收藏家概述

收藏家是本地组成部分Insightidr.或者网络上的机器运行RACK7软件,可以从事件源接收数据或从事件源接收数据并使其可用于InsightIdr分析。事件源代表一个设备向收集器发送日志的设备。

例如,如果您有三个防火墙,则您将为收集器中的每个防火墙进行一个事件源。

在整个环境中部署多个收集器通常更有效,而不是破坏防火墙规则或过载单个收集器。

如果您有非常高的记录级别,或者网络在地理上分散,您可能需要在网络上分发带宽。

收藏家的优点

收集器工作流程在直接向InsightIdr发送日志中有两个主要优点:归一化和用户归因。

正常化

归一化将来自多个不同源的日志数据转换为常见的JSON格式,并提取标准信息,如主机名,时间戳和错误级别。归一化允许您在端点日志上运行更高级查询并增强数据可视化。

用户归因

用户归因在登录到应用程序时使用该端点将端点活动与各个用户相关联。归因提供了您的安全姿势的更富勒形象,因为用户帐户是复杂攻击最常见的目标。

如果您决定使用收集器,则端点信息可以延迟最多5分钟,以显示InsightIdr。你应该考虑自定义日志如果日志的实时可见性是关键优先级。

为了让InsightIdr应用用户归属,必须支持事件源。InsightIdr还必须具有可靠的数据来通过日志数据中的用户字段识别IP地址和用户的资产。这些通常由Insight代理和DHCP事件源实现。必威体育app登录

账户要求

设置收集器时,您应该知道:

  • InsightIdr摄取来自环境中现有来源的数据。InsightIdr需要管理员访问从这些源中拉动数据,或者将数据推送到从域管理员帐户的记录聚合器,如果可能的话。
  • 您应该根据任何其他有价值的资产处理您的收藏家,因为它将凭据存储在您的活动来源中。
  • Insightidr在AWS上标准化和属性数据,但不存储凭据。收集器在环境中提供RAW,不必要的日志,以防止存储敏感数据,例如个人身份信息,医疗记录和员工,组织或资产名称。