Rapid7普遍杀毒

如果Rapid7不支持您的防病毒解决方案的日志格式,您仍然可以将数据发送到InsightIDR,只要您将日志转换为满足通用事件格式(UEF)合同。

需要帮助转换日志吗?

请在此阅读转换日志的说明Rapid7博客转换日志到UEF帮助页面。

必填字段

确保反病毒日志包含以下字段,以便构建有效的UEF病毒警报对象。违反UEF的对象将不会被InsightIDR吸收,并且日志搜索将不可用。

需要吗?

验证

描述

event_type

是的

此字段必须为VIRUS_ALERT,以便指示通用事件的类型。

此通用事件的事件类型。

版本

是的

InsightIDR目前支持v1版本。

VIRUS_ALERT event_type的版本。将来可能会添加新版本,并添加、删除或修改文档字段。

时间

是的

必须是有效的ISO 8601扩展时间戳,毫秒精度,例如:
yyyy-MM-ddTHH: mm: SS。SSSZ

ISO 8601扩展时间戳。

source_address

是的

这必须是一个IP地址或主机名。如果是IP地址,必须是IPv4地址或IPv4映射的IPv6地址。如果可能,请使用完全限定的域名,否则将接受短主机名。

IP地址或主机名。

alert_title

是的

该值必须是非空的,例如文件隔离

病毒警报的描述性标题。

账户

没有

这应该是一个非空字符串,例如jdoe

与病毒警报关联的帐户。如果该帐户与任何与用户关联的已知帐户相匹配,InsightIDR将把病毒警报属性归于该用户。

account_domain

没有

该值必须为空或非空,例如集团

该帐户的Active Directory域。

file_path

没有

该值必须为空或非空,例如C:\Users\jdoe\virus.exe

与病毒警报关联的文件的文件路径。

custom_data

没有

必须是一个JSON对象。

使用此字段发送任何附加信息。这些数据将用于日志搜索和LEQL查询。

例子的格式

您必须以UTF-8格式将事件发送到InsightIDR收集器,每个日志行表示单个事件,并用换行分隔每个事件。

例如:{"version": "v1", "event_type": "VIRUS_ALERT", "time": "2018-06-07 t18: 18:18:31. 123z ", "source_address": "nyc-2306.corp.company.com", "alert_title": "文件隔离","account": "jdoe", "account_domain": "CORP", "file_path": "C:\Users\jdoe\virus.exe"}

发送到InsightIDR的每个事件不能包含换行符;InsightIDR只允许换行来分隔通用事件。

以下是一些具有可读格式的通用病毒警报事件示例:

         
1
2
3.
“版本”:“v1”,
4
:“event_type VIRUS_ALERT”,
5
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
6
“source_address”:“纽约- 2306. corp.company.com”,
7
“alert_title”:“隔离”的文件
8
9
10

或者:

         
1
2
“版本”:“v1”,
3.
:“event_type VIRUS_ALERT”,
4
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
5
“source_address”:“纽约- 2306. corp.company.com”,
6
“alert_title”:“文件隔离”,
7
“解释”:“jdoe”,
8
“account_domain”:“集团”,
9
“file_path”:“C: \ \ jdoe \ virus.exe用户”,
10
" custom_data ": {
11
:“arbitrary_field arbitrary_value”,
12
“arbitrary_number”:123
13
14
15