沃奇卫士XTM

概述

WatchGuard XTM是一个防火墙,它生成关于您的网络和世界其他地方之间发生的事情的数据,并可以监控一些事情,例如有多少数据从哪台计算机发送,数据流向哪里,以及谁正在接收数据。

在你开始之前

您必须配置WatchGuard将其日志发送到syslog服务器。可以找到如何做到这一点的说明在这里在这里

请确保您的网络接口卡(NIC)没有空间

WatchGuard防火墙在syslog中打印处理数据的网卡的名称。如果防火墙中的网卡名称中有空格,则解析器将中断因为syslog解析器是用空格分隔的,并且名称不会以任何方式转义,因此InsightOps将无法解析您的数据。

如何配置事件源

  1. 从仪表板上,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从安全数据部分选择防火墙图标
  4. 选择收集器,并可选地命名事件源
  5. 从事件源选项列表中,选择WatchGuard XTM
  6. 选择一个时区,或者选择只显示美国时区
  7. 可以选择发送未过滤的日志
  8. 配置任何高级事件源设置。
  9. 选择监听Syslog或日志聚合器;两者都需要指定端口和协议。如果选择TCP,也可以选择加密事件源
  10. 如果您选择加密,请选择“下载证书”按钮,该按钮将下载Rapid7的证书。这个文件将被调用Rapid7CA.pem允许InsightOps和WatchGuard XTM@nd在日志转发过程中“信任”对方。

高级事件源设置

回退域(s):如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。

例如,如果您的公司在美国和加拿大,但两个地点都有一个名为“John Smith”的用户,而您的主要域是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。