Для интеграции с SIEM-системами используется утилита Vitro.Server.AuditExport.Linux, включенная в дистрибутив системы и находящаяся в папке Tools. 

При запуске события Vitro-CAD отправляются по протоколу syslog в указанную SIEM-систему  по одному в цикле, пока не будет отправлена все порция, отобранная в текущем запуске утилиты, а также сохраняются в файлы c расширением .txt, размером не более 1 Мб в папке \audit.

Внимание! Перед первым запуском, файл утилиты необходимо сделать исполняемым: 

chmod +x Vitro.Server.AuditExport.Linux #выполянется из директории утилиты

Описание параметров конфигурационного файла config.json

  • WebUrl - адрес портала Vitro MP.
"WebUrl": "http://localhost:4615"
  • Login - Логин пользователя, под УЗ которого будет выполнятся подключение к порталу Vitro MP.
"Login": "VitroUserLogin"
  • Password- пароль пользователя, под УЗ которого будет выполнятся подключение к порталу Vitro MP.
"Password": "VitroUserPassword"
  • Security, UserAction, Request - формулы для получения данных аудита из 3-х списков аудита (Аудит безопасности - Security, Аудит действий пользователя - UserAction, Аудит запросов - Request). Если убрать (или сделать пустой строкой), соответствующий списку аудита, параметр, то, соответственно, передача данных из этого списка выполняться ну будет. В формуле GetList первый параметр это GUID соответствующего списка аудита. В текущих формула будут браться данные аудита из списка за последние сутки (параметр AddDay(Date(), -1, 'yyyy-MM-dd')).
"Security": "GetList('a97f8bc9-0895-4b7a-9c2f-b4eb93b2d7cd', Format('i => i.InsertDate > \\\"{0}\\\"', AddDay(Date(), -1, 'yyyy-MM-dd')))",
"UserAction": "GetList('936a80ce-885b-4894-9fa7-1cfe62201ec6', Format('i => i.InsertDate > \\\"{0}\\\"', AddDay(Date(), -1, 'yyyy-MM-dd')))",
"Request": "GetList('c1e95c98-a5be-40ab-b427-9d19891689cb', Format('i => i.InsertDate > \\\"{0}\\\"', AddDay(Date(), -1, 'yyyy-MM-dd')))",
  • HostName - имя компьютера (хоста) приёмника событий CEF. Если хост недоступен события CEF сохранятся только в папку "\audit" с расширением .txt.
"HostName": "CEFHostName"
  • Port - порт компьютера (хоста) приёмника событий CEF.
"Port": 514
  • CEFFormat - строка форматирования на основе которой формируется событие CEF. 
"CEFFormat": "{0} CEF:0|Vitro Software|Vitro-Cad|2024|{1}|{2}|0|suid={3} suser={4} end={5} msg={6} Item Id:{7}. Details:{8}."
  • CEFAppName- имя приложения "appName" в сообщении CEF для компьютера (хоста) приёмника событий
"CEFAppName": "Vitro-Cad"


 
  • No labels