日志转发 - 安全事件和流量日志
安全信息事件管理 (SIEM) 系统是专门将安全信息和安全事件信息整合到一个管理平台中的解决方案。安全和事件信息将来自配置为将此信息转发到 SIEM 的第三方安全解决方案。
多云防御 支持直接在 UI 中查看安全事件信息。这些事件在“ ”部分下可用。事件分类和查看方式如下:
类别 |
类型 |
说明 |
---|---|---|
流日志 | FLOW_LOG | 与流量的不同阶段相关的信息 |
防火墙事件 | APPID | 根据应用 ID (OpenAppID) 匹配的流量 |
GEOIP | 源自或发往 Geo IP 的流量 (MaxMind) | |
L4_FW | 基于第 4 层信息(源/目标 IP/端口和协议)匹配的流量 | |
MALICIOUS_IP | 源自或发往恶意 IP 的流量 (Trustwave) | |
SNI | 根据 SNI 信息匹配的流量 | |
网络威胁 | 防病毒 | 检测到病毒的流量 (ClamAV) |
DPI | 检测到 IDS/IPS 威胁的流量 (TALOS) | |
DLP | 敏感数据被泄露的流量 | |
Web 保护 | WAF | 检测到 Web 应用威胁的流量 (ModSecurity) |
L7DOS | 导致第 7 层 DOS 攻击的流量 | |
URL 过滤 | URLFILTER | 与 URL 类别或 URL 匹配的流量 (BrightCloud) |
FQDN 过滤 | FQDNFILTER | 与 FQDN 类别或 FQDN (BrightCloud) 匹配的流量 |
HTTPS 日志 | HTTP_REQUEST | 与基于 Web 的流量 (HTTP) 相关的信息 |
TLS_ERROR | 与 TLS 错误相关的信息 | |
TLS_LOG | 与 TLS 行为相关的信息 | |
流量摘要日志 | SESSION_SUMMARY | 有关每个已处理流量会话的摘要信息 |
Note |
流日志在 2.10 及更高版本的网关中已弃用。每个流日志中包含的信息作为 中可用的会话信息的一部分提供。 |
可以使用日志转发配置文件将每个事件类别发送到 SIEM。 多云防御 当前支持的 SIEM 包括:
可以使用下面列出的步骤操作日志转发配置文件:
创建独立事件或流量日志配置文件
Procedure
Step 1 |
导航至 。 |
Step 2 |
点击创建 (Create)。 |
Step 3 |
指定配置文件名称和说明。 |
Step 4 |
将 类型 指定为独立。 |
Step 5 |
填写适当的参数(请参阅 SIEM 特定文档)。 |
Step 6 |
点击保存。 |
Step 7 |
添加所需的网关关联(请参阅 添加网关关联)。 |
编辑独立事件或流量日志配置文件
Procedure
Step 1 |
导航至 。 |
Step 2 |
选中要 编辑的配置文件旁边的复选框。 |
Step 3 |
点击编辑。 |
Step 4 |
根据需要修改参数(请参阅 SIEM 特定文档)。 |
Step 5 |
点击保存 (Save)。 |
创建组事件或流量日志配置文件
Procedure
Step 1 |
导航至 。 |
Step 2 |
点击创建 (Create)。 |
Step 3 |
指定配置文件名称和说明。 |
Step 4 |
将 类型 指定为组。 |
Step 5 |
根据需要添加尽可能多的行,以适应要分组的独立配置文件的数量。 |
Step 6 |
点击保存。 |
Step 7 |
添加所需的 网关关联 (请参阅 添加网关关联)。 |
编辑组事件或流量日志配置文件
Procedure
Step 1 |
导航至 。 |
Step 2 |
选中要 编辑的配置文件旁边的复选框。 |
Step 3 |
点击编辑。 |
Step 4 |
修改、添加或删除独立配置文件。 |
Step 5 |
点击保存 (Save)。 |
查看事件或流量日志转发配置文件
过程
步骤 1 |
导航至 。 |
步骤 2 |
选择要查看 详细信息的配置文件链接。 |
步骤 3 |
查看 详细 信息。 |
删除事件或流量日志配置文件
使用以下程序从控制面板删除配置文件:
Before you begin
在从控制面板中删除配置文件之前, 必须 删除事件或配置文件与网关之间的关联。有关详细信息,请参阅 删除网关关联 。
Procedure
Step 1 |
导航至 。 |
Step 2 |
选中要 编辑的配置文件旁边的复选框。 |
Step 3 |
点击删除 (Delete)。 |
Step 4 |
点击 是 或 否 确认 删除操作。 |