AVSOFT Kairos: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий AVSOFT Kairos в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что обеспечена сетевая доступность между сервером AVSOFT Kairos и коллектором R-Vision SIEM по целевому порту и протоколу.

Настройка AVSOFT Kairos

Для настройки отправки событий AVSOFT Kairos в SIEM-систему в формате syslog выполните следующие шаги:

Войдите в веб-интерфейс AVSOFT Kairos.
Перейдите в раздел Настройки → SIEM.
Добавьте SIEM.
Укажите IP-адрес коллектора R-Vision SIEM, на который планируется осуществлять отправку событий AVSOFT Kairos.
В поле Порт введите значение порта. Рекомендуется использовать любой свободный порт больше 30 000.
Выберите протокол: TCP или UDP.
Установите формат сообщения CEF v1.
В поле Обозначение системы введите значение kairos.
В поле Стандарт формата выберите вариант RFC3164.
В поле Минимальный уровень логирования выберите вариант Debug или Informational.
Нажмите на кнопку Сохранить.

Настройка на стороне AVSOFT Kairos завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Socket.
- Порт точки входа: введите значение в соответствии с настройками на стороне AVSOFT Kairos.
- Протокол: выберите вариант в соответствии с настройками на стороне AVSOFT Kairos.
Добавьте на конвейер элемент Нормализатор с правилом AVSOFT Athena (идентификатор правила: RV-N-262).

События AVSOFT Athena и AVSOFT Kairos нормализуются единым правилом.
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.