Infoblox Trinzic
Infoblox Trinzic设备是形成组织网络服务和报告解决方案的基础的硬件设备。您可以配置此事件源以发送DHCP和DNS日志。
配置DHCP日志
在配置InsightIdr事件源之前,必须将InfoBlox TrinZic消息发送到Nios设备的Syslog服务器。
- 从“网格”选项卡中,选择网格管理器>成员选项卡,然后单击>编辑从工具栏。
- 在网格属性编辑器中,选择监测选项卡。
- 在“Syslog”部分中,指定Syslog文件的最大大小。输入一个介于10到300之间的值。默认值是300。
- 检查登录外部syslog服务器复选框。
- 点击+按钮添加新服务器。
- 在“Address”中输入insight tidr采集器的IP地址。
- 在“Transport”字段中选择使用TCP还是UDP发送日志。
- 从“接口”下拉列表中,选择哪个设备应该是Infoblox日志的来源。
- 从“源”下拉菜单中,选择您希望在收集器上接收哪些syslog消息。
- 在“端口”字段中,输入要用于DHCP日志的端口。
- 从“严重性”下拉列表中,选择您想要记录的严重性过滤器。过滤器选项如下:
- 紧急情况-恐慌或紧急情况。系统可能无法使用。
- 警觉的-需要立即执行操作的警报,如NTP服务故障。
- 暴击—硬件故障等紧急情况。
- 犯错误- 错误消息,例如客户端更新失败和重复租约。
- 警告—警告消息,例如在服务器配置中缺少keepalive选项。
- 通知-有关常规系统事件的信息性消息,如“启动绑定”
- 信息-信息性消息,如DHCPACK消息和发现状态。
- 调试-包含用于调试目的的信息的消息,例如延迟中的更改。
- 检查将审核日志消息复制到Syslog复选框以包括它发送到syslog服务器的审核日志消息。
- 中选择一个选项Syslog工具确定从中生成日志消息的进程和守护进程的下拉列表。
- 点击保存和关闭按钮保存配置,然后单击重新启动按钮如果出现在屏幕顶部。
这个配置将把Infoblox Trinzic解析为DHCP和DNS。
如果您只想发送DNS日志,请将此事件源配置为a域名服务器事件源按照下面的说明操作。
但是,如果使用DNS配置的DHCP事件源配置InfoBlox Trinizic,并且配置单独的DNS事件源,则将重复DNS事件。
配置DNS日志
Infoblox Trinzic还支持DNS日志。但是,您必须使用以下说明配置DNS通过InfoBlox Data Connector:https://docs.infoblox.com/display/BloxOneThreatDefense/Data+Connector
按照说明去做:
- 安装Infoblox数据连接器
- 部署Infoblox数据连接器
您无需遵循SIEM集成的说明。
部署数据连接器时,请将外部服务器配置为InsightIDR收集器。
有关更多详细信息,请参见此处的《实施Infoblox Data Connector 2.0的部署指南》:https://www.infoblox.com/wp-content/uploads/infoblox-deployment-guide-implementing-infoblox-data-connector-2.pdf.
如何配置此事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉点和选择添加事件源.
- 从“安全数据”部分,单击DHCP.偶像此时会出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配的。
- 可选择选择发送未过滤原木.
- 配置任何高级事件源设置.
- 配置不活动超时阈值(分钟)。
- 选择一个收集方法.
- 可选择选择加密通过下载选择TCP的事件源Rapid7证书.
- 点击保存.
这个页面对你有帮助吗?