索福斯中心
Sophos Central提供SIEM集成脚本连接到其安全API以获取事件和警报数据。集成脚本必须使用计划任务(Windows)或Cronjob(Linux)按计划运行。该脚本从Sophos Central API中提取日志数据,并将其转发给InsightIDR收集器。
InsightIDR将以下警报类型解析为病毒警报事件:
- 事件端点coreclean
- 事件端点corehmpacleannothingfound
- 事件端点威胁:清除
- 事件端点威胁:cleanupfailed
- 事件端点岩心探测
- 事件端点威胁:检测到
配置Sophos日志
您必须将Sophos Central配置为向SIEM发送警报和事件数据。请按照Sophos提供的说明进行操作:https://community.sophos.com/kb/en-us/125169
将SIEM集成脚本下载到本地环境后,需要编辑config.ini
文件到您的本地配置,并进行以下更改:
- 将syslog地址配置为指向InsightIDR收集器。请注意在此步骤中使用的端口。
- 改变
修改为托管Collector的服务器的IP地址。 - 改变
filename=result.txt
到filename=syslog
.
InsightIDR也支持JSON格式。
如何配置事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击病毒扫描图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 可选择发送未经过滤的日志.
- 如有必要,请配置您的默认域和任何高级事件源设置.
- 选择监听网络端口作为你的收集方法。输入您之前记录的端口。
- 如果通过下载选择TCP,可以选择加密事件源Rapid7证书.
- 点击保存.
没有看到日志数据?
InsightIDR仅在发现病毒时从病毒扫描事件源解析事件。
这页对你有帮助吗?