РОСА Виртуализация: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий аудита ИБ сервиса Hosted Engine платформы виртуализации РОСА Виртуализация в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая связность между сервером СУБД, используемым средством виртуализации РОСА Виртуализация, и SIEM обеспечена, а необходимые порты открыты.

Настройка РОСА Виртуализация

Для настройки источника выполните следующие шаги:

  1. Разрешите подключаться к СУБД извне по паролю. Для этого добавьте в файл pg_hba.conf следующую строку:

    host    all             all             0.0.0.0/0            md5

  2. Перезапустите сервис, выполнив команду:

    systemctl restart postgresql.service

  3. Создайте учетную запись, от имени которой будет производиться подключение к СУБД. Для этого подключитесь к СУБД локально от имени учетной записи postgres:

    sudo -u postgres psql

  4. Создайте пользователя, который впоследствии будет читать записи из таблицы аудита, наделив его правами на подключение к базе engine:

    CREATE USER rosa_virt_logger;
ALTER ROLE rosa_virt_logger WITH PASSWORD 'password';
GRANT CONNECT ON DATABASE engine TO rosa_virt_logger;
GRANT USAGE ON SCHEMA public TO rosa_virt_logger;
GRANT SELECT ON TABLE audit_log TO rosa_virt_logger;

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Строка подключения.

      • Строка подключения: введите строку вида:

        jdbc:postgresql://<ip_address>:<port>/engine?user=<user>&password=<password>

        Здесь:

        • <ip_address> — адрес сервера Hosted Engine.

        • <port> — порт подключения к СУБД Hosted Engine. По умолчанию используется порт 5432.

        • <user> — имя пользователя для подключения к Hosted Engine.

        • <password> — пароль пользователя для СУБД Hosted Engine.

          rosa virtualization connection string

    4. Нажмите на кнопку Создать.

  2. В интерфейсе R-Vision SIEM в карточке коллектора перейдите на вкладку Обогащение и добавьте таблицу обогащения ovirt_audit_events.

  3. Создайте новый конвейер в данном коллекторе.

  4. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант PostgreSQL.

    • Адрес подключения: выберите созданный ранее секрет.

    • SQL-запрос: для сбора логов из таблицы audit_log добавьте следующую команду:

      SELECT
    *,
    'rosa-virtualization' AS appname,
    (SELECT inet_server_addr()) AS server_ip
FROM audit_log
WHERE audit_log_id > ?::integer;

    • Поле идентификатора: введите ключ audit_log_id со значением 1.

  5. Добавьте на конвейер элемент Нормализатор с правилом oVirt (идентификатор правила: RV-N-367).

  6. Соедините нормализатор с точкой входа.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

rosa virtualization pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события РОСА Виртуализация.

Найти события РОСА Виртуализация в хранилище можно по следующему фильтру:

device_product = "virtualization"

rosa virtualization filter

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь