SysLogs
ESET Cloud Office Security kann die unter Ereignisse aufgeführten Log-Ereignisse exportieren und an Ihren syslog-Server senden. Sie können Ereignisse für Exchange Online/Gmail, OneDrive/Google Drive, Team-Gruppen und SharePoint Online exportieren. Richten Sie bei Bedarf mehrere syslog-exporte ein. Sie können z. B. ein syslog pro Mandant oder für eine beliebige Kombination von Mandanten und Ereignissen verwenden. Sie können vorhandene syslog-exporte bearbeiten, um sie zu aktivieren oder zu deaktivieren.
Um einen Syslog-Export hinzuzufügen oder zu ändern, folgen Sie diesen Schritten:
1.Klicken Sie auf Neues Syslog, um ein Template zu öffnen und benutzerdefinierte Einstellungen festzulegen.
2.Geben Sie einen Namen ein und aktivieren Sie den Status-Schalter.
3.Wählen Sie Mieter aus, indem Sie auf Wählen klicken und die gewünschten Mieter ankreuzen.
4.Wählen Sie eines der folgenden Formate für Ereignisnachrichten aus:
•CEF (Common Event Format)
•LEEF (Log Event Extended Format) – das von der IBM-Anwendung QRadar verwendete Format.
•JSON (JavaScript Object Notation)
•ECS (Elastic Common Schema) – Format v8.17
IP/Hostname
Gib die IP-/Hostnamen- und Verbindungsdetails zu deinem Syslog-Server ein.
Port
Der vordefinierte Port für die syslog-serververbindung ist 6514. Legen Sie die Portnummer im Bereich von 6400 bis 6600 so fest, dass sie mit Ihrem syslog-server übereinstimmt, falls dieser einen anderen Port als 6514 verwendet.
•Transportprotokoll: TLS (erfordert ein gültiges Server-SSL/TLS-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde)
•TCP-Standardport: 6514
Aufgrund der Sicherheitsanforderungen für die Verbindung zum syslog-server gelten für den empfangenden syslog-server zusätzliche Anforderungen:
•IP-Adresse: Global routingfähige IPv4-Adresse
•IDN-Namen: Muss die ASCII-Schreibweise („xn--“) verwenden
•FQDN Muss als einzelne, statische IPv4-Adresse aufgelöst werden
Log mit Zeilenumbruch beenden
Wenn Sie diese Option aktivieren, wird am Ende jeder Syslog-Meldung ein Zeilenumbruch (\n) hinzugefügt, um ein ordnungsgemäßes Logstash-Logging zu gewährleisten, wenn die TCP-Verbindung offen bleibt. Andernfalls werden die Logs in einer einzigen Zeile geschrieben.
Log-Ereignisse
Wählen Sie die Log-Ereignisse aus, die Sie auf Ihren syslog-server exportieren möchten.
Optionale Felder für Scan-Logs
Wählen Sie die Felder aus, die Sie in syslog-meldungen aufnehmen möchten.
Audit-Logs senden
Audit-Logs werden als Teil der Scan-Logs gesendet. Außerdem können Sie diese Funktion mit der Option Test-Log senden überprüfen.
Benutzerdefiniertes Zertifikat
Um die Zertifikatsvalidierung für die Verbindung zwischen deinem Syslog-Server und ESET Cloud Office Securityzu aktivieren. Nach Aktivierung der Validierung wird ein neues Textfeld angezeigt, in dem Sie die erforderliche Zertifikatskette kopieren und einfügen können. Das Serverzertifikat muss folgende Anforderungen erfüllen:
•Die gesamte Zertifikatskette im PEM-Format wird in der Syslog-Exportkonfiguration hochgeladen und gespeichert (dazu gehört auch die Root-CA, da keine eingebauten vertrauenswürdigen Zertifikate vorhanden sind)
•Das Zertifikat Ihres Syslog-Servers bietet eine Subject Alternative Name ()SAN)-Erweiterung (DNS=/IP=), wobei mindestens ein Datensatz, der dem vollständig qualifizierten Domainnamen (FQDN) oder der IP-Adresse entspricht, konfiguriert ist.
Zusätzliche Sicherheitseinstellungen
Stellen Sie sicher, dass die Firewall-Einstellungen Ihres syslog-servers Verbindungen von den folgenden IP-Adressen zulassen:
•Ausgehende IP-Adresse von ESET Cloud Office Security in der Region US: 40.83.165.184
•Ausgehende IP-Adresse von ESET Cloud Office Security in der Region EU: 51144165221
•Ausgehende IP-Adresse von ESET Cloud Office Security in der Region DE: 4.184.182.90
•Ausgehende IP-Adresse von ESET Cloud Office Security in der Region CA: 52.228.24.113