跳至主内容

LogRhythm

集成 GravityZone 与LogRhythm的云集成

作为 Bitdefender 合作伙伴,您可集成 GravityZone 使用 GravityZone API和LogRhythm开放收集器。通过此服务,您可以将数据从 GravityZone 控制中心 发送到LogRhythm。

要求

  • 安装了PM角色的LogRhythm实例。

  • 安装了LogRhythm开放收集器代理的虚拟机。

  • 安装了LogRhythm系统监控代理的虚拟机。

集成步骤

GravityZone 控制中心中启用事件推送API。

  1. 登录到 GravityZone 控制中心。 .

  2. 进入 我的账户。 .

  3. API密钥 部分,点击 添加。 .

  4. 选择 事件推送服务API 复选框并点击 保存 。新密钥将显示在API密钥表中。

    14099_1.png

  5. 点击 保存 以保留在 我的账户 页面中所做的更改。

在Logrythm中配置集成

  1. 登录已安装Open Collector的终端。

  2. 配置 一个Webhook Beat。

  3. 初始化Webhook Beat:

    1. 启动Beat: 

      ./lrctl webhookbeat start

      显示配置菜单。使用键盘方向键在各字段间导航。

    2. 从列表中选择 新建webhookbeat实例

    3. 输入webhookbeat实例的唯一标识符 处,输入实例名称。

    4. 使用 输入webhook配置的主机名/IP 设置监听器。默认值为 localhost .

      注意

      若使用自定义主机名/外部IP,请确保其在指定端口上公开暴露,并映射到运行beat的同一系统。

    5. 输入Webhook服务器beat接收数据的端口 ,输入8080。

    6. 是否启用HTTPS? ,选择 .

    7. 重启Open Collector和Metrics以应用新设置。 

      ./lrctl oc restart && ./lrctl metrics restart

  4. 配置Open Collector处理来自 GravityZone 事件推送服务的反恶意软件和防火墙事件。

    1. 下载 这些插件文件 并将其复制到存放 lrctl 脚本的Open Collector机器上。

    2. 启用自定义OC管道(如果尚未启用)。 

      ./lrctl ocpipeline install ./lrctl lrjq install

    3. 导入插件。 

      cat bitdefender.pipe | ./lrctl oc pipe augument import

    4. 重启Open Collector上的所有服务。 

      ./lrctl webhookbeat restart && ./lrctl metrics restart && ./lrctl oc restart

  5. 准备用于 main.go 脚本的证书。可使用现有证书或生成新证书。

  6. 运行 main.go 脚本并配置其接收事件推送服务的事件。

    1. 运行 main.go 首次运行时,您需要配置webhook地址、证书及私钥。 

      go run main.go

    2. 输入webhook的IP地址。若脚本与webhook运行在同一台机器上,可保留 localhost . 

      未找到配置文件,请提供以下信息:
对于OC webhook,默认使用localhost。是否修改?(y/n)

    3. 输入 8080 作为端口号。 

      OpenCollector Webhook端口默认8081。是否修改?(y/n)

    4. 使用您在步骤5中准备的证书。 

      输入certificate.crt文件路径ca_crt_file_path(可尝试fullchain.crt:

    5. 输入证书的私钥。 

      输入privkey.cem文件路径ca_priv_file_path(可尝试privkey.pem:

    6. 禁用调试模式。 

      启用调试模式?(y/n)

    7. 再次以服务器模式运行脚本。

      该脚本将监听443端口,此处即为端点发送事件的接收地址。

  7. 将以下JSON数据提交至 GravityZone API(需替换下方标签以匹配您的配置,并将要监控的事件设为 true : 

    {
  "params": {
    "status": 1,
    "serviceType": "jsonRPC",
    "serviceSettings": {
      "url": "https://<agent_ip>:443/webhook",
      "requireValidSslCertificate": false,
      "authorization": "<secret>"
    },
    "subscribeToEventTypes": {
      "hwid变更": true,
      "模块": true,
      "sva": true,
      "注册": true,
      "supa更新状态": true,
      "av": true,
      "aph": true,
      "fw": true,
      "avc": true,
      "uc": true,
      "dp": true,
      "设备控制": true,
      "sva加载": true,
      "任务状态": true,
      "Exchange恶意软件": true,
      "网络沙箱": true,
      "恶意软件爆发": true,
      "adcloud": true,
      "Exchange用户凭证": true,
      "Exchange组织信息": true,
      "hd": true,
      "反漏洞利用": true
    }
  },
  "jsonrpc": "2.0",
  "method": "setPushEventSettings",
  "id": "1"
}

    注意

    avfw 事件在LogRhythm中可用。

  8. 配置LogRhythm以显示低优先级事件,并通过使用EICAR或执行端口扫描来测试集成:

    1. 在LogRhythm PM上,打开LogRhythm控制台。

    2. 选择 部署管理 .

    3. 打开 平台管理器 选项卡。

    4. 将全局风险优先级从 50 更改为 0 .

      注意

      EICAR测试事件有10分,端口扫描为19分。

    5. 应用更改。

    6. 使用EICAR或端口扫描生成事件。

  9. 根据您的特定要求和环境,配置LogRhythm中步骤8指定的风险优先级。

本节内容 :