黑暗种族
Darktrace是一种网络流量分析工具,用于向下游系统发送通知事件。使用InsightIDR中的第三方警报事件源,您可以配置收集器以捕获这些通知事件并围绕这些事件生成InsightIDR调查。
在你开始之前
您必须配置Darktrace以将系统日志发送到InsightIDR收集器。您必须是具有用户界面访问权限的Darktrace管理员。
要为Darktrace配置系统日志转发,请执行以下操作:
- 登录到Darktrace界面。
- 展开左上角菜单并选择管理第二个菜单出现。
- 选择系统配置页
- 在“警报”部分,单击验证警报设置按钮
- 在“JSON系统日志警报”中,将字段设置为对。
- 将syslog服务器设置为InsightIDR收集器的IP地址。
- 将InsightIDR事件源使用的唯一端口设置为1024以上。
- 将“JSON Syslog TCP警报”设置为对。
Darktrace将自动保存您的更改。
如何配置此事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当数据收集页面出现时,单击设置事件源下拉选择添加事件源.
- 从“第三方警报”部分,单击黑暗种族偶像此时会出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择发送未过滤原木.
- 在Darktrace界面中输入您选择的端口。
- 选择TCP作为您的协议。
- 点击拯救按钮
验证配置
配置InsightIDR事件源后,可以从Darktrace向InsightIDR发送测试警报,以验证一切正常工作。
要发送测试警报,请执行以下操作:
- 返回到Darktrace用户界面。
- 展开左上角菜单并选择管理第二个菜单出现。
- 选择系统配置页
- 在“警报”部分,单击验证警报设置按钮
您将看到一条消息,内容为“1警报已发送。IMAP设置有效。”
在InsightIDR中,您的日志应类似于以下内容。
这页对你有帮助吗?