infoblox trinzic.
Infoblox Trinzic设备是构成组织网络服务和报告解决方案基础的硬件设备。可以配置此事件源同时发送DHCP和DNS日志。
配置DHCP日志
配置InsightIDR事件源之前,必须先从NIOS设备向syslog服务器发送Infoblox Trinzic消息。
- 从“网格”选项卡,选择网格管理器>成员选项卡,然后单击网格属性>编辑从工具栏。
- 在“网格属性”编辑器中,选择监控标签。
- 在“syslog”部分中,指定syslog文件的最大大小。在10到300之间输入值。默认为300。
- 检查日志到外部Syslog服务器复选框。
- 单击+按钮以添加新服务器。
- 在“地址”字段中,输入InsightIdr收集器的IP地址。
- 在“传输”字段中,选择是否要使用TCP或UDP发送日志。
- 从“Interface”下拉列表中,选择哪个设备应该是Infoblox日志的来源。
- 从“源”下拉列表中,选择要在收集器上接收的syslog消息。
- 在“Port”中输入DHCP日志使用的端口。
- 从“严重性”下拉下降,选择日志中所需的严重性过滤器。过滤器选项如下:
- 出现- 恐慌或紧急情况。系统可能是不可用的。
- 警报—需要立即处理的告警,如NTP服务故障。
- 填料- 关键条件,如硬件故障。
- 犯错—错误提示,如客户端更新失败、租约重复等。
- 警告- 警告消息,例如服务器配置中缺少的keepalive选项。
- 请注意-关于例行系统事件的信息消息,如“启动BIND”。
- 信息—提示信息,如DHCPACK消息、发现状态等。
- 调试—包含调试信息的消息,如延迟变化等。
- 检查复制审计日志消息到Syslog复选框,以包含它发送到syslog服务器的审计日志消息。
- 从中选择一个选项Syslog工具下拉菜单,确定从中生成日志消息的进程和守护进程。
- 单击保存和关闭按钮保存配置并单击重新启动按钮如果出现在屏幕顶部。
此配置将解析InfoBlox TrinZic作为DHCP和DNS。
如果您只需要发送DNS日志,请将该事件源配置为aDNS事件源遵循下面的说明。
但是,如果您将Infoblox Trinizic配置为配置了DNS的DHCP事件源,并配置一个单独的DNS事件源,您的DNS事件将会重复。
配置DNS日志
Infoblox Trinzic还支持DNS日志。但是,您必须通过Infoblox数据连接器配置DNS,并遵循以下说明:https://docs.infoblox.com/display/bloxonethreatdefense/data+连接
按照指示:
- 安装InfoBlox数据连接器
- 部署Infoblox数据连接器
您不需要遵循SIEM集成的说明。
在部署数据连接器时,将外部服务器配置为InsightIDR Collector。
要了解更多细节,请参阅他们实现Infoblox Data Connector 3.0的部署指南:https://docs.infoblox.com/download/attachments/8945695/deployment%20guide%20-%20data%20connector%203.0_Revised.pdf?version=1&modificationDate=1552637732892&api=v2
如何配置事件源
- 从仪表板中选择数据收集在左手菜单上。
- 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源码.
- 从“安全数据”部分,单击DHCP图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,您还可以命名您的活动源。
- 选择时区与事件源日志的位置匹配。
- 选择发送未经过滤的日志.
- 配置任何高级事件源设置.
- 在几分钟内配置不活动超时阈值。
- 选择一个收集的方法.
- 可选的选择加密事件源,如果通过下载RAPID7证书.
- 点击节省.
这个页面对你有帮助吗?