蓝色外套代理

Blue Coat ProxySG是一款基于云的产品,为用户提供网络安全。将此事件源连接到InsightIDR将增强可用于分析的安全数据。

在你开始之前

Blue Coat Security以特定格式ELFF记录其数据,该格式允许您定义记录数据字段的顺序。您可以在此处了解如何定义字段顺序:https://portal.threatpulse.com/docs/am/PDFBriefs/BCWSSPrxyFwd.pdf

为了让Blue Coat与InsightIDR解析器正常工作,请确保以下字段位于日志的前面,如下所示:日期时间c-ip s-action sc状态cs方法cs uri方案cs uri cs(用户代理)cs字节sc字节sc筛选结果

您可以在初始字段之后添加额外的字段,这不会影响解析器。

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击Web代理图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 可选择发送未经过滤的日志
  6. 选择时区与事件源日志的位置匹配。
  7. 选择一个收集的方法并指定端口和协议。
  8. 点击保存