Sophos拦截X.

Sophos Intercept X是用于检测环境中恶意软件和病毒的端点保护工具。InsightIdr具有Sophos Intercept X事件源,您可以配置为解析警报类型作为病毒警报事件。

配置Sophos Intercept X日志

Sophos Intercept X日志通过Sophos Central得到支持。要配置Sophos Intercept X以使用安全API向InsightIDR发送警报和事件数据,您可以遵循Sophos提供的说明:

https://support.sophos.com/support/s/article/KB-000036372?language=en_US

为InsightIDR配置Sophos Intercept X:

  1. 将SIEM集成脚本下载到本地环境中。
  2. 编辑config.ini.使用以下更改文件到本地配置:
    • 将syslog地址配置为指向InsightIDR收集器。请注意在此步骤中使用的端口。
    • 改变修改为托管Collector的服务器的IP地址。
    • 改变filename =结果.txt.txt.filename = syslog.

如何配置事件源

  1. 从仪表板中选择数据收集在左手菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源码
  3. 在“安全数据”部分中,单击病毒扫描图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,您还可以命名您的活动源。
  5. 选择时区与事件源日志的位置匹配。
  6. 可选地,您可以选择发送未经过滤的日志
  7. 如有必要,请配置您的默认域和任何高级事件源设置
  8. 选择监听网络端口作为您的集合方法。输入前面记录的端口。
    • 可以选择加密事件源,如果选择TCP通过下载RAPID7证书
  9. 点击节省

验证配置

完成以下步骤以查看日志,并确保事件被发送到Collector。

  1. 从左边的菜单中,单击日志搜索查看原始日志,以确保事件被发送到收集器。
  2. 选择适用的日志集和其中的日志名称。日志名称将是事件源名称或Sophos(如果您没有命名事件源)。Sophos日志流入病毒日志集。
  3. 执行日志搜索以确保Sophos事件正在通过。

示例输入日志:

         
1
<30> {
2
\“endpoint_type \”,\“电脑\”,
3.
\ \“威胁”:\“CXmail / ODl-V29 \”,
4
“endpoint_id \”:\“be94d0d2-3298-47c3-89f0-5dcd9618c3ec \”,
5
\“customer_id \”,\“abc31ff2-af24-e4f6-1b62-9a7871cd657c \”,
6
“严重性”:“中等”,
7
source_info \“\”:
8
9
“IP \”:\“172.31.121.241”
10.
},
11.
\ \类型:\”事件::端点::威胁::检测到\”,
12.
\“\”,\“CXmail / ODl-V29 \”,
13.
\ \ " id ": \ " 55 b2768f - 61 - db - 4 - b41 a047 - 78 fadbdad544 \”,
14.
“小组”:\“恶意软件”,
15.
\“datastream \”,\“事件\”,
16.
\“duid \”,\“123 fbac2e55ffb132e829ebc \”,
17.
“RT”:\“2020-05-07T11:24:29.232z”,
18.
\ \”:\“2020 - 05 - 07 - t11:24:27.000z \”,
19.
“苏·\”:“用户名,吉米”,
20.
“dhost”:\“host123”,
21.
“transect_identity_name \”:\“cxmail / odl-v29”,
22.
“filepath”:\“c:\\\\ users \\\\ jimmy.username \\\\ appdata \\\\本地\\\\ packages \\\\ microsoft.windowscommunicationsapps_8wekyb3d8bbwe \\\\ localstate \\\\文件\\\\\ s0 \\\\\\\\\ sia2024_gebaeude-tool_dfi_20180901_v-1-3 [7024] .xlsm \“
23.