Insightidr活动来源

要将日志发送到InsightIDR，您可以从安全信息和事件管理系统（SIEM）或者您可以直接从日志源收集日志事件，如下所述。请注意，您可以组合这两种方法并从SIEM转发一些日志事件类型，然后直接收集其余部分。

RAPID7收集器需要在唯一的TCP或UDP端口上将每个SYSLOG日志流发送到它。您需要配置每个设备，该设备将使用syslog发送日志以在该收集器上的TCP或UDP端口发送日志。虽然您可以使用任何打开的唯一端口，开始使用端口10000发送日志是常用的。对于Linux收集器，所使用的端口必须高于1024。

活动目录

• Microsoft Active Directory域控制器
• Azure Active Directory
• 通过Dell SecureWorks LogVault诱捕活动目录

高级恶意软件

• Fireeye NX.
• 帕洛阿尔托防火墙，VPN和野火

云服务

• AWS CloudTrail
• box.com.
• Centrify SSO
• 思科AMP终端
• 云服务概述
• 两人安全
• 谷歌应用程序
• 微软Azure
• 微软Office 365
• Mimecast
• Netskope
• Okta
• onelogin.
• 校对点
• Salesforce
• 变焦职业

数据的出口商

• 火眼威胁分析平台(TAP)
• HP ArcSight.
• 弹性系统
• 分裂
• ServiceNow
• 通用Webhook

欺骗技术

• Rapid7蜜罐
• Rapid7蜂蜜用户
• Rapid7蜂蜜文件
• Rapid7蜂蜜凭证

DHCP

• DHCP概述
• bluecat.
• Cisco iOS.
• infoblox trinzic.
• ISC DHCPD
• 微软DHCP
• Sophos Utm.
• 思科Meraki
• 阿尔卡特-朗讯VitalQIP
• Dnsmasq DHCP
• mikrotik.

DNS

• bluecat.
• infoblox trinzic.
• Infoblox DNS
• ISC Bind9
• 微软DNS
• mikrotik.
• PowerDNS
• 思科的伞
• Dnsmasq DNS

电子邮件& ActiveSync

• OWA / ActiveSync(入口监控，移动设备属性)
• 微软交换

防火墙

• 防火墙的概述
• 梭鱼防火墙
• 思科亚撒防火墙+ VPN.
• 思科火力威胁防御
• 思科IOS防火墙
• 思科Meraki
• 检查
• Clavister W20
• Fortinet的防火墙
• 瞻博网络网上屏幕
• Juniper朱诺操作系统
• McAfee防火墙
• 帕洛阿尔托防火墙，VPN和野火
• pfsense防火墙
• SonicWALL
• Sophos防火墙
• Stonesoft防火墙
• WatchGuard XTM.

IDS / IPS.

• Cisco Firepower（SourceFire ID）
• Corero IPS.
• 戴尔iSensor
• 戴尔为
• F5网络Big-IP本地流量管理器
• 惠普TippingPoint
• 杜松朱尼斯
• McAfee id
• Metaflows id
• 安全洋葱
• Sentinel ips.
• 哼声

LDAP

• Microsoft Active Directory LDAP

siem /日志聚合器

• HP ArcSight.
• LogRhythm
• McAfee企业安全管理器(正式名称为Nitrosecurity)
• IBM QRadar
• 分裂

病毒扫描仪

• 气体保护
• 炭黑国防
• ESET病毒
• f - secure
• 卡巴斯基抗病毒
• 伪端点保护
• McAfee促红细胞生成素
• Rapid7普遍杀毒
• Sentinelone EDR.
• Sophos Central.
• Sophos拦截X.
• Sophos终端用户保护
• 赛门铁克端点保护
• 趋势微顶点1
• 趋势科技控制管理器
• 趋势科技深度安全
• 趋势微防毒墙网络版

VPN

• Barracuda防火墙和VPN
• 思科亚撒防火墙和VPN
• 思科ACS NAS.
• Citrix NetScaler VPN
• Fortinet Fortigate
• F5 Networks FirePass
• Juniper Pulse连接安全
• 微软IAS(半径)
• Microsoft网络策略服务器
• Microsoft远程Web Access
• MobilityGuard onegate.
• OpenVPN.
• SonicWALL防火墙和VPN
• VMware的地平线
• WatchGuard XTM.

Web代理

• Barracuda Web安全网关
• 蓝色外套代理
• 思科钢铁端口
• Fortinet Fortigate
• 英特尔安全（前身迈克菲）Web记者
• Livigent内容过滤
• 迈克菲网络网关
• McAfee Web记者Web代理
• Sophos安全网页
• 乌贼
• TrendMicro控制经理
• 沃奇卫士XTM
• Websense Web安全网关
• Web代理概述
• zScaler NSS

只要您将产品的日志输出转换为匹配通用事件格式(Universal Event Format, UEF)合同的JSON, InsightIDR现在可以普遍支持任何产品日志中的选定数据类型。

• Rapid7通用事件源
• Rapid7普遍DHCP
• Rapid7普遍杀毒
• Rapid7通用入口认证
• Rapid7普遍VPN

原始数据事件源允许您收集不适合InsightIdr用户行为模型的日志事件，或者此时否则不支持。原始数据事件源允许您从网络中的任何事件源中收集和摄取数据以获取日志集中，搜索和数据可视化。

原始的日志

• 原始数据
• 通用的Syslog
• 通用Windows事件日志
• 自定义日志
• 数据库审计日志
• divvycloud.

您也可以使用NXLog从应用程序中转换日志。

第三方警报

• AWS GuardDuty
• 炭黑反应
• Crowdstrike Falcon.
• Cyber​​ Ark Vault.
• Cybereason
• 暗路
• Microsoft Defender ATP
• Netskope
• Palo Alto网络陷阱ESM
• Varonis DatAdvantage
• Vectra网络