Solar InRights: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Solar InRights в R-Vision SIEM.

Предварительные требования

  • Сетевая доступность нод кластера SIEM по целевому порту и протоколу для источника.

Настройка Solar InRights

Для настройки журналирования событий ИБ в syslog выполните следующие действия:

  1. Перейдите в раздел Репозиторий объектов (Администрирование → Репозиторий объектов).

  2. Выберите тип объектов Объект конфигурации.

  3. Для изменения параметров журналирования событий в syslog выберите объект Syslog Outbound Sink, нажав на его идентификатор.

  4. Отредактируйте XML-представление объекта, задав следующие параметры:

    • os:enabled: true

    • os:hostName: адрес коллектора R-Vision SIEM

    • os:port: порт точки входа конвейера R-Vision SIEM

    • os:format: RFC_5424

    • os:protocol: TCP

      solar inrights syslog settings

Настройка на стороне источника завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение (рекомендуется использовать любой свободный порт больше 30000) в соответствии с настройками на стороне Solar InRights.

    • Протокол: выберите TCP.

  3. Добавьте на конвейер элемент Нормализатор с правилом Solar InRights (идентификатор правила: RV-N-114).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

solar inrights pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Solar InRights.

Перечень событий доступен в «Приложении Г. Стандартные уведомления о событиях в InRights» Руководства по администрированию Solar InRights.

Найти события Solar InRights в хранилище можно по следующему фильтру:

dproduct = "inRights"

solar inrights storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь