VPN.
VPN日志提供用户远程网络入口活动的可见性,并允许您收集和验证有关用户活动的信息。
防火墙和VPN
在大多数情况下,VPN日志可以随防火墙数据一起发送。InsightIDR中的事件源被标记为它们支持的数据类型,例如Cisco ASA Firewall/VPN),并且将日志解析为它们各自的类别将自动发生。请注意,VPN日志设置通常与防火墙日志设置是分开的。
如果您有一个单独的VPN设备,或者希望将VPN日志与防火墙日志分开发送,请创建一个新的VPN事件源。
进入活动日志
处理VPN事件后,您将能够在Log Search中查看和查询原始事件。一个新的进入活动日志集将自动添加到列表中,事件源嵌套在下面。选择这个日志集并应用将显示VPN事件,以及它们的地理位置数据点(基于geoip查找)。
配置VPN事件源
Insidota2必威联赛ght Platform支持以下类型的VPN日志及其收集方式:
设备类型 |
可以使用Syslog转发吗 |
可以从SIEM或日志聚合 |
能否从文件夹读取日志 |
|---|---|---|---|
Cisco Asa VPN. |
是的 |
是的 |
不 |
是的 |
是的 |
不 |
|
是的 |
是的 |
是的 |
|
Microsoft网络策略服务器 |
是的 |
是的 |
是的 |
是的 |
是的 |
是的 |
|
MobilityGuard OneGate |
是的 |
是的 |
不 |
是的 |
是的 |
不 |
|
是的 |
是的 |
不 |
|
VMware的地平线 |
是的 |
是的 |
不 |
是的 |
是的 |
不 |
|
是的 |
是的 |
不 |
|
F5网络Firepass. |
是的 |
是的 |
不 |
MobilityGuard OneGate |
是的 |
是的 |
不 |
使用syslog方式收集VPN日志
在使用syslog开始收集VPN日志之前,您需要完成以下信息:
- 配置VPN设备向采集器发送syslog日志时,采用唯一的UDP或TCP端口(1024以上)。
- 文档IP地址范围范围为VPN设备使用。
- 查找并记录包含VPN设备的Syslog日志的文件夹。
- 确保InsightIDR收集器可以以网络共享的方式连接该文件夹。
- 有关如何执行此操作,请查看特定的供应商文档。
Microsoft VPN.
请注意,许多Microsoft-VPN事件源具有监视目录集合方法,允许收集器从事件源中拉日志。这通常比Syslog更容易收集方法。
这个页面对你有帮助吗?