安全洋葱

安全洋葱是入侵检测和网络监控工具。

在你开始之前

安全洋葱有哼声内置并因此在同一实例中运行。您需要配置安全洋葱以发送Syslog，以便InsightIdr可以摄取它。

要为安全洋葱配置Syslog：

停止安全洋葱服务。
找出syslog-ng conf文件。
改变目的地D_NET.和配置文件中的日志行看起来像以下：

          
           文本
            
           
          

           
            
             1
            ＃将邮件发送给其他主机
           
           
            
             2
            ＃
           
           
            
             3.
            目标d_net {udp（“_ collector_ip_address_"1个端口（_listening_port_defining_in_insightplatform））;};
           
           
            
             4.
            
           
           
            
             5.
            ....
           
           
            
             6.
            
           
           
            
             7.
            ＃所有邮件发送到远程站点
           
           
            
             8.
            ＃
           
           
            
             9.
            日志{source（s_syslog）;目的地（D_NET）;};

您可以在此处阅读有关安全洋葱的其他文档：https://github.com/security-onion-solutions/security-onion/wiki/ThirdParti融化。

如何在InsightIdr中配置此事件源

从您的仪表板，选择数据采集在左手菜单上。
出现“数据收集”页面时，单击“设置事件源下拉点和选择添加事件源。
从“安全数据”部分，单击ids.图标。出现“添加事件源”面板。
选择收集器和事件源。如果您愿意，您还可以命名您的活动源。
选择时区匹配事件源日志的位置。
可选择选择发送未经过滤的日志。
选择聆听网络端口并输入配置文件中使用的端口。指定协议。
- 如果通过下载通过下载TCP，可选择选择加密事件源rapt7证书。
点击节省。

这个页面对你有帮助吗？