黑暗种族

Darktrace是一种网络流量分析工具,用于向下游系统发送通知事件。使用InsightIDR中的第三方警报事件源,您可以配置收集器以捕获这些通知事件并围绕这些事件生成InsightIDR调查。

在你开始之前

您必须配置Darktrace以将系统日志发送到InsightIDR收集器。您必须是具有用户界面访问权限的Darktrace管理员。

要为Darktrace配置系统日志转发,请执行以下操作:

  1. 登录到Darktrace界面。
  2. 展开左上角菜单并选择管理第二个菜单出现。
  3. 选择系统配置
  1. 在“警报”部分,单击验证警报设置按钮
  2. 在“JSON系统日志警报”中,将字段设置为对。
  3. 将syslog服务器设置为InsightIDR收集器的IP地址。
  4. 将InsightIDR事件源使用的唯一端口设置为1024以上。
  5. 将“JSON Syslog TCP警报”设置为对。

Darktrace将自动保存您的更改。

如何配置此事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当数据收集页面出现时,单击设置事件源下拉选择添加事件源.
  3. 从“第三方警报”部分,单击黑暗种族偶像此时会出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择发送未过滤原木.
  6. 在Darktrace界面中输入您选择的端口。
  7. 选择TCP作为您的协议。
  8. 点击拯救按钮

验证配置

配置InsightIDR事件源后,可以从Darktrace向InsightIDR发送测试警报,以验证一切正常工作。

要发送测试警报,请执行以下操作:

  1. 返回到Darktrace用户界面。
  2. 展开左上角菜单并选择管理第二个菜单出现。
  3. 选择系统配置
  4. 在“警报”部分,单击验证警报设置按钮

您将看到一条消息,内容为“1警报已发送。IMAP设置有效。”

在InsightIDR中,您的日志应类似于以下内容。