Websense

Websense Web安全网关是一个将日志发送到SIEM的Web代理事件源。

在你开始之前

在InsightIDR中设置此事件源之前,必须配置Websense将syslog发送到InsightIDR收集器。你可以在这里找到说明:http://www.websense.com/content/support/library/web/v80/triton_web_help/settings_siem_explain.aspx

注意,当配置syslog时,选择欧共体语言教学大纲的为日志格式。

可解析日志格式

InsightIDR可以解析的日志示例如下:

         
1
9月18日07:45:58 10.20.26.80供应商= Websense产品=安全product_version = 7.7.3 action =允许严重性= 1类别= 17用户= LDAP: / / adserver.ad.company OU =西海岸,OU =员工,DC =广告,DC =公司/ John Doe src_host = 10.20.100.228 src_port = 0 dst_host = 72.21.215.232:443 dst_ip = 72.21.215.232 dst_port = 443 bytes_out = 3301 bytes_in = 5357 http_response = 0http_method=GET http_content_type=- http_user_agent=- http_proxy_status_code=0 reason=- disposition=1026 policy=role-8**Standard_Access role=8 duration=0 url=HTTPS://72.21.215.232:443

欧共体语言教学大纲的格式示例

下面是一个CEF格式的可解析日志示例:

         
1
9月18日05:48:53 10.30.26.80 CEF: 0 | Websense |安全| 7.7.3 | 76 | 1 | |事务允许行动=允许应用程序= http " = 10.30.26.80 dst = 206.190.60.138 dhost = l.yimg.com dpt = 80 src = 10.30.100.104 spt = 0 suse = LDAP: / / adserver.ad.company OU \ \ =西海岸,OU \ \ =员工,直流\ \ =广告特区\ \ =公司/ John Doe destinationTranslatedPort = 0 rt = 1379508533000 = 660 = 13281requestMethod=GET requestClientApplication=- reason=- cs1Label=Policy cs1=role-8**Standard Access cs2Label=DynCat cs2=0 cs3Label=ContentType cs3=- cn1Label=DispositionCode cn1=1026 cn2Label=ScanDuration cn2=0 request=http://l.yimg.com/rd/combine/en-US/1379417477/vendor/rapid.js

例子LEEF格式

下面是一个LEEF格式的可解析日志示例:

         
1
9月18日08:01:17 10.20.26.80 LEEF:1.0|Websense|Security|7.7.3|transaction: allowed |sev=1<009>cat=29<009>usrName=LDAP://adserver.ad.company OU=Branches,OU=employees,DC=ad,DC=company/John能源部< 009 > src = 10.20.100.193 < 009 > srcPort = 0 < 009 > srcBytes = 954 < 009 > dstBytes = 1150 < 009 > dst = 68.67.151.15 < 009 > dstPort = 80 < 009 > proxyStatus-code = 0 < 009 > serverStatus-code = 0 = 0 < 009 > < 009 >持续时间方法= = 1026 < 009 > < 009 >性格得到contentType = - = - < 009 > < 009 >原因政策= role-8 * *标准访问= 8 < 009 > < 009 >角色userAgent = - < 009 > url = http://ib.adnxs.com/seg?add \ \ = 826953科技\ \ = 2

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击Web代理图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择发送未经过滤的日志
  6. 选择时区与事件源日志的位置匹配。
  7. 选择一个收集的方法并指定端口和协议。
    • 可选的选择加密事件源,如果通过下载Rapid7证书
  8. 点击保存