Juniper vSRX-NG: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Juniper vSRX-NG в R-Vision SIEM.

Предварительные требования

Сетевая доступность нод кластера SIEM по целевому порту и протоколу для источника.

Настройка Juniper vSRX-NG

Настройка журналирования

Для пересылки событий, регистрируемых в Juniper vSRX-NG, выполните следующие шаги:

Перейдите в режим конфигурации в терминале vSRX-NG с помощью команды:
```
configure
```
Настройте сетевой интерфейс с помощью команды:
```
set interfaces gr-0/0/0 unit 0 family inet address 10.10.10.11/24
```
Здесь:
- gr-0/0/0 — настраиваемый сетевой интерфейс.
- 10.10.10.11/24 — IPv4-адрес, который выбирается и задается, исходя из настроек сети.
- /24 — маска.
Настройте отправку логов на сервер syslog:
```
set system syslog host 10.10.10.12 port 514 transport tcp log-prefix vSRX-NG any any
```
Здесь:
- 10.10.10.12 — IPv4 сервера syslog.
- 514 — значение порта, на котором прослушивается сервер syslog.
- tcp или udp — протокол, который будет использоваться для отправки логов на сервер syslog.
- vSRX-NG — шаблон, добавляемый к каждой строке лога, которая будет отправляться на сервер syslog.
Введите команду для подтверждения настроек:
```
commit
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Juniper vSRX-NG.
- Протокол: выберите вариант в соответствии с настройками на стороне Juniper vSRX-NG.
Добавьте на конвейер элемент Нормализатор с правилом Juniper VSRX-NG (идентификатор правила: RV-N-49).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

juniper vsrx ng pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Juniper vSRX-NG.

Найти события Juniper vSRX-NG в хранилище можно по следующему фильтру:

dproduct = "Juniper vSRX-NG"

juniper vsrx ng storage

Перечень событий

Last message repeated
Unreachable NTP Server
User executed command
Accepted keyboard-interactive ssh
Granted superuser
Access to cli via ssh
SSH login failed
Authentication error
Entering configuration mode
Set new user
Set user authentication
Delete user
Set interfaces

Таблица маппинга

Тип события/журнала Журнал аудита

Тип события/журнала	Журнал аудита
`deviceFacility`	`.raw.facility`
`severity`	`.raw.severity`
`dvendor`	`Juniper Networks`
`dproduct`	`Juniper VSRX-NG`
`dvchost`	`.raw.hostname`
`shost`
`sport`
`msg`	`.raw.message`
`name`
`outcome`	`Success/Failure`
`dhost`	`hosts[2]`
`dvcpid`	`regxp.dvcpid`
`rt`
`sourceServiceName`	`regxp.service`
`suser`
`cmd`
`accesses`
`spt`
`dpt`
`cs1Label`	`Number of times the message is repeated`
`cs1`
`cs2Label`	`IP NTP server`
`cs2`
`cs3Label`	`Class new user`
`cs3`
`cs4Label`	`Type authentication for new user`
`cs4`
`cs5Label`	`Name deleted user`
`cs5`

deviceFacility

.raw.facility

severity

.raw.severity

dvendor

Juniper Networks

dproduct

Juniper VSRX-NG

dvchost

.raw.hostname

shost

sport

msg

.raw.message

name

outcome

Success/Failure

dhost

hosts[2]

dvcpid

regxp.dvcpid

rt

sourceServiceName

regxp.service

suser

cmd

accesses

spt

dpt

cs1Label

Number of times the message is repeated

cs1

cs2Label

IP NTP server

cs2

cs3Label

Class new user

cs3

cs4Label

Type authentication for new user

cs4

cs5Label

Name deleted user

cs5

Была ли полезна эта страница?