Sophos终端用户保护

从“病毒扫描”事件源摄取的数据用于分析。添加病毒扫描集成使您可以跟踪哪些用户和资产经常受到感染。此外,InsightIDR使用这些数据产生一些值得注意的行为和警报。

在你开始之前

Sophos EndUser Protection事件是写入SQL Server数据库的反病毒(A/V)日志,而不是写入文件。因此,您必须通过SQL server客户端连接到服务器,以便为InsightIDR收集日志。

通过SQL server客户端连接到服务器:

  1. 收集关于域和用户名/密码、托管Sophos A/V系统的服务器以及SQL server正在“监听”连接(通常是1433或1434)的端口的信息。
  2. 取决于数据库文件名(例如SOPHOS52.mdf)和SQL Server实例的配置,请确保数据库遵循命名约定SOPHOS52SOPHOS \ SOPHOS52
  3. 打开“SQL Server配置管理器”下的共享内存、命名管道和TCP/IP。
  1. 启用到SQL Server数据库的远程连接。
  2. 确保并记录服务器正在侦听的特定端口,并确保本地防火墙没有阻止服务器。

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分中,选择病毒扫描图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,可以命名事件源。
  5. 选择发送未经过滤的日志
  6. 配置您的默认域和任何高级事件源设置
  7. 在“Server”字段中,输入数据库服务器名称。
  8. 在“端口”字段中,输入SQL数据库的端口;默认为1434。
  9. 在“Database”字段中,输入服务器数据库或数据库IP地址。
  10. 在“用户域”字段中,输入用户域信息,或您的凭据域。
  11. 选择现有凭据或创建一个新的凭证
  12. 在“密码”字段中,输入服务器的密码。
  13. 选择保存

没有看到日志数据?

InsightIDR仅在发现病毒时解析来自病毒扫描事件源的事件。