病毒扫描
从病毒扫描事件源摄取的数据用于分析。添加病毒扫描集成允许您跟踪经常感染的用户和资产。此外,InsightIdr使用此数据来产生一些显着的行为和警报。
大多数病毒扫描事件源使用两个常见的集合方法,请侦听网络端口和日志聚合器。有关详细信息,请参阅每个活动源。
防病毒事件源
收集防病毒事件允许将更多上下文信息添加到资产中。InsightIdr中解析的唯一类型的AV事件是当AV软件检测到病毒时。收集AV事件让您在洞察中查看资产时查看在资产上的病毒。
您可以配置以下事件源:
- 气体保护
- 炭黑国防
- ESET病毒
- f - secure
- 卡巴斯基抗病毒
- 伪端点保护
- 迈克菲epo.
- Rapid7普遍杀毒
- Sentinelone EDR.
- Sophos Central.
- Sophos拦截X.
- Sophos enduser保护
- 赛门铁克端点保护
- 趋势微顶点1
- 趋势科技控制管理器
- 趋势微防毒墙网络版
- 趋势科技深度安全
对于其他防病毒产品,请参考厂商文档配置防病毒服务器,使用唯一的UDP或TCP端口(1024以上)向采集器发送syslog日志。
没有看到日志数据?
InsightIdr在找到病毒时只能从病毒扫描事件源中解析事件。
这个页面对你有帮助吗?