Sophos拦截X
Sophos Intercept X是一个端点保护工具,用于检测您的环境中的恶意软件和病毒。InsightIDR提供了一个Sophos Intercept X事件源,您可以将其配置为将警报类型解析为病毒警报事件。
配置Sophos拦截X日志
Sophos Intercept X日志通过Sophos Central得到支持。要配置Sophos Intercept X以使用安全API向InsightIDR发送警报和事件数据,您可以遵循Sophos提供的说明:
https://support.sophos.com/support/s/article/KB-000036372?language=en_US
为InsightIDR配置Sophos Intercept X:
- 将SIEM集成脚本下载到本地环境中。
- 编辑
config.ini文件到您的本地配置,并进行以下更改:- 将syslog地址配置为指向InsightIDR收集器。请注意在此步骤中使用的端口。
- 改变
< collectorip >修改为托管Collector的服务器的IP地址。 - 改变
文件名= result.txt来文件名= syslog.
如何配置事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 在“安全数据”部分中,单击病毒扫描图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 您可以选择发送未经过滤的日志.
- 如果有必要,配置您的默认域和任何高级事件源设置.
- 选择监听网络端口作为您的Collection方法。输入您之前记录的端口。
- 可以选择加密事件源,如果选择TCP通过下载Rapid7证书.
- 点击保存.
验证配置
完成以下步骤以查看日志,并确保事件被发送到Collector。
- 从左边的菜单中,单击日志搜索查看原始日志,以确保事件被发送到收集器。
- 选择适用的日志集和其中的日志名称。日志名称将是事件源名称或Sophos(如果您没有命名事件源)。Sophos日志流入病毒日志集。
- 执行日志搜索以确保Sophos事件正在通过。
示例输入日志:
1
< 30 > {
2
\“endpoint_type \”,\“电脑\”,
3.
\ \“威胁”:\“CXmail / ODl-V29 \”,
4
\“endpoint_id \”,\“be94d0d2 - 3298 - 47 - c3 - 89 f0 - 5 - dcd9618c3ec \”,
5
\“customer_id \”,\“abc31ff2-af24-e4f6-1b62-9a7871cd657c \”,
6
\“严重性\”:\“媒介\”,
7
source_info \“\”:
8
{
9
\“ip \”,\“172.31.121.241 \”
10
},
11
\ \类型:\”事件::端点::威胁::检测到\”,
12
\“\”,\“CXmail / ODl-V29 \”,
13
\ \ " id ": \ " 55 b2768f - 61 - db - 4 - b41 a047 - 78 fadbdad544 \”,
14
\“\”,\“\”的恶意软件,
15
\“datastream \”,\“事件\”,
16
\“duid \”,\“123 fbac2e55ffb132e829ebc \”,
17
\“rt \”,\“2020 - 05 - 07 - t11:24:29.232z \”,
18
\ \”:\“2020 - 05 - 07 - t11:24:27.000z \”,
19
\“suse \”,\“用户名,吉米\”,
20.
\“dhost \”,\“host123 \”,
21
\“detection_identity_name \”,\“CXmail / ODl-V29 \”,
22
\“filePath \”,\“C: \ \ \ \ \ \ \ \ jimmy.username \ \ \ \用户当地AppData \ \ \ \ \ \ \ \ \ \ \ \ microsoft.windowscommunicationsapps_8wekyb3d8bbwe包\ \ \ \ LocalState \ \ \ \ \ \ \ \文件S0 17 \ \ \ \ \ \ \ \ \ \ \ \附件SIA2024_Gebaeude-Tool_dfi_20180901_V-1-3 [7024] .xlsm \”
23
}
这个页面对你有帮助吗?