索福斯中心

Sophos Central提供SIEM集成脚本连接到其安全API以获取事件和警报数据。集成脚本必须使用计划任务(Windows)或Cronjob(Linux)按计划运行。该脚本从Sophos Central API中提取日志数据,并将其转发给InsightIDR收集器。

InsightIDR将以下警报类型解析为病毒警报事件:

  • 事件端点coreclean
  • 事件端点corehmpacleannothingfound
  • 事件端点威胁:清除
  • 事件端点威胁:cleanupfailed
  • 事件端点岩心探测
  • 事件端点威胁:检测到

配置Sophos日志

您必须将Sophos Central配置为向SIEM发送警报和事件数据。请按照Sophos提供的说明进行操作:https://community.sophos.com/kb/en-us/125169

将SIEM集成脚本下载到本地环境后,需要编辑config.ini文件到您的本地配置,并进行以下更改:

  • 将syslog地址配置为指向InsightIDR收集器。请注意在此步骤中使用的端口。
  • 改变修改为托管Collector的服务器的IP地址。
  • 改变filename=result.txtfilename=syslog

InsightIDR也支持JSON格式。

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击病毒扫描图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 可选择发送未经过滤的日志
  7. 如有必要,请配置您的默认域和任何高级事件源设置
  8. 选择监听网络端口作为你的收集方法。输入您之前记录的端口。
    • 如果通过下载选择TCP,可以选择加密事件源Rapid7证书
  9. 点击保存

没有看到日志数据?

InsightIDR仅在发现病毒时从病毒扫描事件源解析事件。