沃奇卫士XTM

WatchGuard XTM是一个防火墙,它生成关于您的网络和世界其他地方之间发生的事情的数据,并可以监控一些事情,例如有多少数据从哪台计算机发送,数据流向哪里,以及谁正在接收数据。

在你开始之前

您必须配置WatchGuard将其日志发送到syslog服务器。有关如何做到这一点的指引,可参阅以下连结:

请确保您的网络接口卡(NIC)没有空间

WatchGuard防火墙在syslog中打印处理数据的网卡的名称。如果防火墙中的网卡名称中有空格,则解析器将中断因为syslog解析器是用空格分隔的,并且名称不会以任何方式转义,InsightIDR将无法解析您的数据。

如何在InsightIDR中配置该事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击防火墙图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 配置您的默认域和任何高级事件源设置
  8. 选择一个收集的方法并指定端口和协议。
    • 可以选择加密事件源,如果选择TCP通过下载Rapid7证书
  9. 点击保存