Cybereason
Cybereason是一个端点检测和响应(EDR)平台,用于检测包含恶意操作(Malops)的事件。如果您使用的是Cybereason版本20.1或更高版本,那么您可以使用它的API让它向InsightIDR发送事件,以便围绕该数据生成调查。
要设置Cyber ay,您需要:
在你开始之前
Cyber ay与Insight IDR的集成由JSON Web令牌(JWT)身份验证在其产品20.1或更晚的版本中通过。缺省情况下,基于JWT的身份验证已禁用。您需要联系Cybereason Tech Tech支持,以在Cyber Aden服务器上启用JWT身份验证。
- 安装和配置Cybereason 20.1或更高版本
- 接触Cyber ay支持在您的帐户上启用API访问。
在InsightIDR中设置Cybereason
- 从左边的菜单,转到数据收集.
- 当出现“数据采集”页面时,单击设置事件源下拉点和选择添加事件源.
- 从Third Party Alerts部分中,单击Cybereason图标。将出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 如果您在警报中发送其他活动,请选择未经过滤的日志复选框。
- 输入您的Cybereason服务器地址和端口,然后以用户名-密码的形式选择或创建您的Cybereason凭据。
- 点击保存.
服务器地址格式
请注意,在输入您的Cybereason服务器地址时,不应包含协议信息。例如,这意味着您应该以这种格式输入服务器地址server.example.net.而不是https://server.example.net.
验证配置
完成以下步骤以查看您的日志,并确保事件将其交给收集器。
- 从左边的菜单中,单击日志搜索查看原始日志,以确保事件被发送到收集器。选择适用的日志集和其中的日志名称。日志名称将是事件源名称或Cybereason(如果您没有命名事件源)。Cybereason日志流入第三方警报日志集。
- 接下来,执行日志搜索以确保Cybereason事件通过。请注意,您应该用现有的malops交叉引用您的日志。如果在过去24小时内没有任何新的malops,则没有日志可查看。
日志至少需要7分钟才能出现在日志搜索中
请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。
示例日志
下面是一个Cybereason日志搜索数据的示例:
JSON
1
{
2
“简单的值”:{
3.
“HasransomwaresususpendedProcesses”:{
4
“totalValues”:1,
5
“价值观”:[
6
“假”
7
]
8
},
9
“decisionFeature”:{
10
“totalValues”:1,
11
“价值观”:[
12
“process.malicicewebshelexecution(malop决定)”
13
]
14
},
15
“rootCauseElementCompanyProduct”:{
16
“totalValues”:1,
17
“价值观”:[
18
”:basel2”
19
]
20.
},
21
“malopstarttime”:{
22
“totalValues”:1,
23
“价值观”:[
24
“1599487825054”
25
]
26
},
27
“detectionType”:{
28
“totalValues”:1,
29
“价值观”:[
30.
“MALICIOUS_PROCESS”
31
]
32
},
33
“malopActivityTypes”:{
34
“totalValues”:1,
35
“价值观”:[
36
“恶意_infection”
37
]
38
},
39
“elementDisplayName”:{
40
“totalValues”:1,
41
“价值观”:[
42
“恶意_infection”
43
]
44
},
45
“creationTime”:{
46
“totalValues”:1,
47
“价值观”:[
48
“1599487956501”
49
]
50
},
51
“isblocked”:{
52
“totalValues”:1,
53
“价值观”:[
54
“假”
55
]
56
},
57
“rootCauseElementTypes”:{
58
“totalValues”:1,
59
“价值观”:[
60
“过程”
61
]
62
},
63
“rootCauseElementNames”:{
64
“totalValues”:1,
65
“价值观”:[
66
“w3wp.exe”
67
]
68
},
69
“maloplastupdatetime”:{
70
“totalValues”:1,
71
“价值观”:[
72
“1599487975114”
73
]
74
},
75
“AllransomwareProcessessusspendend”:{
76
“totalValues”:1,
77
“价值观”:[
78
“假”
79
]
80
},
81.
“rootCauseElementHashes”:{
82.
“totalValues”:1,
83.
“价值观”:[
84.
“d6fe37b2ed8d70d75bb2ba2f4d4e050cd02e165c”
85.
]
86.
},
87.
“managementStatus”:{
88.
“totalValues”:1,
89.
“价值观”:[
90.
“开放”
91.
]
92.
},
93.
“闭塞”:{
94.
“totalValues”:1,
95.
“价值观”:[
96.
零
97.
]
98.
},
99.
“closerName”:{
One hundred.
“totalValues”:1,
101
“价值观”:[
102
零
103
]
104
},
105
“customClassification”:{
106
“totalValues”:1,
107
“价值观”:[
108
“没有”
109
]
110
}
111
},
112
“ElementValues”:{
113
“primaryRootCauseElements”:{
114
“totalValues”:1,
115
“ElementValues”:[
116
{
117
“应用”:“过程”,
118
“guid”:-2143953455.“-772403910525185597”,
119
“名称”:“w3wp.exe”,
120
“hassuspicions”:真正的,
121
“hasmalops”:真正的
122
}
123
],
124
“totalSuspicious”:1,
125
“totalMalicious”:1,
126
“猜测滴水”:0
127
},
128
“受影响者”:{
129
“totalValues”:1,
130
“ElementValues”:[
131
{
132
“应用”:“用户”,
133
“guid”:“0.957500363184525212”,
134
“名称”:“win10 - 64的生活费\ \ admin”,
135
“hassuspicions”:假,
136
“hasmalops”:假
137
}
138
],
139
“totalSuspicious”:0,
140
“totalMalicious”:0,
141
“猜测滴水”:0
142
},
143
“受影响的手机”:{
144
“totalValues”:1,
145
“ElementValues”:[
146
{
147
“应用”:“机器”,
148
“guid”:“-2143953455.1198775089551518743”,
149
“名称”:“win10 - 64的生活费”,
150
“hassuspicions”:假,
151
“hasmalops”:假
152
}
153
],
154
“totalSuspicious”:0,
155
“totalMalicious”:0,
156
“猜测滴水”:0
157
}
158
},
159
“怀疑”:零,
160
“filterData”:{
161
“sortInGroupValue”:“11.7941800102332716393”,
162
“groupByValue”:“MalopProcessRuntime: 11.7941800102332716393”
163
},
164
“ismalious”:假,
165
“suspicionCount”:0,
166
“guidString”:“11.7941800102332716393”,
167
“标签”:[
168
169
],
170
“malopPriority”:零,
171
“怀疑”:假,
172
“恶意”:假,
173
“ID”:“11.7941800102332716393”
174
}
解决常见问题
如果您正在遇到Cyber ay事件源的问题,请确保满足以下条件:
- 您有Cybereason版本20.1或更高版本
- 您已经在Cybereason服务器上启用了JWT身份验证
这个页面对你有帮助吗?