Настройка получения событий Zeek IDS

Вы можете настроить получение событий программы Zeek IDS версии 1.8 в SIEM-систему KUMA.

Настройка получения событий состоит из следующих этапов:

1. Преобразование формата журнала событий Zeek IDS.

   Нормализатор KUMA поддерживает работу с журналами Zeek IDS в формате JSON. Для передачи событий в нормализатор KUMA файлы журналов нужно преобразовать в формат JSON.

2. Создание коллектора KUMA для получения событий Zeek IDS.

   Для получения событий Suricata в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] ZEEK IDS json file, на шаге Транспорт выберите тип коннектора file.

3. Установка коллектора KUMA для получения событий Zeek IDS.
4. Проверка поступления событий Zeek IDS в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий Zeek IDS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало