Websense
Websense Web安全网关是一个将日志发送到SIEM的Web代理事件源。
在你开始之前
在InsightIDR中设置此事件源之前,必须配置Websense将syslog发送到InsightIDR收集器。你可以在这里找到说明:http://www.websense.com/content/support/library/web/v80/triton_web_help/settings_siem_explain.aspx
注意,当配置syslog时,选择欧共体语言教学大纲的为日志格式。
可解析日志格式
InsightIDR可以解析的日志示例如下:
19月18日07:45:58 10.20.26.80供应商= Websense产品=安全product_version = 7.7.3 action =允许严重性= 1类别= 17用户= LDAP: / / adserver.ad.company OU =西海岸,OU =员工,DC =广告,DC =公司/ John Doe src_host = 10.20.100.228 src_port = 0 dst_host = 72.21.215.232:443 dst_ip = 72.21.215.232 dst_port = 443 bytes_out = 3301 bytes_in = 5357 http_response = 0http_method=GET http_content_type=- http_user_agent=- http_proxy_status_code=0 reason=- disposition=1026 policy=role-8**Standard_Access role=8 duration=0 url=HTTPS://72.21.215.232:443
欧共体语言教学大纲的格式示例
下面是一个CEF格式的可解析日志示例:
19月18日05:48:53 10.30.26.80 CEF: 0 | Websense |安全| 7.7.3 | 76 | 1 | |事务允许行动=允许应用程序= http " = 10.30.26.80 dst = 206.190.60.138 dhost = l.yimg.com dpt = 80 src = 10.30.100.104 spt = 0 suse = LDAP: / / adserver.ad.company OU \ \ =西海岸,OU \ \ =员工,直流\ \ =广告特区\ \ =公司/ John Doe destinationTranslatedPort = 0 rt = 1379508533000 = 660 = 13281requestMethod=GET requestClientApplication=- reason=- cs1Label=Policy cs1=role-8**Standard Access cs2Label=DynCat cs2=0 cs3Label=ContentType cs3=- cn1Label=DispositionCode cn1=1026 cn2Label=ScanDuration cn2=0 request=http://l.yimg.com/rd/combine/en-US/1379417477/vendor/rapid.js
例子LEEF格式
下面是一个LEEF格式的可解析日志示例:
19月18日08:01:17 10.20.26.80 LEEF:1.0|Websense|Security|7.7.3|transaction: allowed |sev=1<009>cat=29<009>usrName=LDAP://adserver.ad.company OU=Branches,OU=employees,DC=ad,DC=company/John能源部< 009 > src = 10.20.100.193 < 009 > srcPort = 0 < 009 > srcBytes = 954 < 009 > dstBytes = 1150 < 009 > dst = 68.67.151.15 < 009 > dstPort = 80 < 009 > proxyStatus-code = 0 < 009 > serverStatus-code = 0 = 0 < 009 > < 009 >持续时间方法= = 1026 < 009 > < 009 >性格得到contentType = - = - < 009 > < 009 >原因政策= role-8 * *标准访问= 8 < 009 > < 009 >角色userAgent = - < 009 > url = http://ib.adnxs.com/seg?add \ \ = 826953科技\ \ = 2
如何配置事件源
这个页面对你有帮助吗?