跳至主内容

Elastic SIEM

集成 GravityZone 与Elastic SIEM的云集成

作为 Bitdefender 合作伙伴,您可集成 GravityZone 与Elastic集成 GravityZone API和Elastic Agent。通过此服务,您可以将数据从 GravityZone 控制中心 发送至Elastic。

要求

集成步骤

GravityZone 控制中心

  1. 登录 GravityZone 控制中心 .

  2. 前往 我的账户 .

  3. API密钥 部分,点击 添加 .

  4. 勾选 事件推送服务API 复选框并点击 保存 。新密钥将显示在 API密钥 表格中。

    14099_1.png

  5. 点击 保存 以应用更改。

在Kibana中配置集成

  1. 使用管理员账户登录Kibana。

  2. 在主菜单中点击 管理 并选择 添加集成 .

    Elastic_integration_952483_1_en.png

    此时会显示 添加BitDefender集成 窗口。

  3. 浏览集成 标签页下,使用搜索功能找到 Bitdefender 集成并选择它。

    Elastic_integration_952483_3_en.png

  4. 点击 添加BitDefender 按钮。

    Elastic_integration_952483_4_en.png

    随后 配置集成 窗口将显示。

  5. 集成设置 部分填写信息:

    • 集成名称 :为新集成命名

    • 描述 :简要描述以便识别该集成

    Elastic_integration_952483_en.png

  6. 向下滚动至 接收推送通知事件 选项,启用后填写以下信息:

    • BitDefender GravityZone推送通知ID 下,保留默认值。

      注意

      若需集成多个 GravityZone 公司,请查阅Elastic文档以确定所需输入内容。

    • 公司ID与公司名称映射 下,为每个受监控公司添加 ID : 名称 的对应关系。

    • 确保 BitDefender GravityZone推送通知 选项已启用。

    • 监听地址 设置为 0.0.0.0 .

    • 监听端口 下输入 8443 .

    • 生成随机密码并填写至 授权值 .

      提示

      该密钥将用于后续在 GravityZone .

  7. 生成或购买安全证书,并将其存储在接收数据的Elastic Agent所在终端上。

  8. 按如下所示配置代理HTTP监听器的TLS设置。保持默认的webhook路径( /bitdefender/push/notification ).

    Elastic_integration_952483_2_en.png

  9. 向下滚动至 轮询推送通知信息 选项,确保其已启用,并配置以下设置:

    • BitDefender GravityZone推送通知ID 下保留默认值。

      注意

      如果您有多个 GravityZone 公司需要集成,请查阅Elastic文档以确定所需输入内容。

    • BitDefender GravityZone API推送端点URL 下添加事件推送服务API URL,使用以下格式 

      https://<cloud_control_API_URL>/api/v1.0/jsonrpc/push

      参数

      描述

      cloud_control_API_URL

      //添加描述

  10. 输入在 启用事件推送API GravityZone 控制中心 部分创建的密钥,位于 GravityZone API密钥 .

  11. 向下滚动至 推送通知配置 选项并启用。

    可选操作:点击 高级选项 按钮可修改统计数据的轮询时间。

  12. 向下滚动至 推送通知统计 选项并启用。

    可选操作:点击 高级选项 按钮以更改集成在 GravityZone .

  13. 向下滚动至 在何处添加此集成? 部分,进入 现有主机 标签页,并在 代理策略 部分下配置设置:

    • 代理策略 下,选择用于接收来自 GravityZone .

  14. 滚动至页面底部并点击 保存 .

GravityZone

中启用Elastic集成 GravityZone 控制中心创建事件推送服务密钥后,您需要启用集成。这意味着您需要开始将事件从 GravityZone 发送至Elastic。

使用 setPushEventSettings 方法开始发送数据: 

{
  "params": {
    "status": 1,
    "serviceType": "jsonRPC",
    "serviceSettings": {
      "url": "https://<代理IP>:<代理端口>/<webhook路径>",
      "requireValidSslCertificate": false,
      "authorization": "<密钥>"
    },
    "subscribeToEventTypes": {
      "硬件ID变更": true,
      "模块": true,
      "SVA": true,
      "注册": true,
      "SUPA更新状态": true,
      "反病毒": true,
      "APH": true,
      "防火墙": true,
      "AVC": true,
      "UC": true,
      "DP": true,
      "设备控制": true,
      "SVA加载": true,
      "任务状态": true,
      "Exchange恶意软件": true,
      "网络沙盒": true,
      "恶意软件爆发": true,
      "广告云": true,
      "Exchange用户凭证": true,
      "Exchange组织信息": true,
      "硬盘": true,
      "反漏洞利用": true
    }
  },
  "jsonrpc": "2.0",
  "method": "setPushEventSettings",
  "id": "1"
}

变量

描述

agent_address

将接收来自GravityZone数据的代理的FQDN或公网IP GravityZone .

agent_port

在Kibana中配置集成流程中 监听端口 步骤6输入的端口

webhook_path

在Kibana中配置集成流程的 步骤7 输入的端口。

secret

在Kibana中配置集成流程的 授权值 步骤6 输入的端口。

本节内容 :