DivvyCloud
由Rapid7 DivvyCloud为云和容器技术提供实时分析和自动补救,保护它们免受错误配置、策略违规、威胁和IAM挑战。如果您拥有有效的DivvyCloud许可证,您可以将云事件发送到InsightIDR进行分析、调查、报告等。
将DivvyCloud数据发送到InsightIdr:
在Insutigridr中设置事件源
- 从InsightIDR左边菜单中选择数据采集。
- 单击设置事件源下拉选择添加事件源码。
- 从Rapid7部分,单击DivvyCloud图标。将出现“添加事件源”面板。
- 选择你的收集器。
- 在里面事件源名称字段,为您的活动源命名。
- 指定端口。您需要在divvycloud中输入此端口信息。
- 点击节省。
配置DivvyCloud
要向InsightIDR发送数据,必须向DivvyCloud提供在InsightIDR中配置事件源时指定的采集器IP和端口,然后触发预配置的InsightIDR Bot动作。
建立集成
- 从divvycloud left菜单中,选择管理>集成。
- 在集成页面上,找到Insightidr.瓷砖,然后点击编辑。
- 在“连接器IP”字段中,输入收集器IP。
- 2 .在“Port”中输入采集器侦听的UDP端口。
- 您必须确保所有防火墙和安全组规则都在托管Collector的云/网络位置中就位。这允许DivvyCloud实例和Collector之间的通信。
- 要提交和保存集成设置,请单击节省。
触发预先配置的Insightidr Bot
DivvyCloud包括一个默认的Bot操作,该操作导出一个预格式化的数据块,其中包括Bot名称、过滤器信息和资源信息。一旦你配置了收集器和自定义日志事件源,触发bot将日志发送到InsightIDR:
- 搜索“IDR”来定位Insutigridr事件机器人的行动。这个操作允许InsightIDR不需要任何额外的InsightIDR配置就可以获取DivvyCloud数据。
- 要测试机器人,请选择按需扫描选择。这将手动触发机器人,并根据预定义的标准将数据发送到InsightIDR。该数据提供了关于触发机器人的资源的详细信息,包括该资源的所有配置数据。
- 有关更多信息,请参见divvycloud botfactory.文档。要了解有关InsightIdr和Divvycloud集成的更多信息,请参阅https://docs.divvycloud.com/docs/insight-idr-integration。
验证配置
完成以下步骤来查看日志,并确保事件正在进入收集器:
- 从左菜单中,单击日志搜索并选择原木日志。
- 接下来,执行日志搜索以确保您的事件通过。请确保将您的日志与现有的malops进行交叉引用。如果在过去24小时内没有任何新的malops,则没有日志可查看。
日志至少需要7分钟才能出现在“日志搜索”中
设置事件源后,日志至少需要7分钟才能出现在“日志搜索”中。如果您在选择时看到日志消息查看原始日志在事件源上,但在“日志搜索”中没有看到任何日志消息,等待几分钟后它们出现,那么您的日志不匹配此事件源的推荐格式和类型。
示例日志
这是InsightIdr Bot动作输出的示例:
这个页面对你有帮助吗?