防火墙

防火墙跟踪网络内外的所有数据，对于了解网络边缘发生的情况至关重要。防火墙监控您的网络与世界其他地区之间发生的情况，并可以监控从哪台计算机发送的数据量、数据的去向以及谁接收数据等。通过IP地址，防火墙还可以指示发送数据的机器的位置。与用户行为分析（UBA）相结合，InsightIDR可以指出谁确切拥有该机器以及谁正在完成操作。

添加防火墙数据允许InsightIDR跟踪对恶意域的访问和云服务利用率。请注意，InsightIDR对连接事件感兴趣，而不仅仅是收集配置和更改日志，因为解决方案能够自动将这些事件归因于生成流量的用户和端点。

您可以配置以下防火墙事件源：

• Sophos UTM
• SonicWALL防火墙
• 思科ASA
• 帕洛阿尔托
• 检查点
• Fortinet防火墙
• 梭鱼防火墙
• 沃奇卫士XTM
• Sophos XG防火墙
• 思科火力威胁防御
• pfSense防火墙
• 瞻博网络ScreenOS
• JuniperJunos
• Forcepoint防火墙
• 思科梅拉基
• 思科IOS防火墙
• 克拉维斯特W20
• McAfee防火墙
• Stonesoft防火墙

将防火墙日志发送到InsightIDR

该事件源有两种配置方式:

• 将所有日志数据从设备发送到同一端口，在这种情况下，你会有一个事件源在设备的InsightIDR中。
• 将每种类型的日志数据发送到不同端口，在这种情况下，每种类型的日志数据都有**独立的事件源**。

从技术上讲，将日志数据发送到InsightIDR的方式并不重要;对所有流量使用一个端口意味着您将拥有一个事件源，而使用不同端口则意味着您将拥有多个事件源。

配置多个防火墙

如果您有多个制造商和型号相同的防火墙，您可以将它们配置为通过相同的端口发送日志数据，或者您可以将每个防火墙配置为发送到唯一的端口。

查看防火墙日志

您应该在配置防火墙事件源的几分钟内看到原始事件和每分钟事件(EPM)注册。

一旦防火墙连接事件被处理，您就可以在Log Search中以“firewall Activity”的形式查看和查询原始事件。

InsightIDR一旦可用于日志搜索，将完成以下几项工作：

• 通过将内部IP地址与DHCP租约事件和/或端点监控相关联，自动识别负责事件的资产。
• 自动识别与资产关联的用户，并将连接事件属性赋予该用户。
• 确定外部IP地址并执行geoip查找以提供有关此外部IP的地理信息。
• 在中保留原始防火墙事件源数据字段。