安全遥测
通过 常规 > 代理 > 安全遥测 策略部分提供的选项,您可以访问与安全事件相关的底层数据,从而构建自定义关联规则。
为确保最佳性能和数据占用,代理仅发送与网络安全相关的事件:
-
进程:创建、终止
-
文件:创建、读取、修改、移动、删除
-
注册表:创建和删除键、修改和删除值
-
用户访问:登录
-
网络连接
重要提示
此功能需要提供EDR功能访问权限的许可证。
提供两种可选解决方案:
Splunk
安全代理以标准行业格式(JSON)将信息直接发送至SIEM解决方案(Splunk)。查看发送至SIEM解决方案的完整事件列表,请参阅 发送至SIEM的安全遥测事件 .
要将目标终端的安全事件发送至SIEM解决方案,请按如下方式配置策略:
-
点击开关启用 安全遥测 .
-
选择要连接的SIEM解决方案。
-
输入SIEM服务器的URL地址。
警告
必须使用TLS 1.2或更高版本的HTTPS协议,否则事件提交将失败。
-
若出现安全证书验证错误但仍希望继续使用该SIEM服务器,请选择 在 控制中心 中绕过收集器CA验证。该选项仅在证书无法验证时显示。
注意
当 GravityZone 无法通过证书颁发机构或服务器DNS验证HTTP收集器的SSL证书时(例如使用自签名安全证书),会出现此类错误。
-
输入用于保护连接的授权令牌。
-
选择要从终端发送至SIEM的事件类型。
默认情况下,除注册表键创建外,所有类型事件都会被发送。
-
在 终端与SIEM间通信 设置中,选择是否使用代理服务器。
代理与SIEM通信时使用和 GravityZone .
您可以在 常规 > 设置 部分查看其配置。
策略在终端应用后,代理将实时将事件发送至配置的SIEM服务器。
Syslog (JSON)
要将目标终端的安全事件发送至SIEM解决方案,请按如下方式配置策略:
-
点击开关启用 安全遥测 .
-
在 SIEM解决方案 下选择 Syslog (JSON) .
-
在 主机名/IP 输入syslog服务器的主机名或IP地址。
注意
IP或主机名需为公开可访问的。
-
在 端口 .
-
可选:勾选 忽略SSL错误 以跳过安全证书验证错误。若需在可能出现的错误情况下仍使用该SIEM服务器,请启用此选项。
-
当 GravityZone 无法通过证书颁发机构验证HTTP收集器的SSL证书或服务器DNS时(例如使用自签名安全证书的情况),此类错误会发生。
-
选择要从终端发送至SIEM的事件类型。
默认情况下,除注册表键创建事件外,所有类型事件均会被发送。
重要说明
若您拥有GravityZone EDR数据保留附加组件且终端策略中启用了安全遥测功能,现可在历史搜索页面查看原始事件。此功能在使用MDR服务、向第三方SIEM转发遥测事件或同时采用两种方案时仍可生效。
但对于不支持向多目标发送遥测的BEST终端早期版本(7.9.13.423之前),事件转发将基于预设优先级限定至单一目标。此时GravityZone会启用备用机制:
-
若同时拥有EDR数据保留附加组件、使用MDR服务并转发事件至第三方SIEM,事件将发送至MDR。
-
若使用MDR服务并转发事件至第三方SIEM,事件将发送至MDR。
-
若使用MDR服务且拥有EDR数据保留附加组件,事件仍将发送至MDR。
-
若拥有EDR数据保留附加组件并转发事件至第三方SIEM,事件将发送至EDR数据保留系统。