Cybereason
Cybereason是一个端点检测和响应(EDR)平台,用于检测包含恶意操作(Malops)的事件。如果您使用的是Cybereason版本20.1或更高版本,那么您可以使用它的API让它向InsightIDR发送事件,以便围绕该数据生成调查。
要建立Cybereason,你需要:
在你开始之前
Cybereason与Insight IDR的集成采用20.1或更高版本的JSON Web Token (JWT)认证。缺省情况下,jwt认证功能处于关闭状态。您需要联系Cybereason技术支持,以便在您的Cybereason服务器上启用JWT身份验证。
- 安装和配置Cybereason 20.1或更高版本
- 联系Cybereason支持在您的帐户上启用API访问。
在InsightIDR中设置Cybereason
- 从左边的菜单,转到数据收集.
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从Third Party Alerts部分中,单击Cybereason图标。将出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 如果您正在发送警报之外的其他事件,请选择未经过滤的日志复选框。
- 输入您的Cybereason服务器地址和端口,然后以用户名-密码的形式选择或创建您的Cybereason凭据。
- 点击保存.
服务器地址格式
请注意,在输入您的Cybereason服务器地址时,不应包含协议信息。例如,这意味着您应该以这种格式输入服务器地址server.example.net而不是https://server.example.net.
验证配置
完成以下步骤以查看日志,并确保事件被发送到Collector。
- 从左边的菜单中,单击日志搜索查看原始日志,以确保事件被发送到收集器。选择适用的日志集和其中的日志名称。日志名称将是事件源名称或Cybereason(如果您没有命名事件源)。Cybereason日志流入第三方警报日志集。
- 接下来,执行日志搜索以确保Cybereason事件通过。请注意,您应该用现有的malops交叉引用您的日志。如果在过去24小时内没有任何新的malops,则没有日志可查看。
日志至少需要7分钟才能出现在“日志搜索”中
请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。
示例日志
下面是一个Cybereason日志搜索数据的示例:
JSON
1
{
2
“simpleValues”:{
3.
“hasRansomwareSuspendedProcesses”:{
4
“totalValues”:1,
5
“价值观”:[
6
“假”
7
]
8
},
9
“decisionFeature”:{
10
“totalValues”:1,
11
“价值观”:[
12
”的过程。maliciousWebShellExecution (Malop决定)”
13
]
14
},
15
“rootCauseElementCompanyProduct”:{
16
“totalValues”:1,
17
“价值观”:[
18
”:basel2”
19
]
20.
},
21
“malopStartTime”:{
22
“totalValues”:1,
23
“价值观”:[
24
“1599487825054”
25
]
26
},
27
“detectionType”:{
28
“totalValues”:1,
29
“价值观”:[
30.
“MALICIOUS_PROCESS”
31
]
32
},
33
“malopActivityTypes”:{
34
“totalValues”:1,
35
“价值观”:[
36
“MALICIOUS_INFECTION”
37
]
38
},
39
“elementDisplayName”:{
40
“totalValues”:1,
41
“价值观”:[
42
“MALICIOUS_INFECTION”
43
]
44
},
45
“creationTime”:{
46
“totalValues”:1,
47
“价值观”:[
48
“1599487956501”
49
]
50
},
51
“isBlocked”:{
52
“totalValues”:1,
53
“价值观”:[
54
“假”
55
]
56
},
57
“rootCauseElementTypes”:{
58
“totalValues”:1,
59
“价值观”:[
60
“过程”
61
]
62
},
63
“rootCauseElementNames”:{
64
“totalValues”:1,
65
“价值观”:[
66
“w3wp.exe”
67
]
68
},
69
“malopLastUpdateTime”:{
70
“totalValues”:1,
71
“价值观”:[
72
“1599487975114”
73
]
74
},
75
“allRansomwareProcessesSuspended”:{
76
“totalValues”:1,
77
“价值观”:[
78
“假”
79
]
80
},
81
“rootCauseElementHashes”:{
82
“totalValues”:1,
83
“价值观”:[
84
“d6fe37b2ed8d70d75bb2ba2f4d4e050cd02e165c”
85
]
86
},
87
“managementStatus”:{
88
“totalValues”:1,
89
“价值观”:[
90
“开放”
91
]
92
},
93
“closeTime”:{
94
“totalValues”:1,
95
“价值观”:[
96
零
97
]
98
},
99
“closerName”:{
One hundred.
“totalValues”:1,
101
“价值观”:[
102
零
103
]
104
},
105
“customClassification”:{
106
“totalValues”:1,
107
“价值观”:[
108
“没有”
109
]
110
}
111
},
112
“elementValues”:{
113
“primaryRootCauseElements”:{
114
“totalValues”:1,
115
“elementValues”:[
116
{
117
“应用”:“过程”,
118
“guid”:-2143953455.“-772403910525185597”,
119
“名称”:“w3wp.exe”,
120
“hasSuspicions”:真正的,
121
“hasMalops”:真正的
122
}
123
],
124
“totalSuspicious”:1,
125
“totalMalicious”:1,
126
“guessedTotal”:0
127
},
128
“affectedUsers”:{
129
“totalValues”:1,
130
“elementValues”:[
131
{
132
“应用”:“用户”,
133
“guid”:“0.957500363184525212”,
134
“名称”:“win10 - 64的生活费\ \ admin”,
135
“hasSuspicions”:假,
136
“hasMalops”:假
137
}
138
],
139
“totalSuspicious”:0,
140
“totalMalicious”:0,
141
“guessedTotal”:0
142
},
143
“affectedMachines”:{
144
“totalValues”:1,
145
“elementValues”:[
146
{
147
“应用”:“机”,
148
“guid”:“-2143953455.1198775089551518743”,
149
“名称”:“win10 - 64的生活费”,
150
“hasSuspicions”:假,
151
“hasMalops”:假
152
}
153
],
154
“totalSuspicious”:0,
155
“totalMalicious”:0,
156
“guessedTotal”:0
157
}
158
},
159
“怀疑”:零,
160
“filterData”:{
161
“sortInGroupValue”:“11.7941800102332716393”,
162
“groupByValue”:“MalopProcessRuntime: 11.7941800102332716393”
163
},
164
“isMalicious”:假,
165
“suspicionCount”:0,
166
“guidString”:“11.7941800102332716393”,
167
“labelsIds”:[
168
169
],
170
“malopPriority”:零,
171
“怀疑”:假,
172
“恶意”:假,
173
“id”:“11.7941800102332716393”
174
}
解决常见问题
如果您遇到Cybereason事件源的问题,请确保满足以下条件:
- 您有Cybereason版本20.1或更高版本
- 您已经在Cybereason服务器上启用了JWT身份验证
这个页面对你有帮助吗?