Cybereason

Cybereason是一个端点检测和响应(EDR)平台,用于检测包含恶意操作(Malops)的事件。如果您使用的是Cybereason版本20.1或更高版本,那么您可以使用它的API让它向InsightIDR发送事件,以便围绕该数据生成调查。

要设置Cyber​​ ay,您需要:

  1. 检查在你开始之前部分。
  2. 在InsightIDR中设置Cybereason事件源
  3. 验证配置是否有效

在你开始之前

Cyber​​ ay与Insight IDR的集成由JSON Web令牌(JWT)身份验证在其产品20.1或更晚的版本中通过。缺省情况下,基于JWT的身份验证已禁用。您需要联系Cyber​​eason Tech Tech支持,以在Cyber​​ Aden服务器上启用JWT身份验证。

  • 安装和配置Cybereason 20.1或更高版本
  • 接触Cyber​​ ay支持在您的帐户上启用API访问。

在InsightIDR中设置Cybereason

  1. 从左边的菜单,转到数据收集
  2. 当出现“数据采集”页面时,单击设置事件源下拉点和选择添加事件源
  3. 从Third Party Alerts部分中,单击Cybereason图标。将出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 如果您在警报中发送其他活动,请选择未经过滤的日志复选框。
  6. 输入您的Cybereason服务器地址和端口,然后以用户名-密码的形式选择或创建您的Cybereason凭据。
  7. 点击保存

服务器地址格式

请注意,在输入您的Cybereason服务器地址时,不应包含协议信息。例如,这意味着您应该以这种格式输入服务器地址server.example.net.而不是https://server.example.net

验证配置

完成以下步骤以查看您的日志,并确保事件将其交给收集器。

  1. 从左边的菜单中,单击日志搜索查看原始日志,以确保事件被发送到收集器。选择适用的日志集和其中的日志名称。日志名称将是事件源名称或Cybereason(如果您没有命名事件源)。Cybereason日志流入第三方警报日志集。
  2. 接下来,执行日志搜索以确保Cybereason事件通过。请注意,您应该用现有的malops交叉引用您的日志。如果在过去24小时内没有任何新的malops,则没有日志可查看。

日志至少需要7分钟才能出现在日志搜索中

请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。

示例日志

下面是一个Cybereason日志搜索数据的示例:

         
JSON
1
2
“简单的值”
3.
“HasransomwaresususpendedProcesses”
4
“totalValues”1
5
“价值观”
6
“假”
7
8
9
“decisionFeature”
10
“totalValues”1
11
“价值观”
12
“process.malicicewebshel​​execution(malop决定)”
13
14
15
“rootCauseElementCompanyProduct”
16
“totalValues”1
17
“价值观”
18
”:basel2”
19
20.
21
“malopstarttime”
22
“totalValues”1
23
“价值观”
24
“1599487825054”
25
26
27
“detectionType”
28
“totalValues”1
29
“价值观”
30.
“MALICIOUS_PROCESS”
31
32
33
“malopActivityTypes”
34
“totalValues”1
35
“价值观”
36
“恶意_infection”
37
38
39
“elementDisplayName”
40
“totalValues”1
41
“价值观”
42
“恶意_infection”
43
44
45
“creationTime”
46
“totalValues”1
47
“价值观”
48
“1599487956501”
49
50
51
“isblocked”
52
“totalValues”1
53
“价值观”
54
“假”
55
56
57
“rootCauseElementTypes”
58
“totalValues”1
59
“价值观”
60
“过程”
61
62
63
“rootCauseElementNames”
64
“totalValues”1
65
“价值观”
66
“w3wp.exe”
67
68
69
“maloplastupdatetime”
70
“totalValues”1
71
“价值观”
72
“1599487975114”
73
74
75
“AllransomwareProcessessusspendend”
76
“totalValues”1
77
“价值观”
78
“假”
79
80
81.
“rootCauseElementHashes”
82.
“totalValues”1
83.
“价值观”
84.
“d6fe37b2ed8d70d75bb2ba2f4d4e050cd02e165c”
85.
86.
87.
“managementStatus”
88.
“totalValues”1
89.
“价值观”
90.
“开放”
91.
92.
93.
“闭塞”
94.
“totalValues”1
95.
“价值观”
96.
97.
98.
99.
“closerName”
One hundred.
“totalValues”1
101
“价值观”
102
103
104
105
“customClassification”
106
“totalValues”1
107
“价值观”
108
“没有”
109
110
111
112
“ElementValues”
113
“primaryRootCauseElements”
114
“totalValues”1
115
“ElementValues”
116
117
“应用”“过程”
118
“guid”-2143953455.“-772403910525185597”
119
“名称”“w3wp.exe”
120
“hassuspicions”真正的
121
“hasmalops”真正的
122
123
124
“totalSuspicious”1
125
“totalMalicious”1
126
“猜测滴水”0
127
128
“受影响者”
129
“totalValues”1
130
“ElementValues”
131
132
“应用”“用户”
133
“guid”“0.957500363184525212”
134
“名称”“win10 - 64的生活费\ \ admin”
135
“hassuspicions”
136
“hasmalops”
137
138
139
“totalSuspicious”0
140
“totalMalicious”0
141
“猜测滴水”0
142
143
“受影响的手机”
144
“totalValues”1
145
“ElementValues”
146
147
“应用”“机器”
148
“guid”“-2143953455.1198775089551518743”
149
“名称”“win10 - 64的生活费”
150
“hassuspicions”
151
“hasmalops”
152
153
154
“totalSuspicious”0
155
“totalMalicious”0
156
“猜测滴水”0
157
158
159
“怀疑”
160
“filterData”
161
“sortInGroupValue”“11.7941800102332716393”
162
“groupByValue”“MalopProcessRuntime: 11.7941800102332716393”
163
164
“ismalious”
165
“suspicionCount”0
166
“guidString”“11.7941800102332716393”
167
“标签”
168
169
170
“malopPriority”
171
“怀疑”
172
“恶意”
173
“ID”“11.7941800102332716393”
174

解决常见问题

如果您正在遇到Cyber​​ ay事件源的问题,请确保满足以下条件:

  • 您有Cybereason版本20.1或更高版本
  • 您已经在Cybereason服务器上启用了JWT身份验证