PT Industrial Security Incident Manager: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий PT Industrial Security Incident Manager (PT ISIM) в R-Vision SIEM.

Предварительные требования

  • Необходима сетевая связность между PT ISIM и коллектором R-Vision SIEM.

Настройка источника

Настройка передачи инцидентов

Для настройки передачи информации об инцидентах на коллектор R-Vision SIEM необходимо:

  1. Перейдите в директорию /opt/ptisim/lib/ptisim-httpapi/templates/alerts/notify:

    cd /opt/ptisim/lib/ptisim-httpapi/templates/alerts/notify

  2. В данной директории имеется 3 раздела, отвечающих за формат присылаемого сообщения:

    • alert_create_message

    • alert_status_message

    • alert_progress_message

      В каждом из этих разделов нужно произвести настройку шаблона сообщения. Рассмотрим на примере alert_create_message.

  3. Перейдите в директорию alert_create_message/syslog.

  4. Скопируйте файлы ru.html и eng.html:

    cp ru.html ru.html.old
cp eng.html eng.html.old

  5. В файлах ru.html и eng.html необходимо заменить содержание на следующее:

    {% include "alerts/notify/_syslog_base.html" %}Created: incident_id:`{{incident.id}}`, incident_name:`{{ incident.name.eng }}`, incident_at_step:{{ incident.progress }}/{{ incident.capacity }}, incident_url:`{{ incident_url }}, incident_status:`{{incident.status}}`, incident_start_time:`{{incident.start.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_src_ip:`{{incident.src_ip}}`, incident_src_mac:`{{incident.src_mac}}`, incident_dst_ip:`{{incident.dst_ip}}`, incident_dst_mac:`{{incident.dst_mac}}`, incident_group:`{{incident.group}}`, incident_shost:`{{station_name}}`, incident_end_time:`{{incident.end.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_type:`{{incident.type}}`, incident_dvc:`{{ip}}`
{# all available fields /opt/ptisim/etc/fullview/httpapi.conf.d/incidents-notify-fields.yaml #}

  6. В директориях alert_status_message и alert_progress_message необходимо проделать те же действия, однако будут отличаться только шаблоны:

    • Для alert_status_message:

      {% include "alerts/notify/_syslog_base.html" %}Incident change status: incident_id:`{{incident.id}}`, incident_name:`{{ incident.name.eng }}`, incident_at_step:{{ incident.progress }}/{{ incident.capacity }}, incident_url:`{{ incident_url }}`, incident_status:`{{incident.status}}`, incident_start_time:`{{incident.start.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_src_ip:`{{incident.src_ip}}`, incident_src_mac:`{{incident.src_mac}}`, incident_dst_ip:`{{incident.dst_ip}}`, incident_dst_mac:`{{incident.dst_mac}}`, incident_group:`{{incident.group}}`, incident_shost:`{{station_name}}`, incident_end_time:`{{incident.end.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_type:`{{incident.type}}`, incident_dvc:`{{ip}}`
{# all available fields /opt/ptisim/etc/fullview/httpapi.conf.d/incidents-notify-fields.yaml #}

    • Для alert_progress_message:

      {% include "alerts/notify/_syslog_base.html" %}Incident change progress: incident_id:`{{incident.id}}`, incident_name:`{{ incident.name.eng }}`, incident_at_step:{{ incident.progress }}/{{ incident.capacity }}, incident_old_step:`{{ old_progress }}/{{ incident.capacity }}`, incident_url:`{{ incident_url }}`, incident_status:`{{incident.status}}`, incident_start_time:`{{incident.start.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_src_ip:`{{incident.src_ip}}`, incident_src_mac:`{{incident.src_mac}}`, incident_dst_ip:`{{incident.dst_ip}},` incident_dst_mac:`{{incident.dst_mac}}`, incident_group:`{{incident.group}}`, incident_shost:`{{station_name}}`, incident_end_time:`{{incident.end.strftime("%Y-%m-%dT%H:%M:%SZ")}}`, incident_type:`{{incident.type}}`, incident_dvc:`{{ip}}`
{# all available fields /opt/ptisim/etc/fullview/httpapi.conf.d/incidents-notify-fields.yaml #}

  7. Теперь необходимо перезагрузить службу ptisim-httpapi.service:

    sudo systemctl restart ptisim-httpapi.service

  8. Необходимо создать правило МЭ, которое позволит передавать события на коллектор, для этого внесите в конец файла /opt/ptisim/default.rules следующие строки:

    # Если используете tcp
-A OUTPUT -p tcp --dport <слушающий порт коллектора SIEM> -j ACCEPT
-A INPUT -p tcp --sport <слушающий порт коллектора SIEM> -j ACCEPT

# Если используете udp
-A OUTPUT -p udp --dport <слушающий порт коллектора SIEM> -j ACCEPT

  9. Сохраните файл и перезапустите службу ptisim-firewall:

    sudo systemctl restart ptisim-firewall.service

  10. Теперь необходимо настроить отправку инцидентов через syslog в веб-интерфейсе. Войдите в веб-интерфейс.

  11. Перейдите во вкладку Система → Отправка сообщений об инцидентах в syslog.

    Pasted%20image%2020250122152536

  12. В данном разделе отметьте Отправлять и в соответствующих полях введите информацию о SIEM:

    • IP-адрес коллектора.

    • Транспортный протокол (TCP/UDP) слушаемый коллектором.

    • Порт слушаемый коллектором.

  13. Нажмите Сохранить.

Настройка передачи инцидентов завершена.

Настройка передачи событий

  1. Создайте файл конфигурации /opt/ptisim/etc/core.d/event.conf:

    nano /opt/ptisim/etc/ptisim.conf

  2. В файле пропишите следующие строки:

    {
"core": {
"features": {
"siem": true
},
"siem": {
"mode": "json"
}
}
}

  3. Сохраните изменения.

  4. Создайте файл /etc/syslog-ng/conf.d/10_events.conf.

  5. Запишите в него следующие строки:

    # для TCP
destination d_net { tcp("<ip-адрес коллектора>" port(<слушаемый коллектором порт>)); };
filter f_events { program("ISIM"); };
log { source(s_src); filter(f_events); destination(d_net); };

# для UDP
destination d_net { udp("<ip-адрес коллектора>" port(<слушаемый коллектором порт>)); };
filter f_events { program("ISIM"); };
log { source(s_src); filter(f_events); destination(d_net); };

  6. Сохраните изменения в файле.

  7. Перезапустите службу ptisim-core:

    sudo systemctl restart ptisim-core

  8. Перезапустите службу syslog-ng:

    sudo systemctl restart syslog-ng

В результате настройка передачи событий на стороне источника закончена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: любое, понятное.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: указанный при настройке PT ISIM.

    • Протокол: указанный при настройке PT ISIM.

  3. Добавьте на конвейер элемент Нормализатор с правилом PT Industrial Security Incident Manager (идентификатор правила: RV-N-159).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Pasted%20image%2020250122154453

При успешном включении в выбранном хранилище появятся события PT ISIM.

Pasted%20image%2020250122155031

Собираемые события

PT ISIM позволяет собрать два вида событий:

  • События безопасности;

  • Инциденты.

Информация от вендора:

  • Возможности передачи событий аудита нет;

  • В будущем из системы также можно будет экспортировать события получаемые с агентов ISIM, установленных на endpoint-устройствах (SCADA-сервера и т.д.).

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь