R-Vision SOAR: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий R-Vision SOAR в R-Vision SIEM.
Предварительные требования
-
Сетевая доступность нод кластера SIEM по целевому порту и протоколу для источника или сетевая доступность централизованного Syslog-сервера.
Настройка R-Vision SOAR
Настройка отправки событий в R-Vision SIEM
Чтобы настроить отправку событий R-Vision SOAR в R-Vision SIEM, выполните следующие шаги:
-
Войдите в веб-интерфейс R-Vision SOAR под учетной записью администратора.
-
Перейдите в раздел Настройки системы → Общие → Журнал.
-
В карточке журнала перейдите на вкладку Настройки.
-
Установите переключатель Отправка логов по syslog в активное положение.
-
Введите IP-адрес сервера rsyslog.
-
Введите значение порта сервера rsyslog.
-
Выберите из выпадающего списка протокол TCP.
-
Сохраните изменения.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне R-Vision SOAR.
-
Протокол: выберите из выпадающего списка вариант TCP.
-
-
Добавьте на конвейер элемент Нормализатор с правилом R‑Vision Security Orchestration, Automation and Response (идентификатор правила: RV-N-131).
-
Соедините нормализатор с точкой входа.
-
Добавьте VRL-трансформацию со следующим кодом:
.dproduct = "SOAR"
-
Соедините VRL-трансформацию с нормализатором.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с VRL-трансформацией.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события R-Vision SOAR.
|
Найти события R-Vision SOAR в хранилище можно по следующему фильтру:
|
Перечень событий
-
Событие
Logout. -
Событие
Login success. -
Событие
Login failure. -
Событие
Change field. -
Событие
Delete user. -
Событие
Create user. -
Событие
Add element. -
Событие
Delete element. -
Событие
Failure update DB vulnerability. -
Событие
Delete report. -
Событие
Add doc.
Таблица маппинга
| Тип события/журнала | Журнал аудита |
|---|---|
deviceFacility |
.raw.facility |
severity |
.raw.severity |
dvendor |
R-Vision |
dproduct |
SOAR |
dvchost |
.raw.hostname |
deviceDnsDomain |
.raw.hostname |
shost |
.raw.hostname |
deviceExternalId |
.raw.procid |
duser |
parsed.user |
msg |
split(parsed_message, ".")[0] |
outcome |
Success/Failure |
rt |
parse_timestamp(parsed.createdAt, format: "%FT%T%.3fZ") |
timestamp |
parse_timestamp(.raw.timestamp, format: "%FT%T%.3fZ") |
spriv |
parsed.reference |
objName |
parsed.objectName |
reason |
split(parsed_message, .msg+".")[1] |
cs1Label |
Наименование организации |
cs1 |
parsed.company[1] || parsed.company[0] |
cs2Label |
Old value |
cs2 |
parsed_message.”Прежнее значение” |
cs3Label |
New value |
cs3 |
parsed_message.”Новое значение” |
cs4Label |
Системные роли |
cs4 |
parsed_message.”Системные роли” |
cs5Label |
Номер документа |
cs5 |
parsed.objName |
cs6Label |
Измененный параметр |
cs6 |
replace(split(replace(split(parsed_message, "Прежнее значение")[0], "\"", "'") ?? "", "Изменённый параметр: ")[1], ".", "") ?? "" |
Была ли полезна эта страница?
