Sophos中央

Sophos Central提供了一个SIEM集成脚本连接到事件和警报数据的安全API。集成脚本必须使用定时任务(Windows)或Cronjob (Linux)在定时的基础上运行。该脚本从Sophos Central API提取日志数据,并将它们转发到InsightIDR收集器。

InsightIDR将以下警报类型解析为病毒警报事件:

  • 事件端点coreclean
  • 事件端点corehmpacleannothingfound
  • 事件端点威胁:cleanedup
  • 事件端点威胁:cleanupfailed
  • 事件端点coredetection
  • 事件端点威胁:检测到

Sophos配置日志

您必须将Sophos Central配置为向SIEM发送警报和事件数据。请按照Sophos提供的说明进行操作:https://community.sophos.com/kb/en-us/125169

将SIEM集成脚本下载到本地环境后,您将需要编辑config.ini文件到您的本地配置,并进行以下更改:

  • 将syslog地址配置为指向InsightIDR收集器。请注意在此步骤中使用的端口。
  • 改变< collectorip >修改为托管Collector的服务器的IP地址。
  • 改变文件名= result.txt文件名= syslog

InsightIDR也支持JSON格式。

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击病毒扫描图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送未经过滤的日志
  7. 如果有必要,配置您的默认域和任何高级事件源设置
  8. 选择监听网络端口作为您的Collection方法。输入您之前记录的端口。
    • 可以选择加密事件源,如果选择TCP通过下载Rapid7证书
  9. 点击保存

没有看到日志数据?

InsightIDR仅在发现病毒时解析来自病毒扫描事件源的事件。