发送InsightConnect事件到InsightIDR
InsightIDR中的Investigation特性允许您收集事件的上下文,并进行有效协作以纠正和关闭它们。当您使用此特性时,您可以在InsightConnect中触发自动化工作流,以帮助更快地通过事件生命周期。这些工作流可以生成事件或日志,您可以将这些事件或日志发送回InsightIDR,以提供更多的安全数据。
InsightConnect与数百种流行的安全工具连接,帮助检测异常活动并向安全团队发出警报。用户可以对这些警报进行额外的补充,然后将它们输入InsightIDR,以便在InsightIDR的Investigations特性中处理它们。用户可以创建自定义警报,对传入的InsightConnect数据发出警报。
通过将您的InsightConnect日志添加到InsightIDR,您可以使用insighttops创建可定制的仪表板。
以下是如何将InsightConnect事件发送到InsightIDR的概述:
设置InsightConnect事件源
在InsightIDR中创建一个新的事件源:
- 点击设置在左侧导航栏中。
- 点击设置事件源>添加事件源.
- 单击自定义日志原始数据下的事件源。
- 为事件源添加一个名称,如InsightConnect。
- 为您的Orchestrator选择时区。
- 选择要与事件源关联的收集器。
- 注意您选择的采集器,以便在本步骤的步骤10中找到它的IP地址。
- 选择监听Syslog作为您的收集方法。
- 在“Port”字段中输入不过载的端口号。例如,可以使用端口65218。
- 请记录该端口号,以便后续在InsightConnect中进行配置。
- 在“协议”字段中,选择其中之一UDP或TCP.选择TCP如果你想发送加密数据。
- 导航到收藏家选项卡下设置。在步骤6中选择的采集器下,记录其IP地址,以便在InsightConnect中进行后续配置。
在“InsightConnect”中增加Syslog转发器步骤
要将InsightConnect工作流的日志发送到InsightIDR,需要在工作流中添加Syslog Forwarder步骤。
将Syslog转发器步骤添加到工作流:
- 登录您的InsightConnect实例。
- 在左侧导航栏中展开Workflow,导航到要添加Syslog转发器步骤的Workflow。
- 单击+图标,添加步骤。
- 选择动作步骤.
- 如果已下载Syslog转发器,请跳过步骤8。
- 如果您还没有下载Syslog转发器,请单击+添加插件按钮,执行步骤5。
- 搜索Syslog货代.
- 选择Syslog货代由Rapid7和出版社下一个.
- 点击进口插件将安装。
- 选择Syslog货代从“from Plugins”菜单中点击继续.
- 选择转发消息并按继续.
- 点击+添加一个新连接.
- 在Connection Name字段中,为连接添加一个名称。
- 这个连接将存在于何处?字段选择相关的协调器。
- 2 .在“Host”中输入步骤10中记录的采集器IP地址设置InsightConnect事件源部分。
- 在“Port”中输入步骤8中设置的Syslog监听端口号设置InsightConnect事件源部分。
- 在Transport字段中,选择UDP或TCP的步骤9中选择的协议设置InsightConnect事件源部分。
- 将要发送的消息放入message字段的日志中。您可以使用JSON编写消息,但一旦被Syslog接收,它将被格式化为字符串。
- 将Facility字段设置为Local0.欲了解更多信息,请点击此处:https://success.trendmicro.com/solution/TP000086250-What-are-Syslog-Facilities-and-Levels
- 填写Level、Host和MessageID字段。这些字段的值将根据您如何使用Syslog而变化。请看下面的示例截图,点击这里获取更多信息:https://success.trendmicro.com/solution/TP000086250-What-are-Syslog-Facilities-and-Levels
在InsightIDR中查看您的InsightConnect日志
在InsightIDR中可以通过两种方式查看InsightConnect日志。
第一种方法是:
- 导航到设置.
- 选择事件源.
- 找到InsightConnect事件源。
- 点击查看原始日志.
第二种方法是:
- 点击日志搜索在左侧导航栏中。
- 只选择了原始数据logset。
- 选择InsightConnect并取消选择所有其他日志。
这个页面对你有帮助吗?