弹性系统
IBM弹性事件响应平台是一个事件响应平台,收集和管理有关安全相关事件和受损个人可识别数据的信息。
您可以将InsightIdr配置为将事件和警报数据发送到IBM弹性平台。
在你开始之前
对于内部部署客户,弹性平台可以接受来自其他SIEM(如InsightIDR)的“威胁服务”形式的数据,您可以从弹性应用程序中的威胁源目录管理这些数据。这需要弹性许可证中的安全模块。
为了将InsightIDR集成为威胁服务,请确保您可以访问以下内容:
- 主管理员帐户
- 对Resilient应用程序的命令行访问
- InsightIDR API令牌和账户名
- 连接到AWS服务器
启用后,完成以下内容:
注册威胁服务
弹性平台是一个用户界面,您可以使用它来更改您的帐户和配置。您还可以访问平台,通过Resilient appliance命令行进行更改。
在命令行中完成以下步骤将InsightIDR注册为威胁服务:
- 使用SSH客户端登录弹性设备。
- 在提示下,输入以下命令:
1.
$ sudo Resutil Thaterserviceedit \
2.
- name \“InsightIDR”
3.
-resturl https:// api。 /弹性/ \
4.
-用户\
5.
-密码
在命令初始化之前,可能需要一些时间。
- 完成后,使用以下命令测试连接:
$sudo resutil threatservicetest-名称“InsightIDR”.
将显示一条确认消息,内容为“已成功连接到InsightIDR”
验证威胁服务
- 作为Master Administrator,登录到弹性平台界面。
- 在右上角选择您的用户名,然后选择管理员设置>威胁源。
- 在页面的底部,确认您看到了InsightIDR,并且切换设置为在.
- 要将InsightIDR作为威胁服务关闭,请单击切换以关闭连接。
添加一个工件
验证威胁服务是否正常工作后,每次威胁服务或InsightIDR发生事件时,Resilience都将执行自动“工件查找”。工件是将事件上下文化的数据,例如散列。
当InsightIDR中发生事件时,Resilient将自动添加警报细节作为工件。您还可以手动向弹性平台添加工件。在这里阅读更多关于添加弹性工件的信息:https://www.ibm.com/support/knowledgecenter/en/SSBRUQ_28.0.0/com.ibm.resilient.doc/master_admin/resilient_m_admin_settings_artifacts.htm
阅读有关使用IBM脚本自动从电子邮件中添加工件的更多信息:https://exchange.xforce.ibmcloud.com/hub/extension/4ba70106b6f2dfa77cb1e3c921db7ff5
如何配置事件源
尽管您正在配置InsightIDR以将其自己的数据发送到弹性平台,但您必须配置一个事件源来建立两者之间的连接。
配置IBM Resilient与InsightIDR之间的连接:
- 从您的InsightIdr仪表板,选择数据收集在左边的菜单上
- 在页面右上角,选择显示“设置事件源”的下拉列表,然后选择添加事件源
- 选择数据出口国图标从安全数据部分。此时会出现“添加事件源”面板。
- 选择收集器和事件源。如果愿意,可以命名事件源。
- 输入弹性服务器的主机名,或弹性平台的IP。不包括
https://前缀。 - 输入API的HTTP端口,或者应该接受传入数据的端口。
- 选择要导出的哪些类型的数据。您可以发送警报数据和调查数据。
- 选择您的凭据或可选创建新凭据.
- 用户名应为注册的弹性主管理员帐户。
- 输入已注册的弹性管理员帐户的密码。
- 输入弹性系统组织ID。这是字符串形式的组织名称。
- 如果您只使用弹性只有一个组织,则可以将此字段留空。
- 点击保存.
