Juniper SRX: настройка источника

Данное руководство описывает процесс отправки событий сетевого коммутатора Juniper SRX в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что обеспечена сетевая доступность Juniper SRX по целевому порту и протоколу для каждой ноды кластера R-Vision SIEM.

Настройка Juniper SRX

Настройте отправку событий на Juniper, последовательно выполнив команды:

# configure
# set system syslog host <target> port <port> transport <protocol> <severity>
# commit

Здесь:

  • <target> — IP-адрес коллектора R-Vision SIEM.

  • <port> — порт точки входа Syslog в конвейере R-Vision SIEM.

  • <protocol> — сетевой протокол (tcp или udp).

  • <severity> — необходимый уровень логирования:

    • emergency — критические события.

    • alert — события о небезопасных действиях.

    • critical — критичные события.

    • error — события об ошибках.

    • warning — предупреждающие события.

    • notice — события в рамках ожидаемого поведения.

    • info — информационные события.

    • any — отправка всех событий.

      Рекомендуемый уровень логирования — info.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне источника (любой свободный порт со значением больше 30000).

    • Протокол: выберите вариант в соответствии с настройками на стороне источника.

  3. Добавьте элемент VRL-трансформация со следующим кодом:

    .device_product = "junos"

  4. Соедините добавленную точку входа и VRL-трансформацию.

  5. Добавьте на конвейер элемент Нормализатор с правилом JunOS (идентификатор правила: RV-N-359).

  6. Соедините нормализатор с VRL-трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

juniper srx ng pipeline scheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Juniper SRX.

Найти события Juniper SRX в хранилище можно по следующему фильтру:

device_product = "junos"

juniper srx ng filter

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь