【配置指引】XDR与绿盟抗拒绝服务系统(ADS)设备SYSLOG对接指导

一、  设备信息

绿盟抗拒绝服务系统（NSFOCUS ADS），基于机器学习建模、交互式动态防护算法、大数据威胁情报等技术，在IPv4、IPv6及两者混合环境中，全面精准防护各类DDoS攻击，高效应对大流量DDoS攻击的云地混合防护。绿盟ADS设备的登录页参考下图：

本配置指引支持的绿盟ADS的设备版本为：V4.5R90F06。可通过登录设备->系统管理->其他->系统信息->软件版本处查看设备的具体版本。

PS:如果第三方设备版本不兼容导致数据格式字段发生变化，需要走定制进行对接。

二、前置准备

第三方数据对接网络端口矩阵参考设备对接端口矩阵-可扩展检测与响应平台（分布式XDR+GPT）-深信服技术支持进行放通，XDR支持对接第三方设备汇总（数据接入）参考分布式XDR支持对接第三方设备汇总（数据接入）-可扩展检测与响应平台（分布式XDR+GPT）-深信服技术支持

三、配置对接步骤

1.登录绿盟ADS设备WEB控制台，依次进入系统管理->日志服务->Syslog配置页面配置Syslog运行参数，配置界面如下图所示：

服务器地址:填写XDR集群业务口的VIP

目标端口号：Syslog对接默认端口为514端口

Syslog设备号：默认即可，主要用于多设备外发

日志类型：必须勾选攻击日志、攻击事件日志、攻击源IP日志这三项，审计日志、牵引日志按需勾选。

发送方式：默认为阈值发送，可切换为定时发送。看客户需求。

注意：配置的发送日志类型，原则上XDR只需要安全效果相关的日志，第三方设备系统日志等类型日志可以不发送到进行分析。所以上图中硬件信息\HA日志等不建议发给XDR。若客户有设备状态监控系统(如Zabbix等)可以配置给客户的设备状态监控系统。

配置好之后点击保存按钮，保存上述配置。配置完的效果如下图所示：

2.  登录XDR控制台，点击配置管理->产品接入->第三方产品，点击新增按钮。

设备类型：选择绿盟/绿盟抗拒绝服务系统ADS

数据源名称：可自定义内容，这里填写绿盟ADS

版本号：可自定义内容，这里填写V4.5R90F06

连接模式：直连模式

支持功能：按需选择，这里选择日志采集

填写完毕之后点击下一步按钮。

3.  继续填写剩余的配置项内容

接入方式选择：Syslog

源IP地址：填写绿盟ADS设备IP地址

其余配置默认即可

至此，绿盟ADS对接分布式XDR对接配置完成，XDR侧检查接入状态。