赛门铁克端点保护
概述
赛门铁克端点保护利用网络上的端点协同工作来保护数据。
在你开始之前
通常,赛门铁克日志通过syslog发送。要学习如何做到这一点,请参阅管理员指南第705页,你可以找到在这里.
另一个简单的配置选项是使用“监视目录”。在配置赛门铁克用于syslog发送时,请确保勾选导出日志到转储文件
.此选项记录通常通过syslog发送到单个日志文件夹的任何内容,可以使用此事件源的监视目录收集方法读取该日志文件夹。
如何配置事件源
- 从仪表板上,选择左手菜单上的Data Collection
- 在页面右上方,选择“添加数据”
- 从“安全性”部分选择“病毒扫描”图标。
- 选择收集器,并可选地命名事件源。
- 从事件源选项列表中,选择赛门铁克端点保护。
- 选择一个时区,或者选择只显示美国时区。
- 可以选择发送未过滤的日志。
- 配置任何高级事件源设置。
- 选择您的收集方法:
- 监听Syslog:指定端口和协议。如果选择TCP,也可以选择加密事件源。
- 日志聚合器:指定端口和协议。如果选择TCP,也可以选择加密事件源。
- 监视目录:转储文件的网络位置(可在SEP管理控制台的外部日志设置中配置),日志文件在这里被复制。输入文件路径、扫描间隔,如果目录包含其他文件,则输入文件模式以指定应该从该目录收集哪些文件。
- 尾文件:InsightOps将监视日志文件并接收添加到其中的任何新数据。
- 如果您选择加密TCP,请选择“下载证书”按钮,将下载Rapid7的证书。这个文件将被调用
Rapid7CA.pem
并将允许insights和赛门铁克在日志转发期间“信任”对方。
高级事件源设置
回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。
例如,如果您的公司在美国和加拿大,但两个地点都有一个名为“John Smith”的用户,而您的主要域是company.com
,你的备用域名可能是company.ca
,这将允许InsightOps更准确地将数据归为正确的用户。
这个页面对你有帮助吗?