日志聚合器

日志聚合器本身不是事件源，而是可以从原始源提取事件源数据的地方。可以将SIEM视为InsightIDR和原始事件源之间的“中间人”。如果您已经有日志进入网络上的日志聚合器(例如SIEM或Splunk)，您可以使用聚合器将日志转发到InsightIDR。

日志聚合器要求

InsightIDR要求如下:

• 日志必须被分割成单独的流到收集器中，以便每个解析器只有它知道如何解析的日志。
• 例如，AD日志可以发送到UDP 6000端口，防火墙日志可以发送到6001端口，IDS日志可以发送到6002端口等。
• 日志必须在SIEM处理之前发送给收集器，这样收集器就会认为它们来自原始网络设备。

InsightIDR日志聚合器

以下日志聚合器将这些平台的数据接收到Insight平台:dota2必威联赛

• ArcSight惠普
• IBM QRadar
• LogRhythm
• McAfee企业安全管理器(以前称为硝基安全)
• Splunk

从SIEM转发日志

InsightIDR可以转发来自以下SIEM/日志聚合产品的日志:

• ArcSight惠普
• LogRhythm
• McAfee企业安全管理器(原硝基安全)
• Splunk
• IBM QRadar
• 火眼威胁分析平台(TAP)

对于所有SIEM/日志聚合产品，遵循供应商文档，使用日志格式和传输方法的标准syslog将日志/事件数据转发到收集器。

在部署InsightIDR之前，如果您要从SIEM转发日志，则应该准备在SIEM上执行必要的步骤。您可以在部署之前完成设置，也可以在部署期间使用Rapid7 advisor完成设置。