Код Безопасности Континент 4: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий аппаратно-программного комплекса шифрования (АПКШ) Континент 4 в R-Vision SIEM.

Настройка Континент 4

Система позволяет отправлять события аудита во внешние системы посредством syslog. Функциональные события АПКШ Континент 4 во внешние системы посредством syslog не передаются и не покрываются текущими правилами нормализации R-Vision SIEM.

Для настройки syslog на АПКШ Континент 4 выполните следующие шаги:

  1. Подключитесь к центру управления сетью (далее — ЦУС) с помощью ПО "Континент. Менеджер конфигурации".

  2. Откройте вкладку Структура.

  3. Выберите узел безопасности (далее — УБ), с которого необходимо отправлять события в SIEM.

  4. Вызовите контекстное меню для УБ и выберите пункт Свойства. Откроется меню настроек УБ.

  5. Откройте вкладку Настройки журналирования.

  6. Для параметра Детализация задайте значение Высокий.

  7. Нажмите на кнопку добавления внешнего системного журнала.

  8. Заполните следующие параметры:

    • Адрес: введите IP-адрес коллектора SIEM или syslog-сервера, через который будут передаваться данные в SIEM.

    • Порт: введите значение порта, который планируется прослушивать.

    • Протокол: введите требуемый протокол.

    • Временной интервал: выберите вариант Всегда.

      Настройки журналирования должны выглядеть следующим образом:

      ContinentLoggingSettings

  9. Нажмите на кнопку Применить.

  10. Нажмите на кнопку ОК.

  11. Отправьте конфигурацию на УБ. Для этого:

    1. В главном меню нажмите на кнопку button.

    2. Отметьте УБ, для которого настраивалось внешнее журналирование.

    3. Нажмите на кнопку ОК.

Настройка на стороне АПКШ Континент 4 завершена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Континент 4.

    • Протокол: выберите вариант в соответствии с настройками на стороне Континент 4.

  3. Добавьте на конвейер элемент Нормализатор с правилом Код Безопасности Континент 4 (идентификатор правила: RV-N-112).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

ContinentPipelineScheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Континент 4.

Найти события Континент 4 в хранилище можно по следующему фильтру:

dproduct = "Континент 4"

kodbezopasnosti continent 4 storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь