ArcSight惠普
ArcSight的数据导出器设计用于将事件从单个主机名发送到SIEM,并链接回InsightIDR。当InsightIDR生成事件时,事件被发送到SIEM。
信息格式如下:
消息格式
1[RFC 3164 timestamp] [host] CEF:0|Rapid7|InsightIDR|1.0|[message id]|[title]|10|start=[timestamp] msg=[alert message] cat=[alert category] cs1=https://insight.rapid7.com/[url] cs1Label= InsightIDR Link
示例消息
1Nov 30 13:35:53 SERVER111 CEF:0|Rapid7|InsightIDR|1.0|123456789|NetworkAccessForThreat|10|start=Nov 30 13:34:37 msg=Account jsmith made a DNS query for www.google.com (tracked in Test Threat) from 192.168.0.1cat=折衷cs1=https://insight.rapid7.com/#InsightIDR/incidents/1234 cs1Label=InsightIDR Link . cat=折衷cs1=https://insight.rapid7.com/#InsightIDR/incidents/1234 cs1Label=InsightIDR Link
在你开始之前
有关配置HP ArcSight以从InsightIDR收集信息的信息,你可以在这里阅读他们的文档:https://community.saas.hpe.com/t5/ArcSight-Connectors/HPE-ArcSight-SmartConnector-User-Guide/ta-p/1586784?nm.
如何配置事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击数据出口国图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 在“Hostname”字段中,输入将导出数据的单个资产或IP的主机名。
- 在“Port”字段中,输入事件源监听的端口。
- 可以选择从InsightIDR导出特定于资产的警报,方法是检查警报盒子。
- 点击保存.
这个页面对你有帮助吗?