Infoblox Trinzic
Infoblox Trinzic设备是构成组织网络服务和报告解决方案基础的硬件设备。可以配置此事件源同时发送DHCP和DNS日志。
配置DHCP日志
配置InsightIDR事件源之前,必须先从NIOS设备向syslog服务器发送Infoblox Trinzic消息。
- 从“网格”选项卡,选择网格管理器>成员选项卡,然后单击>编辑从工具栏。
- 在“网格属性”编辑器中,选择监控选项卡。
- 在“Syslog”部分中,指定Syslog文件的最大大小。输入一个介于10到300之间的值。默认值是300。
- 检查日志到外部Syslog服务器复选框。
- 单击+按钮以添加新服务器。
- 在“Address”中输入insight tidr采集器的IP地址。
- 在“Transport”字段中选择使用TCP还是UDP发送日志。
- 从“Interface”下拉列表中,选择哪个设备应该是Infoblox日志的来源。
- 从“源”下拉菜单中,选择您希望在收集器上接收哪些syslog消息。
- 在“Port”中输入DHCP日志使用的端口。
- 从“严重性”下拉列表中,选择您想要记录的严重性过滤器。过滤器选项如下:
- 紧急情况-恐慌或紧急情况。系统可能无法使用。
- 警报—需要立即处理的告警,如NTP服务故障。
- 暴击—硬件故障等紧急情况。
- 犯错—错误提示,如客户端更新失败、租约重复等。
- 警告—警告消息,例如在服务器配置中缺少keepalive选项。
- 请注意-关于例行系统事件的信息消息,如“启动BIND”。
- 信息—提示信息,如DHCPACK消息、发现状态等。
- 调试—包含调试信息的消息,如延迟变化等。
- 检查复制审计日志消息到Syslog复选框,以包含它发送到syslog服务器的审计日志消息。
- 中选择一个选项Syslog工具下拉菜单,确定从中生成日志消息的进程和守护进程。
- 单击保存和关闭按钮保存配置,然后单击重新启动按钮,如果它出现在屏幕的顶部。
这个配置将把Infoblox Trinzic解析为DHCP和DNS。
如果您只需要发送DNS日志,请将该事件源配置为aDNS事件源遵循下面的说明。
但是,如果您将Infoblox Trinizic配置为配置了DNS的DHCP事件源,并配置一个单独的DNS事件源,您的DNS事件将会重复。
配置DNS日志
Infoblox Trinzic还支持DNS日志。但是,您必须通过Infoblox数据连接器配置DNS,并遵循以下说明:https://docs.infoblox.com/display/BloxOneThreatDefense/Data+Connector
按照说明去做:
- 安装Infoblox数据连接器
- 部署Infoblox数据连接器
您不需要遵循SIEM集成的说明。
在部署数据连接器时,将外部服务器配置为InsightIDR Collector。
要了解更多细节,请参阅他们实现Infoblox Data Connector 3.0的部署指南:https://docs.infoblox.com/download/attachments/8945695/deployment%20guide%20-%20data%20connector%203.0_Revised.pdf?version=1&modificationDate=1552637732892&api=v2
如何配置事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击DHCP图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 选择发送未经过滤的日志.
- 配置任何高级事件源设置.
- 配置不活动超时阈值(分钟)。
- 选择一个收集的方法.
- 可选的选择加密事件源,如果通过下载Rapid7证书.
- 点击保存.
这个页面对你有帮助吗?