将InsightConnect事件发送到InsightIdr
InsightIdr中的调查功能允许您收集周围的背景并有效地协作以修复和关闭它们。使用此功能时,可以触发InsightConnect中的自动工作流程,以帮助通过事件生命周期更快地移动。这些工作流程可以生成可以发送回InsightIdr以提供更多安全数据的事件或日志。
InsightConnect插入数百个流行的安全工具,有助于检测异常活动和警报安全团队。用户可以对这些警报进行额外的丰富,然后将它们馈入InsightIdr以在Insightidr的调查功能中处理它们。用户可以创建自定义警报以提醒InsightConnect数据。
通过将您的InsightConnect日志添加到InsightIdr,您可以使用Insigrops创建可自定义的仪表板。
以下是如何将InsightConnect事件发送到InsightIdr的概述:
设置InsightConnect事件源
要在InsightIdr中创建新的事件源:
- 点击设置在左侧导航栏中。
- 点击设置事件源>添加事件源。
- 点击自定义日志原始数据下的事件源。
- 为事件源添加名称,如InsightConnect。
- 选择时区为你的orchestrator。
- 选择收集器以将与事件源相关联。
- 请注意您选择的收集器,以便在此过程的步骤10中找到其IP地址。
- 选择聆听网络端口作为您的集合方法。
- 在“端口”字段中,输入未过载的端口号。例如,您可以使用端口65218。
- 请注意此端口号以供以后的InsightConnect配置。
- 在“协议”字段中,选择任一个UDP.或者TCP.。选择TCP.如果要发送加密数据。
- 导航到收藏家在设置下的选项卡。在步骤6中选择的收集器下,请注意其IP地址以供以后在InsightConnect中配置。
在InsightConnect中添加Syslog转发器步骤
要从InsightConnect工作流发送日志,请将Syslog转发器步骤添加到工作流程。
要将Syslog转发器步骤添加到工作流程:
- 登录您的InsightConnect实例。
- 在左侧导航栏中,展开工作流程,并导航到要添加Syslog转发器步骤的工作流程。
- 点击+图标添加步骤。
- 选择行动步骤。
- 如果您已经下载了Syslog转发器,请跳至步骤8。
- 如果您尚未下载Syslog转发器,请单击“+添加插件按钮,然后转到第5步。
- 搜索syslog转发器。
- 选择syslog转发器通过Rapid7并按下一个。
- 点击进口插件将安装。
- 选择syslog转发器从“插件”菜单中,按继续。
- 选择转发信息并按继续。
- 点击+添加新连接。
- 在“连接名称”字段中,添加连接的名称。
- 在这方面的何处会直播?Field选择相关的Orchestrator。
- 在“主机”字段中,输入您在步骤10中注意到的收集器IP地址设置InsightConnect事件源部分。
- 在“端口”字段中,输入在第8步骤8中设置的Syslog侦听器端口号设置InsightConnect事件源部分。
- 在运输领域,选择UDP.或者TCP.根据您在第9步中选择的协议设置InsightConnect事件源部分。
- 将您想要在消息字段中的日志中发送消息。您可以在JSON中编写消息,但它将被格式化为一个由syslog摄取的字符串。
- 将设施字段设置为local0.。有关更多信息,请参阅此处:https://success.trendmicro.com/solution/tp000086250-what-are-syslog-facities-and-levels.
- 填写级别,主机和MessageID字段。这些字段的值将根据您使用syslog的方式而有所不同。有关示例,请参阅下面的屏幕截图,然后单击此处获取更多信息:https://success.trendmicro.com/solution/tp000086250-what-are-syslog-facities-and-levels.
查看InsightIdr中的InsightConnect日志
您可以使用两种方法查看InsightIdr中的InsightConnect日志。
第一种方法是:
- 导航设置。
- 选择活动来源。
- 找到InsightConnect事件源。
- 点击查看原始日志。
第二种方法是:
- 点击日志搜索在左侧导航栏中。
- 只选择它原始数据日志。
- 选择Insightconnect.并取消选择所有其他日志。
这个页面对你有帮助吗?