog-facility" value="Auth"/>
<add key="syslog-use-tls" value="false" />
```
Здесь:
- <target>: IP-адрес или полное доменное имя (FQDN) коллектора R-Vision SIEM.
- <udp_port>: UDP-порт точки входа Syslog на конвейере R-Vision SIEM.
Перезапустите сервис Multifactor Radius в оснастке services.msc.

Журналирование Multifactor Radius Adapter для Windows настроено.

Настройка отправки событий в R-Vision SIEM (Только для Linux)

В настоящем руководстве рассматривается передача событий с помощью службы syslog.

rsyslog
syslog-ng

Предполагается, что rsyslog на станции с ОС Linux уже установлен и модуль imfile подгружен в /etc/rsyslog.conf. Для настройки передачи событий из файлов Multifactor Radius Adapter выполните следующие действия:

Создайте файл /etc/rsyslog.d/99-mfa-siem.conf со следующим содержимым:

input(
    type="imfile"
    File="/opt/multifactor/radius/logs/log*"
    Tag="mfa-radius"
    Severity="info"
    Facility="local6"
)

# Пересылка на удалённые rsyslog
if $syslogtag == 'mfa-radius' then {
  action(type="omfwd" target="<target>" port="<port>" protocol="udp")
  stop
}

Здесь:

<target>: IP-адрес или полное доменное имя (FQDN) коллектора R-Vision SIEM.
<port>: порт точки входа Syslog на конвейере R-Vision SIEM.

Перезапустите сервис rsyslog с помощью команды:
```
sudo systemctl restart rsyslog
```

Отправка событий Multifactor Radius Adapter настроена.

Предполагается, что syslog-ng на станции с ОС Linux уже установлен. Для настройки передачи событий из файлов Multifactor Radius Adapter выполните следующие действия:

Создайте файл /etc/syslog-ng/conf.d/mfa-siem.conf со следующим содержимым:
```
source mfa {
        file("/opt/multifactor/radius/logs/*.txt" flags(no-parse) log_prefix("mfa-radius: "));
};

destination siem {
        udp("<target>" port(<port>)); # указать IP и порт точки входа SIEM
};

log {
        source(mfa); destination(siem);
};
```
Здесь:
- <target>: IP-адрес или полное доменное имя (FQDN) коллектора R-Vision SIEM.
- <port>: порт точки входа Syslog на конвейере R-Vision SIEM.
Перезапустите сервис syslog-ng с помощью команды:
```
sudo systemctl restart syslog-ng
```

Отправка событий Multifactor Radius Adapter настроена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий Multifactor Radius Adapter в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне источника.
- Протокол: выберите вариант в соответствии с настройками на стороне источника.
Добавьте на конвейер элемент Нормализатор с правилом Multifactor Radius Adapter (идентификатор правила: RV-N-340).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

multifactor pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Multifactor Radius Adapter.

Найти события Multifactor Radius Adapter в хранилище можно по следующему фильтру:

device_product = "radius"

multifactor storage

Была ли полезна эта страница?