Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

来自第三方设备的事件收集

要配置来自第三方设备的事件收集,您需要在第三方设备上完成配置任务,并在 JSA 控制台、事件收集器或事件处理器上完成配置任务。日志源、DSM 和自动更新是协同工作以从第三方设备收集事件的关键组件。

日志源

日志源是任何外部设备,或者配置为向 JSA 系统发送事件或由 JSA 系统收集的系统。JSA 在“日志活动”选项卡中显示来自日志源的事件

为了从日志源接收原始事件, JSA 支持多种协议,包括来自操作系统、应用程序、防火墙、IPS/IDS、SNMP、SOAP、JDBC 在内的来自数据库表和视图中数据的系统日志。 JSA 还支持供应商特定的专有协议,如 Checkpoint 的 OPSEC/LEA。

DSM

设备支持模块 (DSM) 是一个配置文件,用于解析来自多个日志源的事件,并将它们覆盖为标准分类格式(可显示为输出)。每种日志源都有相应的 DSM。

自动更新

JSA 按重复计划提供每日和每周自动更新。每周自动更新包括新的 DSM 版本、解析问题更正和协议更新。有关自动更新的更多信息,请参阅 《瞻博网络安全分析管理指南》。

第三方设备安装过程

要从第三方设备收集事件,必须在日志源设备和 JSA 系统上完成安装和配置步骤。对于某些第三方设备,需要执行额外的配置步骤,例如配置证书以启用该设备与 JSA 之间的通信。

以下步骤代表一个典型的安装过程:

  1. 阅读具体说明,了解如何集成第三方设备。

  2. 下载并安装适用于第三方设备的 RPM。RAM 可从 https://support.juniper.net/support/downloads/ 下载。

    提示:

    如果您的 JSA 系统配置为接受自动更新,则可能不需要执行这一步。

  3. 配置第三方设备以将事件发送到 JSA

    收到某些事件后, JSA 会自动检测某些第三方设备并创建日志源配置。日志源列在日志源列表中,其中包含默认信息。您可以自定义信息。

  4. 如果 JSA 未自动检测日志源,请手动添加日志源。支持的 DSM 列表和设备特定的主题指明不会自动检测到哪些第三方设备。

  5. 部署配置更改并重新启动 Web 服务。

不受支持的第三方日志源的自定义日志源类型

收集事件后和开始关联之前,必须正确规范设备上的单个事件。 标准化 是指将信息映射到通用字段名称,例如事件名称、IP 地址、协议和端口。如果企业网络有一个或多个网络或安全设备 ,JSA 不提供相应的 DSM,您可以使用自定义日志源类型。JSA 可使用自定义日志源类型与大多数设备和任何通用协议源集成。

有关更多信息,请参阅 https://support.juniper.net/support/downloads/