VPN
通过VPN日志,您可以了解用户的远程网络接入活动,并收集和验证用户的活动信息。
防火墙和VPN
在大多数情况下,VPN日志可以随防火墙数据一起发送。InsightIDR中的事件源被标记为它们支持的数据类型,例如Cisco ASA Firewall/VPN),并且将日志解析为它们各自的类别将自动发生。请注意,VPN日志设置通常与防火墙日志设置是分开的。
如果您有一个单独的VPN设备,或者希望将VPN日志与防火墙日志分开发送,请创建一个新的VPN事件源。
进入活动日志
处理VPN事件后,您将能够在Log Search中查看和查询原始事件。一个新的进入活动日志集将自动添加到列表中,事件源嵌套在下面。选择这个日志集并应用将显示VPN事件,以及它们的地理位置数据点(基于geoip查找)。
配置VPN事件源
Insidota2必威联赛ght Platform支持以下类型的VPN日志及其收集方式:
设备类型 |
可以使用Syslog转发吗 |
可以从SIEM或日志聚合 |
能否从文件夹读取日志 |
|---|---|---|---|
思科ASA VPN |
是的 |
是的 |
没有 |
是的 |
是的 |
没有 |
|
是的 |
是的 |
是的 |
|
Microsoft网络策略服务器 |
是的 |
是的 |
是的 |
是的 |
是的 |
是的 |
|
MobilityGuard OneGate |
是的 |
是的 |
没有 |
是的 |
是的 |
没有 |
|
是的 |
是的 |
没有 |
|
VMware的地平线 |
是的 |
是的 |
没有 |
是的 |
是的 |
没有 |
|
是的 |
是的 |
没有 |
|
F5 Networks FirePass |
是的 |
是的 |
没有 |
MobilityGuard OneGate |
是的 |
是的 |
没有 |
使用syslog方式收集VPN日志
在开始使用syslog收集VPN日志之前,您需要完成以下信息:
- 配置VPN设备向采集器发送syslog日志时,采用唯一的UDP或TCP端口(1024以上)。
- 说明VPN设备使用的IP地址范围。
- 找到并记录包含来自VPN设备的syslog日志的文件夹。
- 确保InsightIDR收集器可以以网络共享的方式连接该文件夹。
- 请查看具体的供应商文档,了解如何做到这一点。
微软VPN
注意,许多Microsoft-VPN事件源都有Watch Directory收集方法,它允许您的Collector从事件源提取日志。这通常是一种比syslog更容易的收集方法。
这个页面对你有帮助吗?