日志聚合器
日志聚合器本身不是事件源,而是可以从原始源提取事件源数据的地方。可以将SIEM视为InsightIDR和原始事件源之间的“中间人”。如果您已经有日志进入网络上的日志聚合器(例如SIEM或Splunk),您可以使用聚合器将日志转发到InsightIDR。
日志聚合器要求
InsightIDR要求如下:
- 日志必须被分割成单独的流到收集器中,以便每个解析器只有它知道如何解析的日志。
- 例如,AD日志可以发送到UDP 6000端口,防火墙日志可以发送到6001端口,IDS日志可以发送到6002端口等。
- 日志必须在SIEM处理之前发送给收集器,这样收集器就会认为它们来自原始网络设备。
InsightIDR日志聚合器
以下日志聚合器将这些平台的数据接收到Insight平台:dota2必威联赛
- ArcSight惠普
- IBM QRadar
- LogRhythm
- McAfee企业安全管理器(以前称为硝基安全)
- Splunk
从SIEM转发日志
InsightIDR可以转发来自以下SIEM/日志聚合产品的日志:
- ArcSight惠普
- LogRhythm
- McAfee企业安全管理器(原硝基安全)
- Splunk
- IBM QRadar
- 火眼威胁分析平台(TAP)
对于所有SIEM/日志聚合产品,遵循供应商文档,使用日志格式和传输方法的标准syslog将日志/事件数据转发到收集器。
在部署InsightIDR之前,如果您要从SIEM转发日志,则应该准备在SIEM上执行必要的步骤。您可以在部署之前完成设置,也可以在部署期间使用Rapid7 advisor完成设置。
这个页面对你有帮助吗?