打开 PhishER Settings 的 Syslog 子选项卡,可配置已连接至 PhishER 平台的 Syslog 服务器。系统日志记录协议(简称 Syslog)是一项为网络设备或服务器生成日志的协议。将 Syslog 服务器与 PhishER 平台集成,可在触发 PhishER 操作时进行日志记录。
连接新的 Syslog 服务器
要将 Syslog 服务器连接至 PhishER 平台,请按照以下步骤操作:
- 登录您的 PhishER 平台。
- 选择 Settings > Syslog。
- 单击页面右上角的 New Syslog 按钮。
- 在打开的 Add Syslog Settings 弹出窗口中,配置 Syslog 服务器设置。如需详细了解这些设置,请查看以下截图和列表:
- Name:在此字段中,为 Syslog 服务器输入一个自定义名称。
- Protocol:在此下拉菜单中,选择下列任一协议:TCP、UDP、TLS 或 TLS_INSECURE。
- Host:在此字段中,输入 Syslog 服务器的主机 IP 地址。
- Port:在此字段中,输入 Syslog 服务器的端口号。
- Format:在此下拉菜单中,选择下列任一 Syslog 输出格式:JSON、CEF 或 LEEF。如需详细了解这些格式,请参见本文的 Syslog 输出格式部分。
- 单击 Create。
将 Syslog 服务器与 PhishER 平台集成之后,您的组织就能追踪并记录平台中发生的事件。您可按需连接任意数量的 Syslog 服务器。如果创建 PhishER 操作,可在“Choose how you would like to report this action”步骤下选择“Send to Syslog”选项。
然后,使用下拉菜单,可选择一个 Syslog 服务器。当您的操作运行时,Syslog 服务器将记录该事件。
管理您的连接
打开 PhishER 设置的 Syslog 子选项卡,可查看所有 Syslog 服务器连接。单击 Syslog 服务器的名称,可打开 Update Syslog Settings 弹出窗口。然后,您可更新该 Syslog 服务器的信息。
有关 Syslog 设置的更多信息,请查看以下截图和列表:
- New Syslog:单击此按钮,可创建与 PhishER 帐户的新 Syslog 服务器连接。
- Name:此列显示了 Syslog 服务器的名称。
- Host:此列显示了 Syslog 服务器的主机 IP 地址。
- Port:此列显示了 Syslog 服务器的端口号。
- Protocol:此列显示了 Syslog 服务器用于将消息从客户端传输至服务器的协议。
- Format:此列显示了 Syslog 服务器报告的输出格式。
- Actions:此列显示了 Syslog 条目上可运行的操作。单击垃圾桶图标,可删除条目。
Syslog 输出格式
您可为 Syslog 报告选择 JSON、CEF 或 LEEF 输出格式。有关每种输出格式的示例,请参见以下子部分。
JSON
JSON 输出格式示例如下:
{ "receivedAt":"2019-05-20T17:39:43.351851Z",
"reportedAt":"2019-05-20T17:39:39Z", "sender":"sender@example.com",
"reporter":"reporter@example.com", "subject":"JSON Syslog Example",
"priority":"medium", "category":"spam", "status":"received",
"action":"Action 1", "tags":"TagSet" "permalink":"[[Unique URL]]" }
有关此输出格式属性的更多信息,请参见下表:
| 属性 | 说明 |
|---|---|
| receivedAt |
此属性说明了 PhishER Inbox 收到消息的日期和时间。 日期和时间格式:yyyy-MM-dd'T'HH:mm:ss.SSSSSS'Z' |
| reportedAt |
此属性说明了用户报告消息的日期和时间。 日期和时间格式:yyyy-MM-dd'T'HH:mm:ss.SS'Z' |
| sender | 此属性说明了与消息原始来源关联的电子邮件地址。 |
| reporter | 此属性说明了报告消息的用户电子邮件地址。 |
| subject | 此属性说明了原始消息主题行中的文本。 |
| priority | 此属性说明了消息的优先级。PhishER 会使用下列优先级:低级、中级、高级、紧急和未知。 |
| category | 此属性说明了消息的类别。PhishER 会使用下列类别:安全邮件、垃圾邮件、威胁邮件和未知邮件。 |
| status | 此属性说明了消息的当前 PhishER 分析状态。PhishER 会使用下列状态:已接收、审核中和已处理。 |
| action | 此属性说明了触发此报告的 PhishER 操作名称。 |
| tags | 此属性说明了根据消息属性添加至消息的标签。 |
| permalink | 此属性说明了 PhishER Inbox 中消息的特定 URL。 |
CEF
CEF 输出格式示例如下:
start=1543962447998 rt=1543962447998 duser=destUserName@example.com
suser=sourceUserName@example.com cat=unknown act=Action1 cs2Label=Status
cs2=received cs3Label=Subject cs3=CEF Syslog Example cs4Label=Tags
cs4=TagSet cs6Label=Permalink cs6=[[Unique URL]]
有关此输出格式属性的更多信息,请参见下表:
| 属性 | 说明 |
|---|---|
| start |
此属性说明了 PhishER Inbox 收到消息的日期和时间。日期和时间用毫秒表示。 日期和时间格式:yyyy-MM-dd'T'HH:mm:ss.SSSSSS'Z' |
| rt |
此属性说明了用户报告消息的日期和时间。 日期和时间格式:yyyy-MM-dd'T'HH:mm:ss.SS'Z' |
| duser | 此属性说明了报告消息的用户电子邮件地址。 |
| suser | 此属性说明了与消息原始来源关联的电子邮件地址。 |
| cat | 此属性说明了消息的类别。PhishER 会使用下列类别:安全邮件、垃圾邮件、威胁邮件或未知邮件。 |
| act | 此属性说明了触发此报告的 PhishER 操作名称。 |
| cs2Label=Status | 此属性说明了消息的当前 PhishER 分析状态。PhishER 会使用下列状态:已接收、审核中或已处理。 |
| cs3Label=Subject | 此属性说明了原始消息主题行中的文本。 |
| cs4Label=Tags | 此属性说明了根据消息属性添加至消息的标签。 |
| cs6Label=Permalink | 此属性说明了 PhishER Inbox 中消息的特定 URL。 |
LEF
LEEF 输出格式示例如下:
start=1541008403775 rt=1541009403775 duser=destUserName@example.com
usrName=userName@example.com cat=Threat act=Test Action cs2Label=Status
cs2=Pending cs3Label=Priority cs3=High cs4Label=Subject cs4=Testing
Emailcs5Label=Tags cs5=Tag1,Tag2 cs6Label=Permalink cs6=[[Unique URL]]
有关此输出格式属性的更多信息,请参见下表:
| 属性 | 说明 |
|---|---|
| start |
此属性说明了 PhishER Inbox 收到消息的日期和时间。日期和时间用毫秒表示。 日期和时间格式:yyyy-MM-dd'T'HH:mm:ss.SSSSSS'Z' |
| rt |
此属性说明了用户报告消息的日期和时间。 日期和时间格式:yyyy-MM-dd'T'HH:mm:ss.SS'Z' |
| duser | 此属性说明了报告消息的用户电子邮件地址。 |
| usrName | 此属性说明了与消息原始来源关联的电子邮件地址。 |
| cat | 此属性说明了消息的类别。PhishER 会使用下列类别:安全邮件、垃圾邮件、威胁邮件或未知邮件。 |
| act | 此属性说明了触发此报告的 PhishER 操作名称。 |
| cs2Label=Status | 此属性说明了消息的当前 PhishER 分析状态。PhishER 会使用下列状态:待处理、已接收、审核中或已处理。 |
| cs3Label=Priority | 此属性说明了消息的优先级。PhishER 会使用下列优先级:低级、中级、高级、紧急或未知。 |
| cs4Label=Subject | 此属性说明了原始消息主题行中的文本。 |
| cs5Label=Tags | 此属性说明了根据消息属性添加至消息的标签。 |
| cs6Label=Permalink | 此属性说明了 PhishER Inbox 中消息的特定 URL。 |