Insightidr活动来源

要将日志发送到InsightIDR,您可以从安全信息和事件管理系统(SIEM)或者您可以直接从日志源收集日志事件,如下所述。请注意,您可以组合这两种方法并从SIEM转发一些日志事件类型,然后直接收集其余部分。

RAPID7收集器需要在唯一的TCP或UDP端口上将每个SYSLOG日志流发送到它。您需要配置每个设备,该设备将使用syslog发送日志以在该收集器上的TCP或UDP端口发送日志。虽然您可以使用任何打开的唯一端口,开始使用端口10000发送日志是常用的。对于Linux收集器,所使用的端口必须高于1024。

事件来源仅在英语中解析日志

目前,我们从事件源收到的数据需要被解析为英语。如果摄入的数据字段不是英文,则数据将转到未降级的数据日志。

Insightidr活动来源

活动目录

高级恶意软件

云服务

数据的出口商

欺骗技术

DHCP

DNS

电子邮件& ActiveSync

防火墙

IDS / IPS.

LDAP

siem /日志聚合器

病毒扫描仪

VPN

Web代理

Rapid7通用事件源

只要您将产品的日志输出转换为匹配通用事件格式(Universal Event Format, UEF)合同的JSON, InsightIDR现在可以普遍支持任何产品日志中的选定数据类型。

原始数据事件来源

原始数据事件源允许您收集不适合InsightIdr用户行为模型的日志事件,或者此时否则不支持。原始数据事件源允许您从网络中的任何事件源中收集和摄取数据以获取日志集中,搜索和数据可视化。

原始的日志

您也可以使用NXLog从应用程序中转换日志。

第三方警报