Конфидент СЗИ ВИ Dallas Lock: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Конфидент СЗИ ВИ Dallas Lock в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая доступность между сервером СЗИ ВИ Dallas Lock и R-Vision SIEM (или промежуточным узлом) обеспечена, а необходимые порты открыты.

Настройка Конфидент СЗИ ВИ Dallas Lock

Для настройки пересылки событий, зарегистрированных СЗИ ВИ Dallas Lock, в R-Vision SIEM по протоколу Syslog выполните следующие шаги:

  1. Войдите в панель управления СЗИ ВИ Dallas Lock.

  2. Перейдите в раздел Сервер УД → Параметры безопасности → Политики аудита.

  3. Выполните настройку следующих параметров:

    • SIEM: Экспорт инцидентов безопасности в SIEM: установите значение Вкл.

    • SIEM: Протокол экспорта инцидентов безопасности в SIEM: выберите вариант TCP.

    • SIEM: Формат экспорта инцидентов безопасности в SIEM: выберите вариант CEF.

    • SIEM: Адрес сервера SIEM (для экспорта инцидентов безопасности): укажите IP-адрес коллектора.

    • SIEM: Сетевой порт сервера SIEM (для экспорта инцидентов безопасности): введите значение порта в диапазоне 30000—​32767.

    • Регистрация НСД: включите все доступные типы НСД.

      dallas lock vi settings

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Socket.

    • Порт точки входа: введите значение в соответствии с настройками на стороне СЗИ ВИ Dallas Lock.

    • Протокол: выберите вариант в соответствии с настройками на стороне СЗИ ВИ Dallas Lock.

  3. Добавьте на конвейер элемент Нормализатор с правилом Dallas Lock VI (идентификатор правила: RV-N-360).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

dallas lock vi pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события СЗИ ВИ Dallas Lock.

Найти события СЗИ ВИ Dallas Lock в хранилище можно по следующему фильтру:

device_product = "dallas_lock_vi"

dallas lock vi search

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь