Rapid7普遍杀毒
如果Rapid7不支持您的防病毒解决方案的日志格式,您仍然可以将数据发送到InsightIDR,只要您将日志转换为满足通用事件格式(UEF)合同。
必填字段
确保反病毒日志包含以下字段,以便构建有效的UEF病毒警报对象。违反UEF的对象将不会被InsightIDR吸收,并且日志搜索将不可用。
场 |
需要吗? |
验证 |
描述 |
|---|---|---|---|
event_type |
是的 |
此字段必须为VIRUS_ALERT,以便指示通用事件的类型。 |
此通用事件的事件类型。 |
版本 |
是的 |
InsightIDR目前支持v1版本。 |
VIRUS_ALERT event_type的版本。将来可能会添加新版本,并添加、删除或修改文档字段。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,毫秒精度,例如: |
ISO 8601扩展时间戳。 |
source_address |
是的 |
这必须是一个IP地址或主机名。如果是IP地址,必须是IPv4地址或IPv4映射的IPv6地址。如果可能,请使用完全限定的域名,否则将接受短主机名。 |
IP地址或主机名。 |
alert_title |
是的 |
该值必须是非空的,例如 |
病毒警报的描述性标题。 |
账户 |
没有 |
这应该是一个非空字符串,例如 |
与病毒警报关联的帐户。如果该帐户与任何与用户关联的已知帐户相匹配,InsightIDR将把病毒警报属性归于该用户。 |
account_domain |
没有 |
该值必须为空或非空,例如 |
该帐户的Active Directory域。 |
file_path |
没有 |
该值必须为空或非空,例如 |
与病毒警报关联的文件的文件路径。 |
custom_data |
没有 |
必须是一个JSON对象。 |
使用此字段发送任何附加信息。这些数据将用于日志搜索和LEQL查询。 |
例子的格式
您必须以UTF-8格式将事件发送到InsightIDR收集器,每个日志行表示单个事件,并用换行分隔每个事件。
例如:{"version": "v1", "event_type": "VIRUS_ALERT", "time": "2018-06-07 t18: 18:18:31. 123z ", "source_address": "nyc-2306.corp.company.com", "alert_title": "文件隔离","account": "jdoe", "account_domain": "CORP", "file_path": "C:\Users\jdoe\virus.exe"}
发送到InsightIDR的每个事件不能包含换行符;InsightIDR只允许换行来分隔通用事件。
以下是一些具有可读格式的通用病毒警报事件示例:
1
2
{
3.
“版本”:“v1”,
4
:“event_type VIRUS_ALERT”,
5
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
6
“source_address”:“纽约- 2306. corp.company.com”,
7
“alert_title”:“隔离”的文件
8
}
9
10
或者:
1
{
2
“版本”:“v1”,
3.
:“event_type VIRUS_ALERT”,
4
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
5
“source_address”:“纽约- 2306. corp.company.com”,
6
“alert_title”:“文件隔离”,
7
“解释”:“jdoe”,
8
“account_domain”:“集团”,
9
“file_path”:“C: \ \ jdoe \ virus.exe用户”,
10
" custom_data ": {
11
:“arbitrary_field arbitrary_value”,
12
“arbitrary_number”:123
13
}
14
}
15