Подключение к TiSoar NG

Traffic Inspector Next Generation (TING) можно включить в систему TiSoar NG, для расширения функциональности анализа и автоматического реагирования на события, инциденты безопасности.

Сначала надо настроить удалённое журналирование: указываем IP-адрес SOAR, протокол UDP и порт 514:

Если всё сконфигурировано правильно, новое устройство с IP-адресом TING появится в SOAR.

Теперь, в веб-интерфейсе TiSoar NG, надо пройти в Устройства, вкладка Новые, выбрать в списке IP-адрес TING и нажать кнопку редактирования конфигурации, где необходимо будет указать следующие параметры:

Параметры устройства для примера

Параметр	Описание
Название устройства	10.1.2.179
IP устройства	Установится автоматически
Появилось в	Установится автоматически
Regex для идентификации устройства	Оставить пустым
Конфигурация источника	Ting [1]
Статус	allowed
Внешний IP	Оставить пустым или указать реальный IP для отображения метки на карте
Описание	Необязательное описание устройства.

[1]

Все методы являются предварительно настроенными. Источники событий могут быть практически любыми устройствами, для которых можно написать пользовательский код для разбора событий. Добавление новых конфигураций осуществляется разработчиками Продукта.

Скриншот настройки приведён на изображении ниже:

Нажмите Сохранить.

Устройство подключено.

Примечание

Для пропуска пакетов от SOAR, нужно также настроить правила межсетевого экрана, разрешающие трафик с адреса машины с SOAR на соответствующий интерфейс, через который будет вестись работа с TING.

См. также

• Пример настройки REST API-запроса от TiSoar NG к TING