伪端点保护

MalwareBytes是安装在您的资产上检测恶意软件和病毒的软件。您可以连接MalwareBytes,将其数据发送到InsightIDR,以便更快地检测Windows资产上的可疑文件。

这样做:

配置伪安全日志

您必须是管理员才能为此应用程序配置syslog日志记录。

您可以配置MalwareBytes将其日志发送到syslog,按照本指南第33页的说明:https://de.malwarebytes.com/pdf/guides/MBQSG.pdf

以管理员身份配置syslog日志记录。

  1. 登录MalwareBytes界面。
  2. 在左边的菜单上,选择设置页面。
  3. 选择Syslog日志页面。
  4. 选择哪个Windows Endpoint应该将其日志发送到syslog服务器。
  5. 提供IP地址/主机、端口、协议、消息级别和通信间隔(默认为5分钟)的信息。
  6. 单击保存按钮。

配置MalwareBytes事件源

在应用程序中配置日志记录后,可以在InsightIDR中配置该事件源。

  1. 从仪表板中选择数据收集在左边的导航菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击病毒扫描图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果愿意,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 配置您的默认域或者添加一个新域名。
  8. 选择syslog并指定端口和协议。
    • 可以选择加密事件源,如果选择TCP通过下载Rapid7证书
  9. 单击保存按钮。