防火墙
防火墙跟踪网络内外的所有数据,对于了解网络边缘发生的情况至关重要。防火墙监控您的网络与世界其他地区之间发生的情况,并可以监控从哪台计算机发送的数据量、数据的去向以及谁接收数据等。通过IP地址,防火墙还可以指示发送数据的机器的位置。与用户行为分析(UBA)相结合,InsightIDR可以指出谁确切拥有该机器以及谁正在完成操作。
添加防火墙数据允许InsightIDR跟踪对恶意域的访问和云服务利用率。请注意,InsightIDR对连接事件感兴趣,而不仅仅是收集配置和更改日志,因为解决方案能够自动将这些事件归因于生成流量的用户和端点。
您可以配置以下防火墙事件源:
- Sophos UTM
- SonicWALL防火墙
- 思科ASA
- 帕洛阿尔托
- 检查点
- Fortinet防火墙
- 梭鱼防火墙
- 沃奇卫士XTM
- Sophos XG防火墙
- 思科火力威胁防御
- pfSense防火墙
- 瞻博网络ScreenOS
- JuniperJunos
- Forcepoint防火墙
- 思科梅拉基
- 思科IOS防火墙
- 克拉维斯特W20
- McAfee防火墙
- Stonesoft防火墙
将防火墙日志发送到InsightIDR
该事件源有两种配置方式:
- 将所有日志数据从设备发送到同一端口,在这种情况下,你会有一个事件源在设备的InsightIDR中。
- 将每种类型的日志数据发送到不同端口,在这种情况下,每种类型的日志数据都有**独立的事件源**。
从技术上讲,将日志数据发送到InsightIDR的方式并不重要;对所有流量使用一个端口意味着您将拥有一个事件源,而使用不同端口则意味着您将拥有多个事件源。
配置多个防火墙
如果您有多个制造商和型号相同的防火墙,您可以将它们配置为通过相同的端口发送日志数据,或者您可以将每个防火墙配置为发送到唯一的端口。
查看防火墙日志
您应该在配置防火墙事件源的几分钟内看到原始事件和每分钟事件(EPM)注册。
一旦防火墙连接事件被处理,您就可以在Log Search中以“firewall Activity”的形式查看和查询原始事件。
InsightIDR一旦可用于日志搜索,将完成以下几项工作:
- 通过将内部IP地址与DHCP租约事件和/或端点监控相关联,自动识别负责事件的资产。
- 自动识别与资产关联的用户,并将连接事件属性赋予该用户。
- 确定外部IP地址并执行geoip查找以提供有关此外部IP的地理信息。
- 在中保留原始防火墙事件源数据字段。
这个页面对你有帮助吗?