RedCheck: настройка источника

Данная инструкция описывает настройку сбора событий на сервере RedCheck и их последующей отправки в R-Vision SIEM.

Предварительные требования

Сетевая доступность нод кластера SIEM по целевому порту и протоколу для источника или сетевая доступность централизованного Syslog-сервера.

Настройка RedCheck

Настройка подсистемы журналирования (формат Syslog)

Для настройки логирования дополнительных действий не требуется. Логи хранятся в стандартных директориях:

/var/opt/redcheck-api/log/
/var/opt/redcheck-cleanup-service/log/
/var/opt/redcheck-client/log/
/var/opt/redcheck-common/log/
/var/opt/redcheck-scan-service/log/
/var/opt/redcheck-sync-service/log/

Настройка отправки событий в SIEM

Чтобы настроить отправку событий в SIEM через Rsyslog, выполните следующие шаги:

Создайте правило в каталоге /etc/rsyslog.d/, например, 01-redcheck.conf.

Добавьте в правило следующие строки:

# Загрузка модулей.
module(load="imfile")   # Для чтения логов из файлов.
module(load="omfwd")    # Для пересылки по TCP.

# Настройка для каждого сервиса RedCheck.
# 1. RedCheck API.
input(type="imfile"
      File="/var/opt/redcheck-api/log/*.log"
      Tag="redcheck-api"
      Severity="info"
      Facility="local6"
      )

# 2. RedCheck Cleanup Service.
input(type="imfile"
      File="/var/opt/redcheck-cleanup-service/log/*.log"
      Tag="redcheck-cleanup"
      Severity="info"
      Facility="local6"
      )

# 3. RedCheck Client.
input(type="imfile"
      File="/var/opt/redcheck-client/log/*.log"
      Tag="redcheck-client"
      Severity="info"
      Facility="local6"
      )

# 4. RedCheck Common.
input(type="imfile"
      File="/var/opt/redcheck-common/log/*.log"
      Tag="redcheck-common"
      Severity="info"
      Facility="local6"
      )

# 5. RedCheck Scan Service.
input(type="imfile"
      File="/var/opt/redcheck-scan-service/log/*.log"
      Tag="redcheck-scan"
      Severity="info"
      Facility="local6"
      )

# 6. RedCheck Sync Service.
input(type="imfile"
      File="/var/opt/redcheck-sync-service/log/*.log"
      Tag="redcheck-sync"
      Severity="info"
      Facility="local6"
      )

# Правило для пересылки логов.
if $syslogtag contains 'redcheck' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
  stop
}

Здесь:

<target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.
<port> — порт точки входа Syslog в конвейере SIEM.
<protocol> — сетевой протокол: tcp или udp.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне RedCheck.
- Протокол: выберите вариант в соответствии с настройками на стороне RedCheck.
Добавьте VRL-трансформацию:
```
.dproduct = "RedCheck_Web"
```
Соедините VRL-трансформацию с точкой входа.
Добавьте на конвейер элемент Нормализатор с правилом Алтэкс-Софт Redcheck (идентификатор правила: RV-N-104).
Соедините нормализатор с VRL-трансформацией.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

altex soft redcheck pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события RedCheck.

Найти события RedCheck в хранилище можно по следующему фильтру:

dproduct = "RedCheck_Web"

altex soft redcheck storage

Перечень событий

Invalid shell command
Successfully elevated privilege
Elevating the agentless privilege
Applicable for
Job execution
Elapsed time
Scan finished
User auth method
Directives Path
Validator created
The shell command is invalid (log)
Keep-Alive interval in milliseconds (log)
User authentication methods (log)

Была ли полезна эта страница?