ArcSight惠普

ArcSight的数据导出器设计用于将事件从单个主机名发送到SIEM,并链接回InsightIDR。当InsightIDR生成事件时,事件被发送到SIEM。

信息格式如下:

          

           消息格式

            
           

          

           

            

             1

            [RFC 3164 timestamp] [host] CEF:0|Rapid7|InsightIDR|1.0|[message id]|[title]|10|start=[timestamp] msg=[alert message] cat=[alert category] cs1=https://insight.rapid7.com/[url] cs1Label= InsightIDR Link
           
          

           示例消息

            
           

          

           

            

             1

            Nov 30 13:35:53 SERVER111 CEF:0|Rapid7|InsightIDR|1.0|123456789|NetworkAccessForThreat|10|start=Nov 30 13:34:37 msg=Account jsmith made a DNS query for www.google.com (tracked in Test Threat) from 192.168.0.1cat=折衷cs1=https://insight.rapid7.com/#InsightIDR/incidents/1234 cs1Label=InsightIDR Link . cat=折衷cs1=https://insight.rapid7.com/#InsightIDR/incidents/1234 cs1Label=InsightIDR Link

在你开始之前

有关配置HP ArcSight以从InsightIDR收集信息的信息,你可以在这里阅读他们的文档:https://community.saas.hpe.com/t5/ArcSight-Connectors/HPE-ArcSight-SmartConnector-User-Guide/ta-p/1586784?nm

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击数据出口国图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 在“Hostname”字段中,输入将导出数据的单个资产或IP的主机名。
  6. 在“Port”字段中,输入事件源监听的端口。
  7. 可以选择从InsightIDR导出特定于资产的警报,方法是检查警报盒子。
  8. 点击保存