Zeek: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Zeek в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что обеспечена сетевая доступность коллектора R-Vision SIEM с сервера Zeek по целевому порту и протоколу.

Настройка Zeek

Описание подсистемы журналирования источника

Журналирование событий источника осуществляется путем записи в соответствующие файлы.

Для системы, установленной из пакета, стандартной директорией хранения журналов является /opt/zeek/logs. Текущие журналы находятся в директории current.

Полную справку по каждому журналу из директории current можно найти в официальной документации Zeek.

Настройка отправки событий в R-Vision SIEM

Для настройки отправки событий на стороне источника выполните следующие шаги:

  1. Настройте передачу событий из файла. Для этого создайте файл /etc/rsyslog.d/10-zeek.conf со следующим содержанием:

    module(load="imfile" mode="inotify")
input(
    type="imfile"
    File="/opt/zeek/logs/current/http.log"
    Tag="Zeek_http"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/conn.log"
    Tag="Zeek_connections"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/dns.log"
    Tag="Zeek_dns"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/dhcp.log"
    Tag="Zeek_dhcp"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/files.log"
    Tag="Zeek_files"
    Severity="info"
    Facility="local4"
)

input(
    type="imfile"
    File="/opt/zeek/logs/current/ssl.log"
    Tag="Zeek_ssl"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/tunnel.log"
    Tag="Zeek_tunnel"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/ntp.log"
    Tag="Zeek_ntp"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/weird.log"
    Tag="Zeek_weird"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/x509.log"
    Tag="Zeek_x509"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/ftp.log"
    Tag="Zeek_ftp"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/smtp.log"
    Tag="Zeek_smtp"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/pe.log"
    Tag="Zeek_pe"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/irc.log"
    Tag="Zeek_irc"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/dpd.log"
    Tag="Zeek_dpd"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/ldap.log"
    Tag="Zeek_ldap"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/ldap_search.log"
    Tag="Zeek_ldap_search"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/quic.log"
    Tag="Zeek_quic"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/notice.log"
    Tag="Zeek_notice"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/dce_rpc.log"
    Tag="Zeek_dce_rpc"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/smb_files.log"
    Tag="Zeek_smb_files"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/kerberos.log"
    Tag="Zeek_kerberos"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/opt/zeek/logs/current/ntlm.log"
    Tag="Zeek_ntlm"
    Severity="info"
    Facility="local4"
)

if $syslogtag contains 'Zeek' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
  stop
}

    Здесь:

    • <target> — IP-адрес или полное доменное имя (FQDN) коллектора R-Vision SIEM;

    • <port> — порт точки входа типа Syslog на конвейере R-Vision SIEM;

    • <protocol> — сетевой протокол: tcp или udp.

  2. Перезапустите службу rsyslog.service с помощью команды:

    systemctl restart rsyslog.service

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. Перейдите в раздел Ресурсы → Коллекторы.

  2. В карточке коллектора перейдите на вкладку Обогащение.

  3. Добавьте таблицу обогащения zeek_events_description.

  4. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  5. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Zeek.

    • Протокол: выберите вариант в соответствии с настройками на стороне Zeek.

  6. Добавьте на конвейер элемент Нормализатор с правилом Zeek TrafficParcer (идентификатор правила: RV-N-346).

  7. Соедините нормализатор с точкой входа.

  8. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  9. Соедините конечную точку с нормализатором.

  10. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

zeek pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Zeek.

Найти события Zeek в хранилище можно по следующему фильтру:

device_vendor = "zeek"

zeek event storage filter

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь