Apple macOS: настройка источника

Данное руководство описывает процесс сбора и отправки событий операционных систем Apple macOS в R-Vision SIEM с помощью агента платформы R-Vision.

Настройка macOS

Настройка сбора событий macOS с помощью агента платформы R-Vision включает установку агента R-Vision на конечное устройство и конфигурирование группы агентов.

Установка агента

Установите агент R-Vision Endpoint на устройство и настройте его связь с кластером R-Vision SIEM. После этого в веб-интерфейсе R-Vision SIEM в разделе Агенты появится информация о подключенном устройстве macOS.

После настройки связи агента с кластером R-Vision SIEM убедитесь, что рабочая станция появилась в списке агентов:

rpoint newly added macos host

Настройка в R-Vision SIEM

Настройка отправки событий в R-Vision SIEM

  1. В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты → Группы агентов.

  2. Создайте группу и добавьте в нее узел, на котором установлен агент.

  3. В созданной группе узлов в секции Пользователи и процессы установите следующие переключатели в активное положение:

    • Вход/выход пользователей (Linux / macOS);

    • Создание процессов (Linux / macOS);

    • Управление пользователями (Linux / macOS).

      rpoint group settings macos

  4. Нажмите на кнопку Сохранить.

Добавление узла в группу

Для добавления узла под управлением macOS в созданную группу:

  1. В веб-интерфейсе R-Vision SIEM перейдите в раздел Агенты.

  2. Выберите нужный узел и нажмите на кнопку (agent to group) на панели инструментов.

  3. Выберите ранее созданную группу и нажмите на кнопку Добавить.

  4. Дождитесь применения политики группы на агенте.

Настройка обработки событий в R-Vision SIEM

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа с типом R-Vision Endpoint.

    Для настройки точки входа типа R-Vision Endpoint обратитесь к документации продукта R-Vision SIEM.

  3. Добавьте на конвейер элемент Нормализатор с правилом R-Vision Endpoint for macOS (идентификатор правила: RV-N-361).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

rpoint pipeline macos

После настройки группы агентов и передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события хоста под управлением macOS.

Найти события хоста под управлением macOS в хранилище можно по следующему фильтру:

device_version = "macos"
device_product = "endpoint"

rpoint storage macos

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь