Syslogy
ESET Cloud Office Security umožňuje exportovat události zaznamenané jako Detekce a odeslat je na syslog server. Můžete exportovat události pro Exchange Online / Gmail, OneDrive / Google Drive, skupiny týmu a SharePoint Online. V případě potřeby můžete nastavit více exportů syslogu. Můžete například nastavit syslogy pro jednotlivé tenanty nebo libovolnou kombinaci tenantů a událostí. Existující exporty syslogů můžete aktivovat/deaktivovat jejich úpravou.
Chcete-li přidat nebo upravit export syslogu, postupujte podle následujících kroků:
1.Kliknutím na Nový syslog otevřete šablonu a proveďte vlastní nastavení.
2.Zadejte název a povolte přepínač stavu.
3.Vyberte tenanty kliknutím na tlačítko Vybrat a zaškrtnutím požadovaných tenantů.
4.Pro zprávy o událostech vyberte některý z následujících formátů:
•CEF (Common Event Format)
•LEEF (Log Event Extended Format) – formát používaný aplikací IBM QRadar.
•JSON (JavaScript Object Notation)
•ECS (Elastic Common Schema) – formát v8.17
IP/název hostitele
Zadejte IP adresu / název hostitele a údaje o připojení k syslog serveru.
Port
Předdefinovaný port pro připojení k syslog serveru je 6514. Číslo portu můžete změnit v rozmezí 6400–6600 tak, aby odpovídalo portu syslog serveru, pokud je číslo portu jiné než 6514.
•Transportní protokol: TLS (vyžaduje platný serverový SSL/TLS certifikát vydaný důvěryhodnou certifikační autoritou)
•Výchozí TCP port: 6514
Vzhledem k bezpečnostním požadavkům na připojení k syslog serveru jsou na přijímající syslog server kladeny další nároky:
•IP adresa: Globálně směrovatelná IPv4 adresa
•Názvy IDN: Musí používat ASCII reprezentaci ("xn--")
•FQDN: Musí být přeložena na jednu pevnou IPv4 adresu
Ukončit protokol znakem nového řádku
Zapnutím této možnosti přidáte znak nového řádku (\n) na konec každé zprávy syslogu. To je důležité pro správné protokolování v Logstash, jestliže je TCP připojení udržováno otevřené. V opačném případě budou protokoly zapisovány na jeden řádek.
Protokol detekcí
Vyberte protokolované události, který chcete exportovat na syslog server.
Volitelná pole pro protokoly kontroly
Vyberte pole, která chcete zahrnout do zpráv syslogu.
Odeslat audit logy
Audit logy budou odeslány jako součást protokolů kontroly. Navíc můžete fungování této služby zkontrolovat pomocí Odeslání testovacího protokolu.
Použít vlastní certifikát
Povolení ověřování certifikátů pro připojení mezi syslog serverem a ESET Cloud Office Security. Po povolení ověření se zobrazí nové textové pole, do kterého můžete zkopírovat a vložit požadovaný řetězec certifikátů. Certifikát serveru musí splňovat následující požadavky:
•Do konfigurace exportu je nahrán a uložen celý řetězec certifikátů ve formátu PEM (včetně kořenové certifikační autority, protože neexistují žádné integrované důvěryhodné certifikáty).
•Certifikát syslog serveru obsahuje rozšíření SAN (Subject Alternative Name) (DNS=/IP=) s alespoň jedním záznamem odpovídajícím plně kvalifikovanému názvu domény (FQDN) nebo nakonfigurované IP adrese.
Další nastavení zabezpečení
Ujistěte se, že nastavení firewallu na syslog serveru umožňuje připojení z následujících IP adres:
•Odchozí IP adresa z ESET Cloud Office Security v oblasti USA: 40.83.165.184
•Odchozí IP adresa z ESET Cloud Office Security v oblasti EU: 51144165221
•Odchozí IP adresa z ESET Cloud Office Security v oblasti DE: 4.184.182.90
•Odchozí IP adresa z ESET Cloud Office Security v oblasti CA: 52.228.24.113