Infoblox Trinzic

Infoblox Trinzic设备是形成组织网络服务和报告解决方案的基础的硬件设备。您可以配置此事件源以发送DHCP和DNS日志。

配置DHCP日志

在配置InsightIdr事件源之前,必须将InfoBlox TrinZic消息发送到Nios设备的Syslog服务器。

  1. 从“网格”选项卡中,选择网格管理器>成员选项卡,然后单击>编辑从工具栏。
  2. 在网格属性编辑器中,选择监测选项卡。
  1. 在“Syslog”部分中,指定Syslog文件的最大大小。输入一个介于10到300之间的值。默认值是300。
  2. 检查登录外部syslog服务器复选框。
  3. 点击+按钮添加新服务器。
  1. 在“Address”中输入insight tidr采集器的IP地址。
  2. 在“Transport”字段中选择使用TCP还是UDP发送日志。
  3. 从“接口”下拉列表中,选择哪个设备应该是Infoblox日志的来源。
  4. 从“源”下拉菜单中,选择您希望在收集器上接收哪些syslog消息。
  5. 在“端口”字段中,输入要用于DHCP日志的端口。
  6. 从“严重性”下拉列表中,选择您想要记录的严重性过滤器。过滤器选项如下:
    • 紧急情况-恐慌或紧急情况。系统可能无法使用。
    • 警觉的-需要立即执行操作的警报,如NTP服务故障。
    • 暴击—硬件故障等紧急情况。
    • 犯错误- 错误消息,例如客户端更新失败和重复租约。
    • 警告—警告消息,例如在服务器配置中缺少keepalive选项。
    • 通知-有关常规系统事件的信息性消息,如“启动绑定”
    • 信息-信息性消息,如DHCPACK消息和发现状态。
    • 调试-包含用于调试目的的信息的消息,例如延迟中的更改。
  7. 检查将审核日志消息复制到Syslog复选框以包括它发送到syslog服务器的审核日志消息。
  8. 中选择一个选项Syslog工具确定从中生成日志消息的进程和守护进程的下拉列表。
  9. 点击保存和关闭按钮保存配置,然后单击重新启动按钮如果出现在屏幕顶部。

这个配置将把Infoblox Trinzic解析为DHCP和DNS。

如果您只想发送DNS日志,请将此事件源配置为a域名服务器事件源按照下面的说明操作。

但是,如果使用DNS配置的DHCP事件源配置InfoBlox Trinizic,并且配置单独的DNS事件源,则将重复DNS事件。

配置DNS日志

Infoblox Trinzic还支持DNS日志。但是,您必须使用以下说明配置DNS通过InfoBlox Data Connector:https://docs.infoblox.com/display/BloxOneThreatDefense/Data+Connector

按照说明去做:

  1. 安装Infoblox数据连接器
  2. 部署Infoblox数据连接器

您无需遵循SIEM集成的说明。

部署数据连接器时,请将外部服务器配置为InsightIDR收集器。

有关更多详细信息,请参见此处的《实施Infoblox Data Connector 2.0的部署指南》:https://www.infoblox.com/wp-content/uploads/infoblox-deployment-guide-implementing-infoblox-data-connector-2.pdf.

如何配置此事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉点和选择添加事件源.
  3. 从“安全数据”部分,单击DHCP.偶像此时会出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配的。
  6. 可选择选择发送未过滤原木.
  7. 配置任何高级事件源设置.
  8. 配置不活动超时阈值(分钟)。
  9. 选择一个收集方法.
    • 可选择选择加密通过下载选择TCP的事件源Rapid7证书.
  10. 点击保存.