Sophos拦截X.
Sophos Intercept X是用于检测环境中恶意软件和病毒的端点保护工具。InsightIdr具有Sophos Intercept X事件源,您可以配置为解析警报类型作为病毒警报事件。
配置Sophos Intercept X日志
Sophos Intercept X日志通过Sophos Central得到支持。要配置Sophos Intercept X以使用安全API向InsightIDR发送警报和事件数据,您可以遵循Sophos提供的说明:
https://support.sophos.com/support/s/article/KB-000036372?language=en_US
为InsightIDR配置Sophos Intercept X:
- 将SIEM集成脚本下载到本地环境中。
- 编辑
config.ini.
使用以下更改文件到本地配置:- 将syslog地址配置为指向InsightIDR收集器。请注意在此步骤中使用的端口。
- 改变
修改为托管Collector的服务器的IP地址。 - 改变
filename =结果.txt.txt.
到filename = syslog.
.
如何配置事件源
- 从仪表板中选择数据收集在左手菜单上。
- 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源码.
- 在“安全数据”部分中,单击病毒扫描图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,您还可以命名您的活动源。
- 选择时区与事件源日志的位置匹配。
- 可选地,您可以选择发送未经过滤的日志.
- 如有必要,请配置您的默认域和任何高级事件源设置.
- 选择监听网络端口作为您的集合方法。输入前面记录的端口。
- 可以选择加密事件源,如果选择TCP通过下载RAPID7证书.
- 点击节省.
验证配置
完成以下步骤以查看日志,并确保事件被发送到Collector。
- 从左边的菜单中,单击日志搜索查看原始日志,以确保事件被发送到收集器。
- 选择适用的日志集和其中的日志名称。日志名称将是事件源名称或Sophos(如果您没有命名事件源)。Sophos日志流入病毒日志集。
- 执行日志搜索以确保Sophos事件正在通过。
示例输入日志:
1<30> {2\“endpoint_type \”,\“电脑\”,3.\ \“威胁”:\“CXmail / ODl-V29 \”,4“endpoint_id \”:\“be94d0d2-3298-47c3-89f0-5dcd9618c3ec \”,5\“customer_id \”,\“abc31ff2-af24-e4f6-1b62-9a7871cd657c \”,6“严重性”:“中等”,7source_info \“\”:8{9“IP \”:\“172.31.121.241”10.},11.\ \类型:\”事件::端点::威胁::检测到\”,12.\“\”,\“CXmail / ODl-V29 \”,13.\ \ " id ": \ " 55 b2768f - 61 - db - 4 - b41 a047 - 78 fadbdad544 \”,14.“小组”:\“恶意软件”,15.\“datastream \”,\“事件\”,16.\“duid \”,\“123 fbac2e55ffb132e829ebc \”,17.“RT”:\“2020-05-07T11:24:29.232z”,18.\ \”:\“2020 - 05 - 07 - t11:24:27.000z \”,19.“苏·\”:“用户名,吉米”,20.“dhost”:\“host123”,21.“transect_identity_name \”:\“cxmail / odl-v29”,22.“filepath”:\“c:\\\\ users \\\\ jimmy.username \\\\ appdata \\\\本地\\\\ packages \\\\ microsoft.windowscommunicationsapps_8wekyb3d8bbwe \\\\ localstate \\\\文件\\\\\ s0 \\\\\\\\\ sia2024_gebaeude-tool_dfi_20180901_v-1-3 [7024] .xlsm \“23.}
这个页面对你有帮助吗?