安全遥测
通过策略 常规 > 代理 > 安全遥测 部分提供的选项,您可以访问与安全事件相关的底层数据,从而构建自定义关联规则。
为确保最佳性能和数据量,代理仅发送与网络安全相关的事件:
-
进程:创建、终止
-
文件:创建、读取、修改、移动、删除
-
注册表:创建和删除键、修改和删除值
-
用户访问:登录
-
网络连接
重要提示
此功能需要提供EDR功能访问权限的许可证。
提供两种可选方案:
Splunk
安全代理以标准行业格式(JSON)将此信息直接发送至SIEM解决方案(Splunk)。查看发送至SIEM解决方案的完整事件列表,请参阅 发送至SIEM的安全遥测事件 .
要将目标终端的安全事件发送至SIEM解决方案,请按如下方式配置策略:
-
点击开关启用 安全遥测 .
-
选择要连接的SIEM解决方案。
-
提供SIEM服务器的URL。
警告
必须使用TLS 1.2或更高版本的HTTPS协议,否则事件提交将失败。
-
若出现安全证书验证错误但仍需强制使用该SIEM服务器,请在 控制中心 中选择 绕过收集器CA验证
注意
此类错误通常在以下情况发生: GravityZone 无法通过证书颁发机构或服务器DNS验证HTTP收集器的SSL证书。例如当HTTP收集器使用自签名安全证书时。
-
输入用于保护连接的授权令牌。
-
选择要从终端发送至SIEM的事件类型。
默认发送除注册表键创建外的所有事件类型。
-
在 终端与SIEM之间的通信 ,选择是否使用代理服务器。
代理程序与SIEM通信时使用与 GravityZone .
您可以在 常规 > 设置 部分查看其配置。
策略应用于终端后,代理程序将实时将事件发送至配置的SIEM服务器。
Syslog (JSON)
将安全事件从目标终端发送至SIEM解决方案的配置步骤如下:
-
点击切换按钮启用 安全遥测 .
-
在 SIEM解决方案 选择 Syslog (JSON) .
-
在 主机名/IP 输入syslog服务器的主机名或IP。
注意
IP或主机名需为公共可访问。
-
在 端口 .
-
可选:勾选 忽略SSL错误 以跳过安全证书验证错误。若需强制使用此SIEM服务器(无论出现何种错误),请启用此选项。
-
当 GravityZone 无法通过证书颁发机构验证HTTP收集器的SSL证书或服务器DNS时(例如使用自签名证书),此类错误会发生。
-
选择要从终端发送至SIEM的事件类型。
默认发送除注册表键创建外的所有事件类型。
重要说明
若已购买GravityZone EDR数据保留附加模块且终端策略中启用了安全遥测,现可在历史搜索页面查看原始事件。此功能在以下场景仍可用:使用MDR服务、将遥测事件转发至第三方SIEM,或同时执行两种操作。
但对于不支持多目标转发的BEST终端旧版本(早于7.9.13.423),事件转发将根据预设优先级限定至单一目标。此时GravityZone会启用回退机制:
-
若同时拥有EDR数据保留附加模块、MDR服务及第三方SIEM转发,事件将发送至MDR。
-
若同时使用MDR服务和第三方SIEM转发,事件将发送至MDR。
-
若同时使用MDR服务并拥有EDR数据保留附加模块,事件也将发送至MDR。
-
若同时拥有EDR数据保留附加模块和第三方SIEM转发,事件将发送至EDR数据保留模块。