安全遥测
通过 常规 > 代理 > 安全遥测 策略部分中,您可以访问与安全事件相关的基础数据,以便构建自定义关联规则。
为确保最佳性能和数据量,代理仅发送与网络安全相关的事件:
-
进程:创建、终止
-
文件:创建、读取、修改、移动、删除
-
注册表:创建和删除键、修改和删除值
-
用户访问:登录
-
网络连接
重要提示
此功能需要提供EDR功能访问权限的许可证。
提供两种可用解决方案:
Splunk
安全代理以标准行业格式(JSON)将此信息直接发送至SIEM解决方案(Splunk)。查看发送至SIEM解决方案的完整事件列表,请参阅 发送至SIEM的安全遥测事件 .
要将安全事件从目标终端发送至SIEM解决方案,请按如下方式配置策略:
-
点击切换开关启用 安全遥测 .
-
选择要连接的SIEM解决方案。
-
提供SIEM服务器的URL。
警告
必须使用TLS 1.2或更高版本的HTTPS协议,否则事件提交将失败。
-
若出现安全证书验证错误但仍希望忽略错误使用SIEM服务器,请在 控制中心 中选择 绕过收集器CA验证
注意
该错误会在以下情况出现: GravityZone 无法根据证书颁发机构或服务器DNS验证HTTP收集器的SSL证书。例如,当您的HTTP收集器使用自签名安全证书时。
-
输入用于保护连接的授权令牌。
-
选择要从终端发送到SIEM的事件类型。
默认情况下,除注册表键创建外,所有类型的事件都会被发送。
-
在 终端与SIEM之间的通信 下,选择是否使用代理服务器。
代理与SIEM通信时使用与 GravityZone .
您可以在 常规 > 设置 部分查看其设置。
策略应用于终端后,代理将开始将发生的事件发送至配置的SIEM服务器。
Syslog (JSON)
安全代理以标准行业格式(JSON)将此信息直接发送至SIEM解决方案。要查看发送至SIEM解决方案的完整事件列表,请参阅 发送至SIEM的安全遥测事件 .
注意
为确保消息成功传递,目标服务器需启用传输层安全性(TLS)。
要将安全事件从目标终端发送至SIEM解决方案,请按如下方式配置策略:
-
点击切换按钮启用 安全遥测 .
-
在 SIEM解决方案 中选择 Syslog (JSON) .
-
在 主机名/IP 字段中输入syslog服务器的主机名或IP地址。
注意
该IP或主机名需为公开可访问。
-
在 端口 .
-
可选:勾选 忽略SSL错误 以忽略安全证书验证错误。若您希望在此SIEM服务器存在潜在错误时仍继续使用,请启用此选项。
-
此类错误通常发生在 GravityZone 无法通过证书颁发机构验证HTTP收集器的SSL证书或服务器DNS时。例如,当您的HTTP收集器使用自签名安全证书时。
-
选择需要从终端发送至SIEM的事件类型。
默认情况下,除注册表键创建事件外,所有类型事件均会被发送。
重要说明
若您拥有GravityZone EDR数据保留附加组件且在终端策略中启用了安全遥测,现可通过历史搜索页面查看原始事件。此功能在以下场景仍可用:使用MDR服务、将遥测事件转发至第三方SIEM,或同时进行两种操作。
但对于7.9.13.423之前版本的BEST终端(不支持多目标遥测发送),事件转发将基于预设优先级仅限单一目标。此时GravityZone将启用备用机制:
-
若同时拥有EDR数据保留附加组件、使用MDR服务并转发事件至第三方SIEM,事件将发送至MDR。
-
若使用MDR服务并转发事件至第三方SIEM,事件将发送至MDR。
-
若使用MDR服务且拥有EDR数据保留附加组件,事件仍将发送至MDR。
-
如果您拥有EDR数据保留附加组件并将事件转发至第三方SIEM,事件将被发送至EDR数据保留系统。