DivvyCloud
由Rapid7 DivvyCloud为云和容器技术提供实时分析和自动补救,保护它们免受错误配置、策略违规、威胁和IAM挑战。如果您拥有有效的DivvyCloud许可证,您可以将云事件发送到InsightIDR进行分析、调查、报告等。
将DivvyCloud数据发送到InsightIDR:
在InsightIDR中设置事件源
- 从InsightIDR左边菜单中选择数据收集.
- 单击设置事件源下拉选择添加事件源.
- 从Rapid7部分中,单击DivvyCloud图标。将出现“添加事件源”面板。
- 选择你的收集器。
- 在事件源名称字段,命名事件源。
- 指定一个端口。您需要在DivvyCloud中输入此端口信息。
- 点击保存.
配置DivvyCloud
要向InsightIDR发送数据,必须向DivvyCloud提供在InsightIDR中配置事件源时指定的采集器IP和端口,然后触发预配置的InsightIDR Bot动作。
建立集成
- 从DivvyCloud左侧菜单中选择管理>集成.
- 在“集成”页上,找到InsightIDR瓷砖,然后单击编辑.
- 2 .在“Connector IP”字段中输入采集器IP。
- 2 .在“Port”中输入采集器侦听的UDP端口。
- 您必须确保所有防火墙和安全组规则都在托管Collector的云/网络位置中就位。这允许DivvyCloud实例和Collector之间的通信。
- 要提交和保存集成设置,请单击保存.
触发预配置的InsightIDR机器人
DivvyCloud包括一个默认的Bot操作,该操作导出一个预格式化的数据块,其中包括Bot名称、过滤器信息和资源信息。一旦你配置了收集器和自定义日志事件源,触发bot将日志发送到InsightIDR:
- 搜索“IDR”以定位InsightIDR事件机器人的行动。这个操作允许InsightIDR不需要任何额外的InsightIDR配置就可以获取DivvyCloud数据。
- 要测试机器人,请选择按需扫描选择。这将手动触发机器人,并根据预定义的标准将数据发送到InsightIDR。该数据提供了关于触发机器人的资源的详细信息,包括该资源的所有配置数据。
- 有关更多信息,请参见DivvyCloud BotFactory文档。要了解更多关于InsightIDR和DivvyCloud集成的信息,请参见https://docs.divvycloud.com/docs/insight-idr-integration.
验证配置
完成以下步骤来查看日志,并确保事件正在进入收集器:
- 从左边的菜单中,单击日志搜索并选择原始的日志.
- 接下来,执行日志搜索以确保您的事件通过。请确保将您的日志与现有的malops进行交叉引用。如果在过去24小时内没有任何新的malops,则没有日志可查看。
日志至少需要7分钟才能出现在“日志搜索”中
设置事件源后,日志至少需要7分钟才能出现在“日志搜索”中。如果您在选择时看到日志消息查看原始日志在事件源上,但在“日志搜索”中没有看到任何日志消息,等待几分钟后它们出现,那么您的日志不匹配此事件源的推荐格式和类型。
示例日志
这是InsightIDR机器人动作输出的一个例子:
这个页面对你有帮助吗?