原始数据

与用户归属事件源不同,在产品中摄取原始数据以上下文化其他数据。使用原始日志将增强这些特定功能:

  • 日志搜索
  • 仪表板和报告
  • 自定义警报

原始数据适用于日志搜索,并允许您查找特定的详细信息。虽然最好具有特定格式的事件日志,但最终InsightIdr将接受任何基于文本的日志从环境中的事件日志。

收集的数据

来自RAW日志的数据可能包括以下内容中的一些或所有信息:

  • 时间戳
  • 主机名
  • 活动代码
  • 描述
  • 包裹名字
  • 目标用户名
  • 工作站
  • 地位

进一步的建议

InsightIdr旨在简化整个环境中的搜索和分析。为确保您可以在一个地方执行所有必要的调查步骤,您应该:

  1. 传输安全日志和部署代理。
  2. 传输用于搜索的任何其他可能有用的数据,例如自定义应用程序日志。

此外,您可以启用自动日志结构将从已知格式(例如CEF和JSON)的日​​志转换为人类可读格式,允许您编写LEQL查询并轻松搜索日志。