哨兵IPS

前哨入侵防御系统(Sentinel Intrusion Prevention Systems, IPS)是一种网络安全软件,可以提供威胁防护和可见性、威胁检测和响应,提高网络性能。您可以将Sentinel IPS日志发送到InsightIDR,用于记录IDS事件。

开始:

  1. 创建网络地址转换
  2. 在哨点IPS中配置远程登录
  3. 创建IDS事件源

创建网络地址转换

网络地址转换(NAT)通过控制网络内部和公共IP地址上的流量来保护网络的身份。在这里了解更多关于NAT的信息:https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html

由于您的Sentinel IPS设备通常有一个公共IP地址,而您的InsightIDR Collector将有一个内部IP地址,因此您可能需要在您的防火墙或网络设备上配置NAT或端口转发规则,以确保Sentinel IPS能够将流量转发到InsightIDR Collector。

在您的防火墙上进行端口转发或NAT配置时,建议您将源IP地址限制为Sentinel lPS设备的源IP地址,以确保InsightIDR Collector的安全。

配置远程日志

NAT创建完成后,需要将InsightIDR Collector添加为Sentinel IPS的远程日志主机。

为Sentinel IPS配置远程日志记录。

  1. 登录到您的哨兵IPS控制台。
  2. 从顶部的菜单栏中选择配置>系统控制>远程日志。
  3. 在“IP Address”中输入您的InsightIDR采集器的IP地址。
  4. 在“端口”字段中,输入InsightIDR将接受哨兵IPS流量的唯一端口。
  5. 选择您想要使用的协议,UDP或TCP。
  6. 单击保存按钮。

有关Sentinel IPS配置的更多信息,你可以在这里阅读用户指南:https://sentinelips.com/wp-content/uploads/2017/09/Sentinel4UserInterfaceGuide.pdf

创建IDS事件源

现在可以创建IDS事件源并将Sentinel IPS与InsightIDR连接。

这样做:

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集管理”页面时,点击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击id图标。出现“添加事件源”面板。
  4. 选择您的收集器和选择哨兵IPS作为事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 选择Syslog作为你的数据收集方法并指定在Sentinel IPS中配置的端口和协议。
  8. 单击保存按钮。