在ADAudit Plus中如何配置SIEM集成
如下图所示:
输入SIEM解决方案所在的服务器IP地址或者主机名、端口(确保端口513/514没被占用)和RFC,然后右上角选择需要转发的ADAudit Plus中的日志事件。
比如使用的卓豪的日志分析产品Event log Analyzer,配置如下:
如果在ADAudit Plus中日志转发状态为Success和EventLog Analyzer中的LogReceiver中显示收到了syslog,那说明配置成功了。
Related Articles
关于Log360 Cloud与Log360以及EventLog Analyzer产品的关系
Log360集成了很多组件,如ADAudit Plus、EventLog Analyzer和UEBA等很多。其中EventLog Analyzer组件是一款日志分析产品。 Log360 Cloud是一款基于代理的日志收集和分析方案,它分析的日志来源有两种方式: 一种方式是通过上传本地EventLog Analyzer的日志数据到cloud上(需安装agent在这台EventLog Analyzer服务器上); 另外一种方式是可以直接在Log360 ...安装Log360为服务后如何卸载和再次安装ADAudit和EventLog服务
如果安装Log360为服务后,其中Log360UEBA、O365Manager Plus、ADAudit Plus和EventLog Analyzer四个组件会安装成服务。 但是如果不想其中某个组件以服务运行,那可以单独把某个组件Uninstall as Service. (1)对于UEBA和O365Manager两个组件,可以在开始-程序里找到Uninstall ** as Service: (2)对于ADAudit Plus和EventLog ...ELA & ADAP提示“权限被拒”
运行wmimgmt.msc,右击WMI 控件(本地),选择属性,在安全标签下展开Root,选择CIMV2,点击右下角安全设置,查看所提供的账户允许的WMI Namespace Security权限: (1)如果在EventLog Analyzer中添加设备时,提供的账户凭证提示Access denied: 请确认提供的账户是否允许WMI Namespace Security的以下权限: Execute Methods/执行方法; Enable Account/启用账户; Remote ...ADAudit Plus的日志转发(SIEM集成),是怎样的原理?
1.原理:“SIEM 集成”选项允许您将数据从 ADAuditPlus 实时转发到外部 SIEM 产品或系统日志服务器。 2.是否实时转发?是的EventLog Analyzer中关于文件完整性监视报表
关于Linux: 默认的有预定义的Linux文件完整性监视的报表,如果购买了Linux文件服务器的许可。如下图: 关于Windows: 1.如果您使用了ADAudit Plus产品,并且在Log360平台集成了ADAudit Plus产品和EventLog Analyzer产品,那当两者同步了之后,在EventLog Analyzer产品中“可能”会出现一些关于Windows文件完整性监视的报表。如下图供您参考: 2.如果只单独使用了EventLog ...