FireEye NX
FireEye NX网络安全帮助您检测和阻止来自web的攻击。它保护了整个攻击范围,从相对简单的驱动恶意软件到高度目标的零日攻击。当恶意软件呼叫C&C服务器时,它利用火眼多向量虚拟执行(MVX)引擎来确认,从而提供极低的误报率。
在你开始之前
FireEye支持LEEF和CEF格式的syslog日志。因为InsightIDR解析器需要CEF,所以必须配置FireEye以正确的格式发送数据。
- 登录FireEye NX Web。
- 去设置>通知.
- 核对rsyslog启用Syslog通知配置。
- 在name字段中输入一个名称,以标记到InsightIDR Collector的FireEye连接。
- 单击添加Rsyslog服务器按钮。
- 在“IP address”中输入采集器的IP地址。
- 检查了启用复选框。
- 选择每个事件在“交付”下拉列表。
- 选择所有事件从“通知”下拉列表。
- 选择欧共体语言教学大纲的如“格式”下拉列表。不支持其他格式。
- 将“Account”字段保留为空。
- 选择UDP从“协议”下拉列表中。
- 单击更新按钮。
确保您发送syslog到采集器在唯一的UDP或TCP端口(1024以上)。FireEye NX默认使用514端口。这应该从命令行界面更改。
不使用514端口
InsightIDR建议尽可能不要使用端口514。只有网络系统不能配置为使用除514端口外的任何其他端口时才使用此端口。
你可以在这里阅读更多关于FireEye NX和Splunk的信息:https://www.fireeye.com/content/dam/fireeye-www/global/en/partners/pdfs/fireeye-splunk-intro-to-integration.pdf.
如何配置事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击先进的恶意软件图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 选择发送未经过滤的日志.
- 选择您的收集的方法.
- 可以选择加密事件源,如果选择TCP通过下载Rapid7证书.
- 点击保存.
确认的集成
测试FireEye NX Notifications页面没有被发送到InsightIDR收集器。要实现这一点,可以触发一个真正的警报或使用部署检查。
在InsightIDR中确认警报
触发警报后,应该会在InsightIDR仪表板中看到新的事件。
一旦它们出现,你就可以点击事件向下钻取事件以显示用户上下文和资产名称。
点击**高级恶意软件警报**链接查看有关警报的更具体的细节,如此警报的出现情况。
故障排除
没有看到FireEye NX的数据
来自此事件源的数据应该在收集器日志中C:\Program Files\Rapid7\logs\ collector.log在(未定义变量:Variables.Project)云中。
如果您没有看到这些数据:
- 单击停止按钮在FireEye NX设备。
- 在同一个端口上创建一个“自定义日志”侦听器。这可以在FireEye NX的Rapid7类别下找到。
- 在InsightIDR中,添加一个新的自定义日志事件源来自“原始数据”类别。
- 使用与FireEye NX配置相同的端口和协议信息。
- 点击保存.
这个页面对你有帮助吗?