添加 ManageEngine 应用程序
最后更新于:
EventLog Analyzer 可与多种 ManageEngine 应用程序集成,例如:
- ADAudit Plus
- ADManager Plus
- 终端管理中心
- AD自助服务增强版
- ITOM解决方案产品
- Password Manager Pro
- ServiceDesk Plus
这些集成可帮助用户获取调试、服务器及安全信息,这些信息可在事件日志分析器上进行分析并生成可操作报表。此外,与密码管理器专业版等应用的集成,能让用户关联密码管理器中追踪的活动(如密码共享)与Windows环境中的事件(如启动远程会话),从而实现威胁的早期检测、缓解与响应。
通过与 ManageEngine Endpoint Central 的集成,IT 团队可基于 Endpoint Central 日志生成告警,包括已安装软件与补丁信息、策略修改记录以及 Endpoint Central 管理员执行的远程操作。该集成还支持管理员进行取证分析,关联两款产品的日志数据,识别威胁模式,并启动响应工作流以缓解已识别威胁。
配置 ManageEngine 应用程序的步骤
导入配置
配置 ManageEngine EventLog Analyzer 以导入 ManageEngine 产品的日志。
- 在“设置”选项卡中,单击“日志源配置”菜单下的“应用程序”。
- 在应用程序源管理组件下选择ME 应用程序选项卡。
- 点击添加 ME 应用程序按钮。
- 从应用程序下拉框中选择所需的 ManageEngine 应用程序。
- 从设备模态窗口中选择或添加设备。
- 勾选导入文件日志复选框。
- 在导入文件日志组件中配置以下内容:
- 协议:从协议下拉框中选择所需协议以导入日志。
- 如有需要,请为协议提供端口号。
- 用户名:输入所选设备的用户名。
- 密码:输入与该协议关联的密码(若为SMB-Windows协议,则输入Windows用户密码)。
- 日志文件夹:点击“浏览”按钮,定位并选择所选应用程序的日志存储路径。
- 监控计划:配置导入日志所需的时间间隔。
- 点击添加按钮,将所选设备与所选的ManageEngine AD应用程序进行关联
支持的产品包括:
- ADAudit Plus
- ADSelfServicePlus
- ADManager Plus
- OpManager
- OpManager Plus
- OpManager MSP
- 防火墙分析器
- 网络流量分析器
- 网络配置管理器
- ServiceDesk Plus
Syslog配置
配置 ManageEngine ADAudit Plus
- 登录ADAudit Plus并导航至管理选项卡。
- 在 配置下,点击SIEM集成。
- 选中“启用ADAudit Plus应用程序日志转发”复选框。
- 在显示的组件中勾选事件日志分析器选项卡复选框。
- 配置以下内容:
- 运行Eventlog Analyzer的服务器:输入已安装EventLog Analyzer的计算机名称或IP地址。
- Eventlog Analyzer端口号:输入EventLog Analyzer运行的端口号。
- 用户名:输入具有管理员权限的EventLog Analyzer用户名。
- 密码:输入具有管理员权限的EventLog Analyzer用户的密码。
- 协议设置:从协议设置单选按钮中选择EventLog Analyzer使用的协议。
- Syslog标准:从Syslog标准单选按钮中选择所需的Syslog标准以转发日志。
- 点击 选择要转发的类别 按钮,在选择要转发的应用程序日志类别模态框中选择要转发至事件日志分析器的日志。
日志类型说明:
- 访问日志:ADAudit Plus Web 服务器访问日志。
- 调试日志:ADAudit Plus 内部服务器操作日志:服务器启动、登录失败、登录成功等。
配置 ManageEngine ADManager Plus
- 登录ADManager Plus并导航至管理选项卡。
- 在系统设置下,点击集成。
- 在日志转发下,点击EventLog Analyzer。
- 勾选启用集成复选框以启用集成。
- 配置以下内容:
- 运行Eventlog Analyzer的服务器:输入已安装EventLog Analyzer的计算机名称。
- 事件日志分析器端口号:输入事件日志分析器服务运行的端口号。
- 协议设置:输入事件日志分析器服务使用的协议。
- 身份验证:若EventLog Analyzer部署在远程机器上,请勾选此复选框。
- 配置以下内容:
- 用户名:输入事件日志分析器的超级管理员用户名。
- 密码:输入超级管理员密码。
- 日志类型:选择需转发至EventLog Analyzer的日志类别。更多详情请参阅下方日志类型说明部分。
- 手动配置Syslog端口:若需手动修改日志转发端口及协议,请勾选此选项。默认情况下,该信息将根据EventLog Analyzer配置的端口自动填充。
- Syslog协议:日志转发的目标协议。
- Syslog端口:日志转发目标的EventLog Analyzer端口。
- 点击"测试连接并保存"以建立连接并保存设置。
日志类型说明:
- 访问日志:ADManager plus Web服务器的访问日志。
- 调试日志:ADManager plus 内部服务器运行日志:服务器启动、登录失败、登录成功等记录。
- 用户活动日志:用户在ADManager plus中执行的操作将转发至此类别。
配置 ManageEngine ADSelfServicePlus
- 登录ADSelfService Plus后,导航至“管理”选项卡。
- 在产品设置下,点击集成设置。
- 选择Log360 - EventLog Analyzer。
- 配置以下内容:
- 运行事件日志分析器的服务器:输入已安装事件日志分析器的计算机名称。
- 事件日志分析器端口号:输入事件日志分析器服务运行的端口号。
- 协议设置:输入EventLog Analyzer服务使用的协议。
- 用户名:输入EventLog Analyzer的超级管理员用户名。
- 密码:输入超级管理员密码。
- 日志类型:选择需转发至EventLog Analyzer的日志类别。更多详情请参阅下方日志类型说明部分。
日志类型说明:
- 访问日志:ADSelfService plus Web服务器访问日志。
- 调试日志:ADSelfService plus 内部服务器操作日志:服务器启动、登录失败、登录成功等记录。
配置 ManageEngine ITOM 解决方案产品
ITOM解决方案产品的访问日志与调试日志配置
- 前往设置 -> 常规设置 -> 第三方集成。
- 现在,点击 Log 360 - EventLog Analyzer 区域右下角的"配置"按钮。
- 填写以下详细信息:
- 服务器IP/DNS名称:输入安装EventLog Analyzer服务器的IP地址或DNS名称,并指定端口及协议。
- 用户名:输入具备管理员权限的EventLog Analyzer用户名。
- 密码:输入具有管理员权限的EventLog Analyzer用户的密码。
- 选择日志文件:从“选择日志文件”下拉框中选定需转发至EventLog Analyzer的日志。
- 访问日志:包含向Web服务器发送请求的日志,记录IP地址、时间戳、请求资源及每次请求结果等信息
- 调试日志:由OpManager运行时生成的日志,包含用于诊断和故障排除的信息。
- OpManager
- OpManager Plus
- OpManager MSP
- 防火墙分析器
- Netflow Analyzer
- 网络配置管理器
ITOM解决方案产品的告警配置
以下是配置 ManageEngine ITOM 解决方案应用程序的步骤。
- 登录ITOM解决方案应用程序。
- 导航至设置 -> 通知。
- 点击添加。
- 目标主机 - EventLog Analyzer 服务器名称或 IP 地址。
- 目标端口 - EventLog Analyzer实例监听的任意端口。
- 严重性与设施必须保持默认值,即 $severity 和 kernel。
- ALARM_MESSAGE:$message
- ALARM_ID:$alarmid
- ALARM_CODE:$alarmid
- ALARM_SOURCE:$displayName
- ALARM_CATEGORY:$category
- ALARM_SEVERITY:$stringseverity
- ALARM_TRIGGER_TIME:$strModTime
- ALARM_EVENT_TYPE:$eventType
- 实体:$entity
- 最后轮询值:$lastPolledValue
- 点击下一步。
配置文件类型
选择 Syslog 配置文件并输入以下详细信息。
为使EventLog Analyzer能够解析OpManager的日志,OpManager系统日志配置文件中的消息变量应按以下格式输入:
必填消息变量
其他重要消息变量
条件
- 勾选条件复选框。
- 启用所有严重程度的通知并点击下一步。
设备选择
- 选择“按设备”选项,选中“剩余设备”下列出的所有设备,然后单击“下一步”。
日程安排
- 本节无需任何配置。单击下一步。
预览
- 输入配置文件名称并点击保存。
注意:若同一台机器运行两个或多个 ManageEngine 产品,请确保:
- 各产品使用的端口必须唯一。
- 接收来自OpManager和Password Manager Pro日志的EventLog Analyzer端口未被其他ManageEngine产品使用。
- OpManager
- OpManager Plus
- OpManager MSP
配置 ManageEngine Password Manager Pro
以下是配置密码管理器专业版的步骤。
- 登录Password Manager Pro。
- 导航至 审计 -> 资源审计 -> 审计操作 -> 配置资源审计。为所有操作启用生成系统日志选项,然后点击保存。
- 导航至 审计 -> 用户审计 -> 审计操作 -> 配置用户审计。为所有操作启用生成Syslog选项,然后点击保存。
- 导航至管理 -> 集成 -> SNMP 陷阱/Syslog 设置,点击Syslog 收集器。
- 输入事件日志服务器名称和事件日志分析器实例监听的端口。
- 选择协议(UDP/TCP)和设施名称。点击保存。
HTTPs 操作日志收集配置
配置 ManageEngine Endpoint Central
- 登录Endpoint Central并导航至管理选项卡。
- 在集成选项卡下,点击Log360 - EventLog Analyzer。
- 配置以下内容:
- 运行Eventlog Analyzer的服务器名称:输入已安装EventLog Analyzer的计算机名称或IP地址。
- 服务器端口:输入EventLog Analyzer运行的端口号。
- API 令牌:在此处查找生成 AuthToken 的步骤。
- 组件:事件日志分析器
- 必需作用域:"http_listen"
- 协议:默认已设置为HTTPS以确保通信安全。由于协议受限于HTTPS,需将EventLog Analyzer配置为相同协议。在此处查看强制使用HTTPS的步骤。
- 数据传输间隔:选择需要同步集体操作日志的时间间隔。
- 仅拥有管理选项卡和集成设置权限的Endpoint Central用户可启用与事件日志分析器的集成。
- 若事件日志分析器使用自签名SSL证书,请按以下步骤提取并导入其SSL证书至终端管理中心:
为 ManageEngine Endpoint Central 和 Vulnerability Manager Plus 配置数据增强
通过整合 ManageEngine Endpoint Central 或 Vulnerability Manager Plus 的安全数据点与 Log360 的高级威胁检测功能,可快速有效地调查并响应安全事件。
配置 ManageEngine Endpoint Central 和 Vulnerability Manager Plus 本地版本
配置步骤:
- 导航至"设置"选项卡,在"日志源配置"菜单下点击"应用程序"。
- 在应用程序组件下选择ME应用程序选项卡。
- 点击添加ME应用程序按钮。
- 从应用程序下拉框中选择Endpoint Central。
- 在设备列表中输入或选择设备。(注:此设备需运行终端管理中心服务器。)
- 勾选数据增强复选框。
- 在数据增强组件中配置以下内容:
- 协议:从协议下拉框中选择所需协议以获取数据。
- 为协议提供端口号(HTTP默认端口:8020 & HTTPS默认端口:8383)
- 提供从终端中央API浏览器生成的API密钥。(访问终端中央->管理选项卡中的API浏览器,并遵循本文档中给出的身份验证步骤)
- 注意:请确保用户具备以下权限:[VulnerabilityMgmt_Read, PatchMgmt_Read, PatchMgmt_Write]
- 点击添加以将选定的Endpoint Central应用程序与所选设备进行配置。注意:请确保凭据具备访问API的充分权限。
- 请启用预定义告警配置文件和关联规则以使用数据增强功能。
- 为确保事件日志分析器与终端中央的无缝集成,请按以下步骤将终端中央的SSL证书(路径:/webapps/DesktopCentral/client-data/server-certificates/DMRootCA.crt)导入事件日志分析器。
- 您也可参照上述步骤实现与漏洞管理器Plus的集成。
配置 ManageEngine Endpoint Central 云版本
配置步骤:
- 导航至“设置”选项卡,在“日志源配置”菜单下点击“应用程序”。
- 在应用程序组件下选择ME 应用程序选项卡。
- 点击添加ME应用程序按钮。
- 从应用程序下拉框中选择Endpoint Central Cloud。
- 勾选数据增强框(默认已勾选)。
- 在数据增强组件中配置以下内容:
- 数据中心:选择托管 Endpoint Central Cloud 的数据中心。
- 访问对应的开发者控制台,并按照本文档提供的身份验证步骤(自定义客户端方法)获取以下凭证:
- 客户端ID:将复制的客户端ID粘贴至"客户端密钥"选项卡下。
- 客户端密钥:将复制的客户端密钥粘贴至客户端密钥选项卡下。
- 代码:提供生成的代码。
- 生成代码时需考虑的权限范围:
DesktopCentralCloud.PatchMgmt.UPDATE,DesktopCentralCloud.PatchMgmt.read,DesktopCentralCloud.Common.read,DesktopCentralCloud.VulnerabilityMgmt.READ
- 生成代码时需考虑的权限范围:
- 设置所需的数据同步间隔。
- 点击添加以配置所选的Endpoint Central Cloud应用程序。
注意
:请确保凭据具有访问API的充分权限。
此集成通过利用Endpoint Central的数据增强您的安全态势。新增功能如下:
- 漏洞和配置错误比较器:使用自定义关联规则和告警识别存在漏洞或配置错误的设备。
- 简化补丁管理:通过事件工作流直接批准并安装补丁。
使用漏洞与配置错误比较器:
此类比较器仅在集成成功后可用,可与设备字段配合使用。
- 存在漏洞:检查设备在终端中央是否被标记为存在漏洞。
- 易受攻击对象:识别易受特定攻击(如 CVE-2023-38831)影响的设备。
- 错误配置对象:检测终端中央识别出的存在错误配置的设备(例如:Windows凭据防护功能已禁用)。
创建自定义关联规则:
点击此处了解如何使用漏洞和配置错误比较器创建自定义关联规则。
创建自定义告警配置文件:
点击此处了解如何使用漏洞和配置错误比较器创建自定义告警配置文件。
通过工作流管理补丁:
此集成引入了两个新的工作流操作:
- 批准补丁
- 安装补丁
点击此处了解如何利用这些操作创建事件工作流。
配置 ManageEngine ServiceDesk Plus
前提条件:需具备 ServiceDesk Plus 内置管理员权限方可启用与 EventLog Analyzer 的集成。
- 登录ServiceDesk Plus并导航至"管理"选项卡。
- 在管理设置中,选择应用程序和附加组件下的集成。
- 在 ManageEngine 选项卡下选择ManageEngine SIEM。
- 勾选启用EventLog Analyzer复选框以启用集成,并配置以下内容:
- 托管网址:输入托管EventLog Analyzer服务的完整网址。网址应包含协议(http或https)、主机名或IP地址及端口号。
- 用户名:输入EventLog Analyzer的超级管理员用户名。
- 密码:输入超级管理员密码。
- 日志类型:选择需转发至EventLog Analyzer的日志类别。更多详情请参阅下方日志类型说明部分。
日志类型说明:
- 访问日志:ServiceDesk Plus Web 服务器访问日志。
- 调试日志:ServiceDesk Plus 内部服务器运行日志——包含服务器启动、登录失败、登录成功等记录。