赛门铁克端点保护

概述

赛门铁克端点保护利用网络上的端点协同工作来保护数据。

在你开始之前

通常,赛门铁克日志通过syslog发送。要学习如何做到这一点,请参阅管理员指南第705页,你可以找到在这里

另一个简单的配置选项是使用“监视目录”。在配置赛门铁克用于syslog发送时,请确保勾选导出日志到转储文件.此选项记录通常通过syslog发送到单个日志文件夹的任何内容,可以使用此事件源的监视目录收集方法读取该日志文件夹。

如何配置事件源

  1. 从仪表板上,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从“安全性”部分选择“病毒扫描”图标。
  4. 选择收集器,并可选地命名事件源。
  5. 从事件源选项列表中,选择赛门铁克端点保护。
  6. 选择一个时区,或者选择只显示美国时区。
  7. 可以选择发送未过滤的日志。
  8. 配置任何高级事件源设置。
  9. 选择您的收集方法:
    • 监听Syslog:指定端口和协议。如果选择TCP,也可以选择加密事件源。
    • 日志聚合器:指定端口和协议。如果选择TCP,也可以选择加密事件源。
    • 监视目录:转储文件的网络位置(可在SEP管理控制台的外部日志设置中配置),日志文件在这里被复制。输入文件路径、扫描间隔,如果目录包含其他文件,则输入文件模式以指定应该从该目录收集哪些文件。
    • 尾文件:InsightOps将监视日志文件并接收添加到其中的任何新数据。
  10. 如果您选择加密TCP,请选择“下载证书”按钮,将下载Rapid7的证书。这个文件将被调用Rapid7CA.pem并将允许insights和赛门铁克在日志转发期间“信任”对方。

高级事件源设置

回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。

例如,如果您的公司在美国和加拿大,但两个地点都有一个名为“John Smith”的用户,而您的主要域是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。