Orion soft zVirt: настройка источника

Данное руководство описывает процесс отправки событий аудита ИБ сервиса Hosted Engine платформы виртуализации zVirt.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая связность между сервером СУБД, используемым средством виртуализации zVirt, и SIEM обеспечена, а необходимые порты открыты.

Настройка zVirt

Для настройки источника выполните следующие шаги:

  1. Разрешите подключаться к СУБД извне по паролю. Для этого добавьте в файл pg_hba.conf следующую строку:

    host    all             all             0.0.0.0/0            md5

  2. Перезапустите сервис:

    systemctl restart postgresql.service

  3. Создайте учетную запись, от имени которой будет производиться подключение к СУБД. Для этого подключитесь к СУБД локально от имени учетной записи postgres:

    sudo -u postgres psql

  4. Создайте пользователя, который впоследствии будет читать записи из таблицы аудита, наделив его правами на подключение к базе engine:

    create user zvirt_logger;
alter role zvirt_logger with password 'password';
grant connect on engine to zvirt_logger;

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Строка подключения.

      • Строка подключения: введите строку вида:

        jdbc:postgresql://<ip-address>:<port>/engine?user=<user>&password=<password>

        где:

        • <ip-address> — адрес вашего сервера Hosted Engine.

        • <port> — порт подключения к СУБД Hosted Engine. По умолчанию используется порт 5432.

        • <user> — имя пользователя для подключения к Hosted Engine.

        • <password> — пароль пользователя для СУБД Hosted Engine.

          orion soft zvirt create secret connection string

    4. Нажмите на кнопку Создать.

  2. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  3. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант PostgreSQL.

    • Адрес подключения: выберите секрет, созданный ранее.

    • SQL-запрос: для сбора логов из таблицы audit_log добавьте следующую команду:

      SELECT
    *,
    'zVirt' AS appname,
    (SELECT inet_server_addr()) AS server_ip
FROM audit_log
WHERE audit_log_id > ?::integer;

    • Поле идентификатора: введите ключ audit_log_id со значением 1.

  4. Добавьте на конвейер элемент Нормализатор с правилом Orion Soft zVirt (идентификатор правила: RV-N-341).

  5. Соедините нормализатор с точкой входа.

  6. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  7. Соедините конечную точку с нормализатором.

  8. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

orion soft zvirt pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события zVirt.

Найти события zVirt в хранилище можно по следующему фильтру:

device_product = "zvirt"

orion soft zvirt filter

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь