Solar webProxy: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Solar webProxy в R-Vision SIEM.

Предварительные требования

Перед настройкой сбора событий в R-Vision SIEM убедитесь в выполнении следующих условий:

Сетевая связность между сервером Solar webProxy и R-Vision SIEM (или промежуточным узлом) обеспечена, а необходимые порты открыты.
Учетная запись имеет права администратора для настройки журналирования.

Настройка Solar webProxy

Для настройки аудита пользователей Solar webProxy выполните следующие действия:

В разделе Система → Основные настройки → Журналирование → Сервер веб-интерфейса установите флажок Журналировать действия пользователей в syslog.
Нажмите Сохранить и Применить.

Для настройки журналирования access.log выполните следующие действия:

В разделе Система → Основные настройки → Журналирование → Фильтрация и анализ трафика пользователей установите флажки Запись журнала (формат access-log), Запись журнала (формат SIEM), Запись преобразования IP-адреса источника (формат SIEM).
Нажмите Сохранить и Применить.

Настройка отправки событий в R-Vision SIEM

Чтобы настроить отправку событий Solar webProxy, выполните следующие шаги:

Откройте конфигурационный файл syslog-ng по пути /etc/syslog-ng/conf.d/10-skvtlog.conf.

Добавьте в файл следующие правила:

source skvt {
        file("/opt/dozor/var/log/skvt-play-server/current" flags(no-parse));
};

destination d_siem {
    <protocol>("<target>" port(<port>));
};

rewrite r_add_tag {
    set("webproxy", value("PROGRAM"));
};

log {
    source(skvt);
    rewrite(r_add_tag);
    destination(d_siem);
    flags(final);
};

filter access {
    message("acc-ip:") and program("java");
};

rewrite r_tag {
    set("webproxy-access", value("PROGRAM"));
};

log {
    source(s_src);
    filter(access);
    rewrite(r_tag);
    destination(d_siem);
};

Здесь:

<target>: IP-адрес или полное доменное имя (FQDN) коллектора R-Vision SIEM.
<port>: порт точки входа Syslog на конвейере R-Vision SIEM.
<protocol>: сетевой протокол (tcp или udp).

Перезапустите службу syslog-ng с помощью команды:
```
systemctl restart syslog-ng
```

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Solar webProxy.
- Протокол: выберите вариант в соответствии с настройками на стороне Solar webProxy.
Добавьте на конвейер элемент Нормализатор с правилом Solar webProxy (идентификаторы правил: *RV-N-331, RV-N-351).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

solar webproxy pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Solar webProxy.[TIP]

Найти события Solar webProxy в хранилище можно по следующему фильтру:[source,sql]

device_product = "webproxy"

Была ли полезна эта страница?