蓝色外套代理

Blue Coat ProxySG是一款基于云计算的产品,为用户提供网络安全。将此事件源连接到InsightIDR将增强可用于分析的安全数据。

在你开始之前

Blue Coat Security将其数据记录为特定格式ELFF,该格式允许您定义记录数据的字段顺序。你可以在这里阅读如何定义字段顺序:https://portal.threatpulse.com/docs/am/PDFBriefs/BCWSSPrxyFwd.pdf

为了让Blue Coat与InsightIDR解析器正常工作,请确保以下字段位于日志的前面,如下所示:c-ip s-action sc-status cs-method cs-uri-scheme cs-uri cs(User-Agent) cs-bytes sc-bytes sc-filter-result . date time c-ip s-action sc-status cs-method cs-uri-scheme cs-uri cs(User-Agent

您可以在初始字段之后添加额外的字段,这不会影响解析器。

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击Web代理图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择发送未经过滤的日志
  6. 选择时区与事件源日志的位置匹配。
  7. 选择一个收集的方法并指定端口和协议。
    • 可选的选择加密事件源,如果通过下载Rapid7证书
  8. 点击保存