Cybereason
Cybereason是一个端点检测和响应(EDR)平台,用于检测包含恶意操作(Malops)的事件。如果您使用的是Cybereason版本20.1或更高版本,那么您可以使用它的API让它向InsightIDR发送事件,以便围绕该数据生成调查。
要设置Cyber ay,您需要:
在你开始之前
Cyber ay与Insight IDR的集成由JSON Web令牌(JWT)身份验证在其产品20.1或更晚的版本中通过。缺省情况下,基于JWT的身份验证已禁用。您需要联系Cybereason Tech Tech支持,以在Cyber Aden服务器上启用JWT身份验证。
- 安装和配置Cybereason 20.1或更高版本
- 接触Cyber ay支持在您的帐户上启用API访问。
在InsightIDR中设置Cybereason
- 从左边的菜单,转到数据收集.
- 当出现“数据采集”页面时,单击设置事件源下拉点和选择添加事件源.
- 从Third Party Alerts部分中,单击Cybereason图标。将出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 如果您在警报中发送其他活动,请选择未经过滤的日志复选框。
- 输入您的Cybereason服务器地址和端口,然后以用户名-密码的形式选择或创建您的Cybereason凭据。
- 点击保存.
服务器地址格式
请注意,在输入您的Cybereason服务器地址时,不应包含协议信息。例如,这意味着您应该以这种格式输入服务器地址server.example.net.
而不是https://server.example.net
.
验证配置
完成以下步骤以查看您的日志,并确保事件将其交给收集器。
- 从左边的菜单中,单击日志搜索查看原始日志,以确保事件被发送到收集器。选择适用的日志集和其中的日志名称。日志名称将是事件源名称或Cybereason(如果您没有命名事件源)。Cybereason日志流入第三方警报日志集。
- 接下来,执行日志搜索以确保Cybereason事件通过。请注意,您应该用现有的malops交叉引用您的日志。如果在过去24小时内没有任何新的malops,则没有日志可查看。
日志至少需要7分钟才能出现在日志搜索中
请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。
示例日志
下面是一个Cybereason日志搜索数据的示例:
JSON
1{2“简单的值”:{3.“HasransomwaresususpendedProcesses”:{4“totalValues”:1,5“价值观”:[6“假”7]8},9“decisionFeature”:{10“totalValues”:1,11“价值观”:[12“process.malicicewebshelexecution(malop决定)”13]14},15“rootCauseElementCompanyProduct”:{16“totalValues”:1,17“价值观”:[18”:basel2”19]20.},21“malopstarttime”:{22“totalValues”:1,23“价值观”:[24“1599487825054”25]26},27“detectionType”:{28“totalValues”:1,29“价值观”:[30.“MALICIOUS_PROCESS”31]32},33“malopActivityTypes”:{34“totalValues”:1,35“价值观”:[36“恶意_infection”37]38},39“elementDisplayName”:{40“totalValues”:1,41“价值观”:[42“恶意_infection”43]44},45“creationTime”:{46“totalValues”:1,47“价值观”:[48“1599487956501”49]50},51“isblocked”:{52“totalValues”:1,53“价值观”:[54“假”55]56},57“rootCauseElementTypes”:{58“totalValues”:1,59“价值观”:[60“过程”61]62},63“rootCauseElementNames”:{64“totalValues”:1,65“价值观”:[66“w3wp.exe”67]68},69“maloplastupdatetime”:{70“totalValues”:1,71“价值观”:[72“1599487975114”73]74},75“AllransomwareProcessessusspendend”:{76“totalValues”:1,77“价值观”:[78“假”79]80},81.“rootCauseElementHashes”:{82.“totalValues”:1,83.“价值观”:[84.“d6fe37b2ed8d70d75bb2ba2f4d4e050cd02e165c”85.]86.},87.“managementStatus”:{88.“totalValues”:1,89.“价值观”:[90.“开放”91.]92.},93.“闭塞”:{94.“totalValues”:1,95.“价值观”:[96.零97.]98.},99.“closerName”:{One hundred.“totalValues”:1,101“价值观”:[102零103]104},105“customClassification”:{106“totalValues”:1,107“价值观”:[108“没有”109]110}111},112“ElementValues”:{113“primaryRootCauseElements”:{114“totalValues”:1,115“ElementValues”:[116{117“应用”:“过程”,118“guid”:-2143953455.“-772403910525185597”,119“名称”:“w3wp.exe”,120“hassuspicions”:真正的,121“hasmalops”:真正的122}123],124“totalSuspicious”:1,125“totalMalicious”:1,126“猜测滴水”:0127},128“受影响者”:{129“totalValues”:1,130“ElementValues”:[131{132“应用”:“用户”,133“guid”:“0.957500363184525212”,134“名称”:“win10 - 64的生活费\ \ admin”,135“hassuspicions”:假,136“hasmalops”:假137}138],139“totalSuspicious”:0,140“totalMalicious”:0,141“猜测滴水”:0142},143“受影响的手机”:{144“totalValues”:1,145“ElementValues”:[146{147“应用”:“机器”,148“guid”:“-2143953455.1198775089551518743”,149“名称”:“win10 - 64的生活费”,150“hassuspicions”:假,151“hasmalops”:假152}153],154“totalSuspicious”:0,155“totalMalicious”:0,156“猜测滴水”:0157}158},159“怀疑”:零,160“filterData”:{161“sortInGroupValue”:“11.7941800102332716393”,162“groupByValue”:“MalopProcessRuntime: 11.7941800102332716393”163},164“ismalious”:假,165“suspicionCount”:0,166“guidString”:“11.7941800102332716393”,167“标签”:[168169],170“malopPriority”:零,171“怀疑”:假,172“恶意”:假,173“ID”:“11.7941800102332716393”174}
解决常见问题
如果您正在遇到Cyber ay事件源的问题,请确保满足以下条件:
- 您有Cybereason版本20.1或更高版本
- 您已经在Cybereason服务器上启用了JWT身份验证
这个页面对你有帮助吗?