Sophos拦截X
Sophos Intercept X是一个端点保护工具,用于检测您的环境中的恶意软件和病毒。InsightIDR提供了一个Sophos Intercept X事件源,您可以将其配置为将警报类型解析为病毒警报事件。
配置Sophos拦截X日志
Sophos拦截X日志通过Sophos Central支持。要将Sophos Intercept X配置为使用安全API向InsightIdr发送警报和事件数据,您可以按照Sophos提供的说明:
https://support.sophos.com/support/s/article/kb-000036372?language=en_us.
配置Sophos Intercept X for InsightIdr:
- 将Siem Integration脚本下载到本地环境。
- 编辑
config.ini文件到您的本地配置,并进行以下更改:- 配置Syslog地址以指向您的InsightIdr收集器。请注意在此步骤中使用的端口。
- 改变
< collectorip >到托管收集器的服务器的IP地址。 - 改变
文件名= result.txt来文件名= syslog。
如何配置此事件源
- 从仪表板中,选择数据采集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源。
- 在“安全数据”部分中,单击病毒扫描图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区匹配事件源日志的位置。
- 您可以选择发送未经过滤的日志。
- 如果有必要,配置您的默认域和任何高级事件源设置。
- 选择聆听网络端口作为您的Collection方法。输入您之前记录的端口。
- 可以选择加密事件源,如果选择TCP通过下载Rapid7证书。
- 点击保存。
验证配置
完成以下步骤以查看日志,并确保事件被发送到Collector。
- 从左菜单中,单击日志搜索要查看原始日志以确保事件将其交给收集器。
- 选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称将是事件源名称或索道。Sophos日志流入病毒日志集。
- 执行日志搜索以确保Sophos事件正在通过。
示例输入日志:
1
< 30 > {
2
“endpoint_type \”:\“computer \”,
3.
“威胁”:\“cxmail / odl-v29”,
4.
\“endpoint_id \”,\“be94d0d2 - 3298 - 47 - c3 - 89 f0 - 5 - dcd9618c3ec \”,
5.
\“customer_id \”,\“abc31ff2-af24-e4f6-1b62-9a7871cd657c \”,
6.
\“严重性\”:\“媒介\”,
7.
“source_info \”:
8.
{
9.
\“ip \”,\“172.31.121.241 \”
10
},
11
“type \”:\“事件:: endpoint ::威胁::检测到”,
12
\“\”,\“CXmail / ODl-V29 \”,
13
“ID \”:\“55B2768F-61DB-4B41-A047-78FADBDAD544”,
14
\“\”,\“\”的恶意软件,
15
“datastream \”:\“事件\”,
16
“duid \”:\“123FBAC2E55FFB132E829EBC \”,
17
\“rt \”,\“2020 - 05 - 07 - t11:24:29.232z \”,
18
“终止”:\“2020-05-07T11:24:27.000Z”,
19
\“suse \”,\“用户名,吉米\”,
20.
\“dhost \”,\“host123 \”,
21
\“detection_identity_name \”,\“CXmail / ODl-V29 \”,
22
\“filePath \”,\“C: \ \ \ \ \ \ \ \ jimmy.username \ \ \ \用户当地AppData \ \ \ \ \ \ \ \ \ \ \ \ microsoft.windowscommunicationsapps_8wekyb3d8bbwe包\ \ \ \ LocalState \ \ \ \ \ \ \ \文件S0 17 \ \ \ \ \ \ \ \ \ \ \ \附件SIA2024_Gebaeude-Tool_dfi_20180901_V-1-3 [7024] .xlsm \”
23
}
这个页面对你有帮助吗?