DarkTrace
Darktrace是一种网络流量分析工具,用于向下游系统发送通知事件。使用InsightIDR中的第三方警报事件源,您可以配置收集器以捕获这些通知事件并围绕这些事件生成InsightIDR调查。
在你开始之前
您必须配置Darktrace将syslog发送到InsightIDR Collector。您必须是访问用户界面的Darktrace管理员。
为Darktrace配置syslog转发。
- 登录到Darktrace界面。
- 展开左上角菜单并选择管理。第二个菜单出现了。
- 选择系统配置页
- 在“警报”部分,单击验证提醒设置按钮
- 在“JSON系统日志警报”中,将字段设置为对。
- 将syslog服务器设置为InsightIDR收集器的IP地址。
- 设置一个大于1024的唯一端口,用于InsightIDR事件源。
- 将“JSON Syslog TCP警报”设置为对。
Darktrace将自动保存您的更改。
如何配置此事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当数据收集页面出现时,单击设置事件源下拉选择添加事件源.
- 从“第三方警报”部分,单击黑暗种族偶像此时会出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择发送未过滤原木.
- 在Darktrace界面中输入你选择的端口。
- 选择TCP作为协议。
- 单击保存按钮
验证配置
配置InsightIDR事件源后,可以从Darktrace向InsightIDR发送测试警报,以验证一切正常工作。
要发送测试警报:
- 返回到Darktrace用户界面。
- 展开左上角菜单并选择管理。第二个菜单出现了。
- 选择系统配置页
- 在“警报”部分,单击验证提醒设置按钮
您将看到一条消息,内容为“1警报已发送。IMAP设置有效。”
在InsightIDR中,您的日志应类似于以下内容。
这个页面对你有帮助吗?