Varonis DatAdvantage

通过映射谁可以跨文件和电子邮件系统访问您的数据,Varonis DatAdvantage为您提供了对数据和混合IT基础设施的可见性和控制。如果你是Varonis DatAdvantage的客户,你可以设置一个集成,将DatAdvantage提醒转发到InsightIDR。这个第三方警报集成节省了您在两个地方查看警报的时间,并允许您利用IDR的调查特性的DatAdvantage事件。

要设置Varonis DatAdvantage集成,您需要:

  1. 在InsightIDR中设置Varonis DatAdvantage事件源
  2. 配置Varonis DatAdvantage告警转发

在InsightIDR中设置Varonis DatAdvantage事件源

首先,在InsightIDR中设置Varonis DatAdvantage事件源,以便接收转发的警报。

设置Varonis DatAdvantage事件源:

  1. 从左边的菜单,转到数据收集
  2. 单击设置事件源下拉菜单并选择添加事件源
  3. 在“第三方提醒”部分,单击Varonis DatAdvantage图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 如果您正在发送警报之外的其他事件,请选择未经过滤的日志选择。
  6. 在收集器上指定一个未使用的端口,该端口可以接收转发的Varonis警报。我们建议您使用TCP作为协议。

端口号和IP地址

注意与IDR收集器关联的端口号和IP地址。稍后您将需要这两种方式来配置您的Varonis syslog服务器地址。

  1. 点击保存

配置Varonis DatAdvantage告警转发

在InsightIDR中配置Varonis DatAdvantage事件源后,可以通过配置DatAdvantage将告警转发给IDR。配置过程中有3个任务:

任务1:在Varonis DatAdvantage中配置syslog服务器地址

  1. 登录Varonis DatAdvantage。
  2. 选择工具> DatAlert
  3. 从左边的菜单中选择配置
  4. 在“Syslog消息转发”部分指定这些字段的值:
    • Syslog服务器IP地址:InsightIDR采集器IP地址
    • 端口:在Insight IDR中设置的事件源关联的端口号

任务2:创建CEF或LEEF syslog消息转发模板

  1. 从DatAlert的左侧菜单中选择通知模板
  2. 单击绿色的加号.弹出“添加警报模板”对话框。
  3. 输入一个模板名称
  4. 从“应用到警报方法”下拉菜单中,选择Syslog消息
  5. 创建一个新的提醒模板格式使用下面的示例模板。
    • 使用此示例以CEF格式发送警报。
         
1
欧共体语言教学大纲:0 | Varonis | DatAdvantage | < DatAdvantage版本> | <事件Op代码> | <事件类型> | < >严重性| rt = <警报时间>猫=警报cs2 = <规则名称> cs2Label = RuleName cn1 = <规则ID > cn1Label = RuleID结束= <事件时间>地磁极= <对象> dhost = <文件服务器/域> filePath = <访问路径>帧= <对象>影响行动= <事件类型> dvchost = <设备名称> " = <设备IP结果地址> = < >事件状态味精= <额外的数据> cs3 = <附件名称> cs3Label = AttachmentName cs4 = http:// < DLS_IP_ADDRESS > / DatAdvantage / # / app /分析/实体/警告/ <警报ID > cs4Label = AlertURL deviceCustomDate1 = <日期>邮件文件类型= <邮件项目类型> cs1 = <邮件接收者> cs1Label = MailRecipient suse = <邮件来源> cs5 = <邮箱访问类型>cs5Label=MailboxAccessType cnt= cs6= cs6Label=ChangedPermissions oldFilePermission=< Change Before Permissions> filePermission= dpriv= start= externalId=
         
1
*使用此示例以LEEF格式发送警报。
         
1
LEEF: 9.1.0 | Varonis | DatAdvantage | < DatAdvantage版本> | <文件|猫= <警报分类> devTime = <警报时间> devTimeFormat =嗯dd yyyy HH: mm: ss原型= Syslog塞= <严重性> src = <设备IP地址> Device_Name = <设备名称> Alert_Description = > <警报描述usrName = <对象>帐号名称= <代理对象山姆帐户名称> = <域对象域名> Event_Type = <事件类型> Event_Type_ID = <事件Op代码> Event_Status = < >事件状态Affected_Object = <对象>影响Event_File_Server_Domain = <文件服务器/域> Affected_Object_Path = <路径> Event_Additional_Data = <额外数据> Threshold_Value = <阈值> Threshold_First_Timestamp = <第一事件时间> Event_by_MailboxOwner = <客户机访问类型> Email_Sender = <邮件来源> Email_Date = <邮件日期> Account_of_Changed_Permissions = <受托人> Permissions_Changes = > <改变权限Permissions_before_Change = <权限之前改变> Permissions_after_Change = <权限后改变> Alert_Page_URL = <警报页面URL > Alert_ID = <警报ID > LEEF: 9.1.0 | Varonis | DatAdvantage | < DatAdvantage版本>| devTime= devTimeFormat=MMM dd yyyy HH:mm:ss proto=Syslog sev= src= Device_Name= Alert_Description= usrName= accountName= domain= Event_Type=Event_Type_ID = <事件Op代码> Event_Status = < >事件状态Affected_Object = <对象>影响Event_File_Server_Domain = <文件服务器/域> Affected_Object_Path = <路径> Event_Additional_Data = <额外数据> Threshold_Value = <阈值> Threshold_First_Timestamp = <第一事件时间> Event_by_MailboxOwner = <客户访问类型> Email_Sender = < >邮件来源Email_Date=<邮件日期> Account_of_Changed_Permissions= Permissions_Changes= Permissions_before_Change=< Change前的权限> Permissions_after_Change=< Change后的权限> Alert_Page_URL= Alert_ID=
  1. 点击好吧,并验证新模板是否出现在“Alert Templates”表中。
  2. 点击好吧

任务3:为单个或多个规则设置警报

您可以在Varonis DatAdvantage中设置关于哪些行为会引起警报的规则。要完成集成,必须通过为每个规则选择syslog警报方法,将这些规则与Task 1中配置的syslog连接关联起来。

为单个规则选择Syslog警报方法:

  1. 从DatAlert规则表中,选择规则,然后单击编辑规则.出现规则编辑菜单。
  2. 从左边的菜单中选择警报的方法.“警报方法”窗口出现。
  3. 选择Syslog消息
  4. 点击好吧

为多个规则选择Syslog告警方法:

  1. 从DatAlert规则表中选择规则,然后单击编辑规则.出现规则编辑菜单。
  2. 从左边的菜单中选择警报的方法.“警报方法”窗口出现,其内容被禁用以供选择。
  3. 单击编辑图标的Syslog消息选项,然后单击旁边的复选框Syslog消息
  4. 点击好吧

验证配置

通过配置Varonis DatAdvantage事件源和告警转发,可以实现以下功能执行日志搜索查看InsightIDR中的Varonis警报,以验证它们是否成功转发。

当DatAdvantage警报出现在InsightIDR中时,您会注意到它们的相关严重性排名被转换为与InsightIDR约定相匹配。以下是InsightIDR中每个警告级别的含义。

  • 红色-严重程度高
    这些警报的DatAdvantage级别为“紧急”、“警报”或“严重”。
  • 橙色-中度严重
    这些警报的DatAdvantage级别为Error或Warning。
  • 绿色-低严重程度
    这些警报的DatAdvantage级别为Notice、Informational或Debug。