赛门铁克终点保护

Symantec Endpoint Protection(SEP)利用网络上的端点在保护数据中一起工作。

在你开始之前

InsightIDR可以通过两种方式从Symantec Endpoint Protection接收数据:syslog和Watch Directory。

系统日志

在SEP管理控制台中,您必须在“外部日志记录设置”部分中通过SYSLOG配置Symantec以发送日志。在此处的“管理员指南”第705页的阅读说明:https://support.symantec.com/en_US/article.DOC8645.html

监视目录

在SEP管理控制台中,您必须将Symantec配置为将日志发送到“外部日志记录设置”部分中的文件夹。配置Symantec进行Syslog交付时,请查看将日志导出到转储文件. 此选项将数据记录到单个日志文件夹,而不是将日志发送到syslog。

如何配置此事件源

  1. 从仪表板中,在左侧菜单上选择**数据收集**。
  2. 在页面的右上角,选择“设置事件源”的下拉目,然后选择添加事件源。
  3. 从“安全数据”部分,选择病毒扫描偶像此时会出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,可以命名事件源。
  5. 选择时区匹配事件源日志的位置。
  6. 可选择发送未经过滤的日志
  7. 配置您的默认域和任何高级事件源设置
  8. 选择一个收集方法
  9. 点击节省

没有看到日志数据?

InsightIDR仅在发现病毒时从病毒扫描事件源解析事件。