第三方数据对接网络端口矩阵参考链接进行放通,XDR支持对接第三方设备汇总(数据接入)参考链接,以下所示为天眼设备软件版本4.0.11.0.SP5中Syslog方式对接。如果第三方设备版本不兼容导致数据格式字段发生变化,需要走定制进行对接。
登录天眼设备,点击系统管理->联动管理->告警联动配置,开启syslog开关,参数填写参考下图所示
接下来配置发送日志类型,原则上XDR只需要安全效果相关的日志,第三方设备系统日志等类型日志可以不发送到进行分析。所以上图中系统日志可以不发送给XDR
有的时候XDR上面对第三方设备日志解析失败,很大一部分都是因为日志为第三方设备操作日志,比如CPU使用率为1%
勾选具体原始告警、行为分析数据中具体日志进行发送,如下图所示
网页漏洞利用以及Webshell上传两类需要勾选上请求头、请求体、响应头、响应体,网络攻击以及威胁情报需要勾选上载荷内容;天眼4.0.13.0版本之后默认不发送请求头、请求体、响应头、响应体,会导致GPT无法对第三方数据进行研判;
如果天眼上没有这些选项,需要前往账号管理-本地账号配置-数据外发配置,开启数据外发后,重新回到该页面勾选上请求头、请求体、响应头、响应体,网络攻击以及威胁情报需要勾选上载荷内容!
配置好之后点击保存按钮,保存上述配置。
登录XDR控制台,点击配置管理->产品接入->日志分析接入,点击新增按钮,填写数据源名称,接入方式选择Syslog,源IP地址填写天眼设备IP地址
解析规则选择QiAnXin(奇安信) SkyEye platform,编码方式默认为utf-8,点击下一步,保存配置
等几分钟之后,可以看到天眼传输过来的日志信息
建议使用Chrome浏览器访问!
