Radware DefencePro
Информация об источнике
Radware DefensePro — это аппаратно-программная платформа защиты сети, предназначенная для предотвращения DDoS-атак, обнаружения аномалий трафика и защиты сервисов на уровнях L2–L7. Устройство обеспечивает анализ трафика в реальном времени, применяет поведенческие и сигнатурные модели, автоматически блокирует сетевые атаки и передаёт информацию о состоянии защищаемой инфраструктуры.
Типы собираемых событий:
- Обнаружение и фиксация сетевых атак (Attack Start / Attack Update / Attack End)
- Поведенческие события и аномалии трафика
- Системные и аппаратные события (Health / System Status)
- События безопасности и протокольных нарушений
- Аудит действий пользователей
Настройка отправки событий через Syslog
Для интеграции Radware DefensePro с внешними системами мониторинга и SIEM необходимо настроить передачу событий по протоколу Syslog.
Ниже представлены два поддерживаемых способа конфигурирования: через интерфейс APSolute Vision и через Web UI DefensePro. Вы можете использовать любой из методов в зависимости от доступного интерфейса управления устройством
Настройка через APSolute Vision
-
В интерфейсе APSolute перейдите в:
"Configuration" > "Setup" → "Reporting Settings" → "Syslog"
В ряде версий APSolute OS 10.x путь к настройкам syslog может отображаться как "Setup" > "System" > "Logging" > "Syslog".Это связано только с изменением структуры меню.
Функциональность настройки syslog полностью соответствует инструкции
-
Установите флажок "Enable Syslog"
-
Выполните одно из действий:
- Чтобы добавить новый syslog-сервер, нажмите кнопку "Add".
- Чтобы изменить существующую запись, дважды щёлкните по ней в таблице.
-
Заполните следующие параметры, в соответствии с конфигруацией и требованиями вашей SIEM, и нажмите "Submit":
- "Enable Syslog Server" — включает или отключает отправку сообщений.
- "Syslog Server" — IP-адрес сервера, принимающего syslog (SIEM).
- "Source Port" — порт, который DefensePro использует для отправки сообщений.
- По умолчанию: 514
- Значение 0 означает использование случайного порта.
- "Destination Port" — порт на стороне SIEM, принимающий syslog-сообщения.
- По умолчанию: 514
- "Facility" — категория syslog-сообщений.
- По умолчанию: Local Use 6
- "Protocol" — выбирается протокол передачи сообщений (выберите UDP)
- Убедитесь, что включены все типы отчётов:
- "Send Security-Event Reports to Syslog" — отправка событий безопасности и атак.
- "Send Health-Event Reports to Syslog" — отправка событий состояния системы и оборудования.
- "Send Audit-Event Reports to Syslog" — отправка аудита действий пользователей.
"Syslog Server CA Certificate" — используется только при передаче syslog поверх TLS (Syslog over TLS). При использовании UDP или обычного TCP это поле не заполняется.
Настройка через Web UI DefensePro
-
Войдите в Web UI DefensePro.
-
Перейдите "Services" → "Syslog Reporting"
-
В поле "Syslog Server Operational Status" выберите "Enabled".
-
Нажмите "Create", чтобы добавить новую запись, или выберите существующую для редактирования.
-
Заполните следующие параметры, в соответствии с конфигруацией и требованиями вашей SIEM, ****и нажмите "Set":
- "Syslog Server" — IP-адрес сервера SIEM/syslog.
- "Syslog Server Source Port" — исходящий порт DefensePro (обычно 514).
- "Syslog Server Destination Port" — порт приёма на SIEM (обычно 514).
- "Syslog Server Facility" — оставьте Local Use 6, если нет иных требований.
- "Syslog Server Protocol" — выберите "UDP Protocol".
- "Syslog Health Sending" — "Enabled", отправка системных событий.
- "Syslog Security Sending" — "Enabled", отправка security/attack событий.
- "Syslog User Audit Sending" — "Enabled", отправка аудита действий пользователей.
"Syslog Server CA Certificate" — используется только при передаче syslog поверх TLS (Syslog over TLS). При использовании UDP или обычного TCP это поле не заполняется.
No comments to display
No comments to display