病毒扫描
从病毒扫描事件源摄取的数据用于分析。添加病毒扫描集成允许您跟踪频繁感染哪些用户和资产。此外,InsightIdr使用此数据来产生一些显着的行为和警报。
大多数病毒扫描事件源使用两个公共集合方法,侦听网络端口和日志聚合器。有关详细信息,请参阅每个活动源。
防病毒事件来源
收集防病毒事件允许将更多上下文信息添加到资产中。InsightIdr中解析的唯一类型的AV事件是当AV软件检测到病毒时。收集AV事件让您在洞察中查看资产时查看在资产上的病毒。
您可以配置以下事件源:
- 气体保护
- 炭黑防守
- ESET Antivirus.
- F-Secure
- 卡巴斯基抗病毒
- Malwarebytes端点保护
- 麦克菲epo.
- Rapid7 Universal Antivirus.
- Sentinelone EDR.
- Sophos Central.
- Sophos拦截X.
- Sophos enduser保护
- 赛门铁克终点保护
- 趋势微顶
- 趋势科技控制经理
- 趋势微防毒墙网络版
- 趋势科学深度安全
对于其他防病毒产品,使用供应商文档配置防病毒服务器以将SYSLOG发送到唯一UDP或TCP端口上的收集器(以上1024)。
没有看到日志数据?
在找到病毒时,InsightIdr仅解析来自病毒扫描事件源的事件。
这个页面对你有帮助吗?