UserGate NGFW 6: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий UserGate NGFW 6 в R-Vision SIEM.

Предварительные требования

  • Сетевая доступность нод кластера SIEM по целевому порту и протоколу для источника.

Настройка UserGate NGFW 6

Настройка журналирования

Для настройки сбора событий в UserGate NGFW 6 и их последующей отправки в R-Vision SIEM выполните следующие действия:

  1. Подключитесь к вашему устройству UserGate NGFW. Данные для подключения по умолчанию: https://<address>:8001/utm/login, где <address> — адрес сервера UserGate.

  2. В процессе установки и первоначальной развертки оборудования должна быть установлена стандартная запись администратора Admin. Используйте данные этой учетной записи, чтобы авторизоваться на устройстве.

    usergate ngfw enter menu

  3. По умолчанию после входа в систему откроется дашборд со всеми событиями, происходящими во время работы UserGate NGFW.

  4. Убедитесь, что ведется запись событий в журнал событий. Для этого перейдите в раздел Журнал событий. Все записанные события будут представлены в графическом интерфейсе.

    usergate ngfw events example

  5. Перейдите в раздел Экспорт журналов.

    usergate ngfw show marked data

  6. Создайте новый объект экспорта журналов.

    usergate ngfw add data marked

  7. Выберите необходимые журналы для экспорта.

    usergate ngfw choose journals

  8. На вкладке Удаленный сервер настройте узел R-Vision SIEM со следующими параметрами:

    • Тип сервера: выберите из выпадющего списка вариант Syslog.

    • Адрес сервера: введите IP-адрес узла R-Vision SIEM.

    • Порт: укажите открытый порт коллектора R-Vision SIEM.

    • Транспорт: выберите из выпадающего списка транспортный протокол, который будет использоваться для работы.

    • Протокол: укажите формат отправляемых сообщений — Syslog (RFC 5424).

    • Критичность: укажите уровень критичности.

    • Объект: выберите из выпадающего списка тип событий для отправки.

    • Имя хоста: введите имя хоста.

    • Название приложения: укажите название приложения.

      usergate ngfw configure sending logs

  9. На вкладке Общие установите флажок в поле Включено, чтобы включить правило.

    usergate ngfw enable sending logs

Настройка на стороне источника завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне UserGate NGFW 6.

    • Протокол: выберите вариант в соответствии с настройками на стороне UserGate NGFW 6.

  3. Добавьте на конвейер элемент VRL-трансформация со следующим кодом:

    .dvendor = "Usergate"
.dproduct = "NGFW"

  4. Соедините VRL-трансформацию с точкой входа.

  5. Добавьте на конвейер элемент Нормализатор с правилом Usergate NGFW 6 (идентификатор правила: RV-N-35).

  6. Соедините нормализатор с VRL-трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

usergate ngfw 6 pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события UserGate NGFW 6.

Найти события UserGate NGFW 6 в хранилище можно по следующему фильтру:

dproduct = "NGFW"

usergate ngfw 6 storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь