哨兵IPS
前哨入侵防御系统(Sentinel Intrusion Prevention Systems, IPS)是一种网络安全软件,可以提供威胁防护和可见性、威胁检测和响应,提高网络性能。您可以将Sentinel IPS日志发送到InsightIDR,用于记录IDS事件。
开始:
创建网络地址转换
网络地址转换(NAT)通过控制网络内部和公共IP地址上的流量来保护网络的身份。在这里了解更多关于NAT的信息:https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html
由于您的Sentinel IPS设备通常有一个公共IP地址,而您的InsightIDR Collector将有一个内部IP地址,因此您可能需要在您的防火墙或网络设备上配置NAT或端口转发规则,以确保Sentinel IPS能够将流量转发到InsightIDR Collector。
在您的防火墙上进行端口转发或NAT配置时,建议您将源IP地址限制为Sentinel lPS设备的源IP地址,以确保InsightIDR Collector的安全。
配置远程日志
NAT创建完成后,需要将InsightIDR Collector添加为Sentinel IPS的远程日志主机。
为Sentinel IPS配置远程日志记录。
- 登录到您的哨兵IPS控制台。
- 从顶部的菜单栏中选择配置>系统控制>远程日志。
- 在“IP Address”中输入您的InsightIDR采集器的IP地址。
- 在“端口”字段中,输入InsightIDR将接受哨兵IPS流量的唯一端口。
- 选择您想要使用的协议,UDP或TCP。
- 单击保存按钮。
有关Sentinel IPS配置的更多信息,你可以在这里阅读用户指南:https://sentinelips.com/wp-content/uploads/2017/09/Sentinel4UserInterfaceGuide.pdf
创建IDS事件源
现在可以创建IDS事件源并将Sentinel IPS与InsightIDR连接。
这样做:
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集管理”页面时,点击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击id图标。出现“添加事件源”面板。
- 选择您的收集器和选择哨兵IPS作为事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 选择发送未经过滤的日志.
- 选择Syslog作为你的数据收集方法并指定在Sentinel IPS中配置的端口和协议。
- 单击保存按钮。
这个页面对你有帮助吗?