FireEye NX
FireEye NX网络安全可帮助您检测和阻止来自web的攻击。它可以保护整个攻击范围,从相对简单的恶意软件驱动到目标明确的零日攻击。它的功能通过利用FireEye多向量虚拟执行(MVX)引擎来确认恶意软件何时调用C&C服务器,从而提供极低的误报率。
在你开始之前
FireEye支持LEEF和CEF格式的syslog日志。因为InsightIDR解析器需要CEF,所以必须配置FireEye以正确的格式发送数据。
- 登录FireEye NX Web。
- 去设置>通知.
- 核对rsyslog启用Syslog通知配置。
- 在name字段中输入一个名称,以标记到InsightIDR Collector的FireEye连接。
- 单击添加Rsyslog服务器按钮
- 在“IP地址”字段中输入InsightIDR收集器IP地址。
- 核对启用复选框。
- 选择每个事件在“交付”下拉列表。
- 选择所有事件从“通知”下拉列表中。
- 选择头孢如“格式”下拉列表。不支持其他格式。
- 将“帐户”字段留空。
- 选择UDP从“协议”下拉列表中。
- 单击更新按钮
确保您发送syslog到采集器在唯一的UDP或TCP端口(1024以上)。FireEye NX默认使用514端口。这应该从命令行界面更改。
不使用514端口
InsightIDR建议尽可能不要使用端口514。此端口仅用于无法配置为使用端口514以外的任何其他端口的网络系统。
你可以在这里阅读更多关于FireEye NX和Splunk的信息:https://www.fireeye.com/content/dam/fireeye-www/global/en/partners/pdfs/fireeye-splunk-intro-to-integration.pdf.
如何配置此事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击先进的恶意软件偶像此时会出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配的。
- 选择发送未过滤原木.
- 选择您的收集方法.
- 可以选择加密事件源,如果选择TCP通过下载Rapid7证书.
- 点击保存.
确认集成
测试FireEye NX通知页面是否未发送到InsightIDR收集器。要完成此操作,请触发真正的警报或使用部署检查。
在InsightIDR中确认警报
触发警报后,应该会在InsightIDR仪表板中看到新的事件。
一旦它们出现,您可以单击事件深入事件以显示用户上下文和资产名称。
点击**高级恶意软件警报**链接查看有关警报的更具体的细节,如此警报的出现情况。
故障排除
没有看到FireEye NX的数据
来自此事件源的数据应该在收集器日志中C:\Program Files\Rapid7\logs\collector.log在(未定义变量:Variables.Project)云中。
如果您没有看到这些数据:
- 单击停止按钮在FireEye NX设备。
- 在同一个端口上创建一个“自定义日志”侦听器。这可以在FireEye NX的Rapid7类别下找到。
- 在InsightIDR中,添加一个新的定制日志事件源来自“原始数据”类别。
- 使用与FireEye NX配置相同的端口和协议信息。
- 点击保存.
这个页面对你有帮助吗?