SCADAfence
Scadafence扩展了IT和OT网络的可见性。您可以将Scadafence配置为通过syslog创建和转发到InsightIdr的警报,以生成第三方警报。
SCADAfence第三方警报
第三方告警只有当日志行状态为“CREATED”时才会产生告警。否则,SCADAfence日志可以在“未解析数据日志”集中的“日志搜索”中找到。
要设置Scadafence,您需要:
在你开始之前
在继续之前,请确保您有以下内容:
- 访问SCADAfence平台
- 安装了具有RAPIT7收集器的中间服务器
中间服务器将在InsightIDR和SCADAfence平台之间传递警报数据。该服务器可以是任何与这两个系统都有连接的Linux机器。
你必须安装一个Rapid7收藏家发送syslog数据到InsightIDR。按照上面的Linux安装说明进行安装收集器安装和部署设置服务器上的收集器。
配置SCADAfence发送数据到您的收集器
在Scadafence平台中,您需要调整设置syslog配置。
- 填写中间服务器的详细信息,您将使用将Syslog数据发送到InsightIdr。
- 选择一个可用的端口,该端口也将用于配置服务器的通信与Insutigridr。
在Insutigridr中设置扫描
- 从左边的菜单,转到数据采集。
- 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源。
- 从第三方警报部分,单击SCADAfence图标。将出现“添加事件源”面板。
- 命名事件源。
- 选择您在在开始之前步。
- 选择要“侦听网络端口”的集合方法。
- 请将“事件源端口”设置为与界面中选择的端口一致配置SCADAfence发送数据到您的收集器步。
- 点击保存。
验证配置
完成以下步骤以查看您的日志,并确保事件将其交给收集器:
- 单击InsightIDR左侧菜单中的“Data Collection”,导航到“Event Sources”页签。找到刚刚创建的新事件源并单击查看原始日志按钮。如果在框中看到日志消息,则显示日志正在流到收集器。
- 点击日志搜索在Insightidr的左侧菜单中。
- 选择适用的日志集和它们中的日志名称。日志名称将是您给出事件源的名称。Scadeafence日志将流入第三方警报日志设置日志线的状态“创建”状态。否则,可以在UNParsed数据日志集中找到Scadafence日志。
日志至少需要7分钟才能出现在日志搜索中
请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。
示例日志
以下是Scadafence日志搜索数据的样子示例:
杰森
12月3.11:06:442sf-virtual-machine欧共体语言教学大纲的:0.|3.Scadafence |4.Scadafence平台|5.6.4。2.48|6.3000.|7.使用已弃用协议 - SMBV1|8.2|9.alert_ip =10.33。150.010站点= n / a alert_seq =45411status =创建12创造顿=2021.-01年-3109:02:5313updatedOn =2021.-02年-03年11:01:4714细节=10.33。150.0沟通10.33。33.10超过弃用的SMBV1协议。说明= SMB是用于Microsoft系统中的文件和打印机共享的协议。协议的第一个版本中存在许多漏洞。这个协议那如果没有修补那可以指示在MS上的传播17-010年(EternalBlue)漏洞那常用于Wannacry或MS08-67(conficker)漏洞。15补救=确保设备上的操作系统为SMBv打了补丁1漏洞。考虑更新系统以使用更高级和更安全的协议版本那无论是smbv.2或smbv.3.使用反恶意软件/反病毒软件扫描设备,以确保它没有感染恶意软件(可能)那“想哭”恶意软件)继续监控设备那以确保它不会感染其他电脑16url = https.:/ / 192.168.0.0 /警告/ 454
这个页面对你有帮助吗?