病毒扫描

从“病毒扫描”事件源摄取的数据用于分析。添加病毒扫描集成使您可以跟踪哪些用户和资产经常受到感染。此外,InsightIDR使用这些数据产生一些值得注意的行为和警报。

大多数病毒扫描事件源使用两种常见的收集方法:网口侦听和日志聚合器。详情请参阅每个单独的事件源。

防病毒事件源

通过收集反病毒事件,可以向资产中添加更多的上下文信息。在InsightIDR中解析的唯一类型的反病毒事件是当反病毒软件检测到病毒时。通过收集反病毒事件,您可以在Insight中查看资产时查看资产上发现的病毒。

您可以配置以下事件源:

对于其他防病毒产品,请参考厂商文档配置防病毒服务器,使用唯一的UDP或TCP端口(1024以上)向采集器发送syslog日志。

没有看到日志数据?

InsightIDR仅在发现病毒时解析来自病毒扫描事件源的事件。