日志聚合器

日志聚合器本身不是事件源,而是可以从原始源提取事件源数据的地方。可以将SIEM视为InsightIDR和原始事件源之间的“中间人”。如果您已经有日志进入网络上的日志聚合器(例如SIEM或Splunk),您可以使用聚合器将日志转发到InsightIDR。

日志聚合器要求

InsightIDR要求如下:

  • 日志必须被分割成单独的流到收集器中,以便每个解析器只有它知道如何解析的日志。
  • 例如,AD日志可以发送到UDP 6000端口,防火墙日志可以发送到6001端口,IDS日志可以发送到6002端口等。
  • 日志必须在SIEM处理之前发送给收集器,这样收集器就会认为它们来自原始网络设备。

InsightIDR日志聚合器

以下日志聚合器将这些平台的数据接收到Insight平台:dota2必威联赛

从SIEM转发日志

InsightIDR可以转发来自以下SIEM/日志聚合产品的日志:

对于所有SIEM/日志聚合产品,遵循供应商文档,使用日志格式和传输方法的标准syslog将日志/事件数据转发到收集器。

在部署InsightIDR之前,如果您要从SIEM转发日志,则应该准备在SIEM上执行必要的步骤。您可以在部署之前完成设置,也可以在部署期间使用Rapid7 advisor完成设置。