赛门铁克端点保护

概述

赛门铁克端点保护利用网络上的端点协同工作来保护数据。

在你开始之前

通常，赛门铁克日志通过syslog发送。要学习如何做到这一点，请参阅管理员指南第705页，你可以找到在这里．

另一个简单的配置选项是使用“监视目录”。在配置赛门铁克用于syslog发送时，请确保勾选导出日志到转储文件．此选项记录通常通过syslog发送到单个日志文件夹的任何内容，可以使用此事件源的监视目录收集方法读取该日志文件夹。

如何配置事件源

1. 从仪表板上，选择左手菜单上的Data Collection
2. 在页面右上方，选择“添加数据”
3. 从“安全性”部分选择“病毒扫描”图标。
4. 选择收集器，并可选地命名事件源。
5. 从事件源选项列表中，选择赛门铁克端点保护。
6. 选择一个时区，或者选择只显示美国时区。
7. 可以选择发送未过滤的日志。
8. 配置任何高级事件源设置。
9. 选择您的收集方法:
   • 监听Syslog:指定端口和协议。如果选择TCP，也可以选择加密事件源。
   • 日志聚合器:指定端口和协议。如果选择TCP，也可以选择加密事件源。
   • 监视目录:转储文件的网络位置(可在SEP管理控制台的外部日志设置中配置)，日志文件在这里被复制。输入文件路径、扫描间隔，如果目录包含其他文件，则输入文件模式以指定应该从该目录收集哪些文件。
   • 尾文件:InsightOps将监视日志文件并接收添加到其中的任何新数据。
10. 如果您选择加密TCP，请选择“下载证书”按钮，将下载Rapid7的证书。这个文件将被调用Rapid7CA.pem并将允许insights和赛门铁克在日志转发期间“信任”对方。

高级事件源设置

回退域(s):如果您在多域环境中运行事件源，Rapid7建议使用后备域来解决用户帐户的任何问题。

例如，如果您的公司在美国和加拿大，但两个地点都有一个名为“John Smith”的用户，而您的主要域是company.com，你的备用域名可能是company.ca，这将允许InsightOps更准确地将数据归为正确的用户。