Cisco ASA: настройка источника
Данное руководство описывает процесс настройки отправки событий межсетевого экрана Cisco ASA в R-Vision SIEM.
Настройка Cisco ASA
Настройте передачу событий по syslog. Для этого в режиме конфигурации терминала выполните следующие действия:
-
Включите логирование командой:
ciscoasa(config)# logging enable -
Настройте добавление hostname в сообщение syslog командой:
ciscoasa(config)# logging device-id hostname -
Укажите интерфейс, адрес коллектора SIEM, протокол и порт:
ciscoasa(config)# logging host <iface> <target> <protocol>/<port>Здесь:
-
<iface>— интерфейс, через который будут отправляться события. -
<target>— IP-адрес коллектора SIEM. -
<port>— порт точки входа Syslog в конвейере SIEM. -
<protocol>— сетевой протокол:tcpилиudp.
-
Настройка в R-Vision SIEM
Для интеграции источника с R-Vision SIEM выполните следующие действия:
-
В интерфейсе R-Vision SIEM перейдите в раздел Ресурсы → Коллекторы и откройте карточку коллектора.
-
На вкладке Обогащение добавьте таблицу ASA_events_et обогащения коллектора.
-
В том же коллекторе создайте новый конвейер.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Тип точки входа: Syslog;
-
Порт точки входа и протокол: в соответствии с настройками на стороне Cisco ASA.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Cisco ASA (Идентификатор правила: RV-N-22). Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
Если настройка выполнена корректно, после настройки передачи событий в хранилище начнут поступать события Cisco ASA.
|
Найти события Cisco ASA в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
Была ли полезна эта страница?
