安全洋葱

安全洋葱是入侵检测和网络监控工具。

在你开始之前

安全洋葱有哼声内置并因此在同一实例中运行。您需要配置安全洋葱以发送Syslog,以便InsightIdr可以摄取它。

要为安全洋葱配置Syslog:

  1. 停止安全洋葱服务。
  2. 找出syslog-ng conf文件
  3. 改变目的地D_NET.和配置文件中的日志行看起来像以下:
          
文本
1
#将邮件发送给其他主机
2
3.
目标d_net {udp(“_ collector_ip_address_"1个端口(_listening_port_defining_in_insightplatform));};
4.
5.
....
6.
7.
#所有邮件发送到远程站点
8.
9.
日志{source(s_syslog);目的地(D_NET);};

您可以在此处阅读有关安全洋葱的其他文档:https://github.com/security-onion-solutions/security-onion/wiki/ThirdParti融化

如何在InsightIdr中配置此事件源

  1. 从您的仪表板,选择数据采集在左手菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源
  3. 从“安全数据”部分,单击ids.图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择时区匹配事件源日志的位置。
  6. 可选择选择发送未经过滤的日志
  7. 选择聆听网络端口并输入配置文件中使用的端口。指定协议。
    • 如果通过下载通过下载TCP,可选择选择加密事件源rapt7证书
  8. 点击节省