UserGate UTM: настройка источника

Данное руководство описывает настройку сбора событий универсального шлюза безопасности UserGate и их отправки в хранилище R-Vision SIEM.

Настройка UserGate UTM

Настройка отправки логов на сервер syslog

Чтобы настроить UserGate UTM для отправки логов, выполните следующие шаги:

  1. Войдите в веб-интерфейс UserGate UTM с помощью учетной записи с правами администратора.

    С данными учетной записи, созданной по умолчанию, можно ознакомиться в документации UserGate UTM.

  2. Перейдите в раздел Журналы и отчеты → Журналы → Экспорт журналов.

  3. Нажмите на кнопку Добавить (plus).

  4. В появившемся окне Свойства правила экспорта журналов откройте вкладку Удаленный сервер.

  5. Выберите Syslog в качестве типа сервера.

  6. Введите IP-адрес коллектора SIEM.

  7. Укажите порт коллектора SIEM.

  8. Выберите требуемый протокол.

  9. Укажите уровень критичности.

  10. Выберите тип событий для отправки.

  11. Перейдите на вкладку Журналы для экспорта.

  12. Установите флажки напротив всех журналов, с которых планируется сбор событий на данном устройстве.

  13. В качестве формата сбора событий выберите из выпадающего списка вариант CEF.

  14. Сохраните изменения.

Настройка сбора логов

Чтобы настроить UserGate UTM для сбора логов с устройств, выполните следующие шаги:

  1. В веб-интерфейсе UserGate UTM перейдите в раздел Devices.

  2. Добавьте устройства, с которых планируется сбор логов.

  3. Настройте параметры сбора логов для каждого устройства.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне UserGate.

    • Протокол: выберите вариант в соответствии с настройками на стороне UserGate.

  3. Добавьте на конвейер элемент VRL-трансформация со следующим кодом:

    .dvendor = "Usergate"
.dproduct = "UTM"

  4. Соедините VRL-трансформацию с точкой входа.

  5. Добавьте на конвейер элемент Нормализатор с правилом Usergate UTM 6 (идентификатор правила: RV-N-36).

  6. Соедините нормализатор с VRL-трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

UsergateUTMPipelineScheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события UserGate UTM.

Найти события UserGate UTM в хранилище можно по следующему фильтру:

dproduct = "UTM"

usergate utm storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь