SCADAfence

Scadafence扩展了IT和OT网络的可见性。您可以将Scadafence配置为通过syslog创建和转发到InsightIdr的警报,以生成第三方警报。

SCADAfence第三方警报

第三方告警只有当日志行状态为“CREATED”时才会产生告警。否则,SCADAfence日志可以在“未解析数据日志”集中的“日志搜索”中找到。

要设置Scadafence,您需要:

  1. 审查“在你开始之前”并注意任何要求。
  2. 配置Scadafence以将数据发送到收集器。
  3. 在Insutigridr中设置Scadafence事件源。
  4. 验证配置工作。

在你开始之前

在继续之前,请确保您有以下内容:

  • 访问SCADAfence平台
  • 安装了具有RAPIT7收集器的中间服务器

中间服务器将在InsightIDR和SCADAfence平台之间传递警报数据。该服务器可以是任何与这两个系统都有连接的Linux机器。

你必须安装一个Rapid7收藏家发送syslog数据到InsightIDR。按照上面的Linux安装说明进行安装收集器安装和部署设置服务器上的收集器。

配置SCADAfence发送数据到您的收集器

在Scadafence平台中,您需要调整设置syslog配置

  1. 填写中间服务器的详细信息,您将使用将Syslog数据发送到InsightIdr。
  2. 选择一个可用的端口,该端口也将用于配置服务器的通信与Insutigridr。

在Insutigridr中设置扫描

  1. 从左边的菜单,转到数据采集
  2. 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源
  3. 从第三方警报部分,单击SCADAfence图标。将出现“添加事件源”面板。
  4. 命名事件源。
  5. 选择您在在开始之前步。
  6. 选择要“侦听网络端口”的集合方法。
  7. 请将“事件源端口”设置为与界面中选择的端口一致配置SCADAfence发送数据到您的收集器步。
  8. 点击保存

验证配置

完成以下步骤以查看您的日志,并确保事件将其交给收集器:

  1. 单击InsightIDR左侧菜单中的“Data Collection”,导航到“Event Sources”页签。找到刚刚创建的新事件源并单击查看原始日志按钮。如果在框中看到日志消息,则显示日志正在流到收集器。
  2. 点击日志搜索在Insightidr的左侧菜单中。
  3. 选择适用的日志集和它们中的日志名称。日志名称将是您给出事件源的名称。Scadeafence日志将流入第三方警报日志设置日志线的状态“创建”状态。否则,可以在UNParsed数据日志集中找到Scadafence日志。

日志至少需要7分钟才能出现在日志搜索中

请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。

示例日志

以下是Scadafence日志搜索数据的样子示例:

         
杰森
1
2月3.110644
2
sf-virtual-machine欧共体语言教学大纲的0.|
3.
Scadafence |
4.
Scadafence平台|
5.
6.42.48|
6.
3000.|
7.
使用已弃用协议 - SMBV1|
8.
2|
9.
alert_ip =10.33150.0
10
站点= n / a alert_seq =454
11
status =创建
12
创造顿=2021.-01年-31090253
13
updatedOn =2021.-02年-03年110147
14
细节=10.33150.0沟通10.3333.10超过弃用的SMBV1协议。说明= SMB是用于Microsoft系统中的文件和打印机共享的协议。协议的第一个版本中存在许多漏洞。这个协议如果没有修补可以指示在MS上的传播17-010年(EternalBlue)漏洞常用于Wannacry或MS08-67(conficker)漏洞。
15
补救=确保设备上的操作系统为SMBv打了补丁1漏洞。考虑更新系统以使用更高级和更安全的协议版本无论是smbv.2或smbv.3.使用反恶意软件/反病毒软件扫描设备,以确保它没有感染恶意软件(可能)“想哭”恶意软件)继续监控设备以确保它不会感染其他电脑
16
url = https./ / 192.168.0.0 /警告/ 454