Sophos终端用户保护
从“病毒扫描”事件源摄取的数据用于分析。添加病毒扫描集成使您可以跟踪哪些用户和资产经常受到感染。此外,InsightIDR使用这些数据产生一些值得注意的行为和警报。
在你开始之前
Sophos EndUser Protection事件是写入SQL Server数据库的反病毒(A/V)日志,而不是写入文件。因此,您必须通过SQL server客户端连接到服务器,以便为InsightIDR收集日志。
通过SQL server客户端连接到服务器:
- 收集关于域和用户名/密码、托管Sophos A/V系统的服务器以及SQL server正在“监听”连接(通常是1433或1434)的端口的信息。
- 取决于数据库文件名(例如
SOPHOS52.mdf
)和SQL Server实例的配置,请确保数据库遵循命名约定SOPHOS52
或SOPHOS \ SOPHOS52
. - 打开“SQL Server配置管理器”下的共享内存、命名管道和TCP/IP。
- 启用到SQL Server数据库的远程连接。
- 确保并记录服务器正在侦听的特定端口,并确保本地防火墙没有阻止服务器。
如何配置事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分中,选择病毒扫描图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,可以命名事件源。
- 选择发送未经过滤的日志.
- 配置您的默认域和任何高级事件源设置.
- 在“Server”字段中,输入数据库服务器名称。
- 在“端口”字段中,输入SQL数据库的端口;默认为1434。
- 在“Database”字段中,输入服务器数据库或数据库IP地址。
- 在“用户域”字段中,输入用户域信息,或您的凭据域。
- 选择现有凭据或创建一个新的凭证.
- 在“密码”字段中,输入服务器的密码。
- 选择保存.
没有看到日志数据?
InsightIDR仅在发现病毒时解析来自病毒扫描事件源的事件。
这个页面对你有帮助吗?