梭鱼防火墙

Barracuda防火墙允许您监视您的网络和世界其他地方之间发生的事情,并可以监视数据从哪台计算机发送了多少,数据流向哪里,以及谁正在接收数据。

此事件源不能与Barracuda Web应用程序防火墙(WAF)一起工作。

在你开始之前

InsightIDR可以接受Barracuda的syslog形式的数据;因此,您必须配置来自Barracuda Firewall应用程序的syslog流。阅读如何做到这一点:https://campus.barracuda.com/product/nextgenfirewallf/doc/48202999/how-to-configure-syslog-streaming/?sl=AWFYFc8BWVWOJEbewYp2&so=3

日志的例子

取决于您拥有的Barracuda防火墙的类型,您的日志将以某种方式显示。

在这里阅读网络防火墙日志的格式:https://campus.barracuda.com/product/webapplicationfirewall/doc/4259935/how-to-configure-syslog-and-other-logs/#h4_f39f4861

你也可以在这里看到Barracuda的日志格式表:https://campus.barracuda.com/product/webapplicationfirewall/doc/4259935/how-to-configure-syslog-and-other-logs/#h4_cf724fa7

一个可解析日志的示例如下:

         

          

           
          

         

          

           

            1

           < 14 > 2018 - 06 - 04 - t09:33:09 07:00 BarracudaFirewall600-HA BarracudaFirewall600-HA / FW_Activity:信息BarracudaFirewall600-HA类型= FWD |原型= TCP | | srcIF = p7 srcIP = 63.239.233.162 | srcPort = 45432 | srcMAC = 4 c: 96:14:72: d5: d3 | dstIP = 173.198.58.61 | dstPort = 80 | dstService = http | dstIF = p1 |规则= RedirectTimeclockdotcom |信息= TF-Sync | srcNAT = 63.239.233.162 | dstNAT = 10.0.25.191 |时间= 0 = 1 | |计数receivedBytes = 0 | sentBytes = 0 | receivedPackets = 0 | sentPackets = 0 |用户= = = | |应用目标= | |协议内容= | urlcat =

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击防火墙图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 配置您的默认域和任何高级事件源设置
  8. 选择一个收集的方法并指定端口和协议。
    • 可以选择加密事件源,如果选择TCP通过下载Rapid7证书
  9. 点击保存