Syslogs
ESET Cloud Office Security puede exportar los eventos registrados enumerados en Detecciones y enviarlos al servidor de syslog. Puede exportar eventos para Exchange Online/Gmail, OneDrive/Google Drive, grupos del equipo y SharePoint Online. Configure varias exportaciones de syslog si es necesario; por ejemplo, puede tener un syslog para cada inquilino o cualquier combinación de inquilinos y eventos. Puede activar y desactivar las exportaciones de syslog existentes editándolas.
Para agregar o modificar una exportación de syslog, siga estos pasos:
1.Haga clic en Nuevo syslog para abrir una plantilla y establecer la configuración personalizada.
2.Escriba un valor en Nombre y active el interruptor de estado.
3.Seleccione inquilinos haciendo clic en Seleccionar y marcando los inquilinos deseados.
4.Seleccione uno de los siguientes formatos para los mensajes de eventos:
•CEF (formato de evento común)
•LEEF (Log Event Extended Format): formato utilizado por la aplicación QRadar de IBM
•JSON (notación de objetos JavaScript)
•ECS (Elastic Common Schema): formato v8.17
IP/Nombre de host
Introduzca la IP o el nombre de host y los detalles de conexión de su servidor syslog.
Puerto
El puerto predefinido para la conexión del servidor de syslog es 6514. Puede cambiar el número de puerto dentro del intervalo 6400-6600 para que coincida con el puerto del servidor de syslog si es diferente de 6514.
•Protocolo de transporte: TLS (requiere un certificado SSL/TLS de servidor válido emitido por una autoridad de certificación de confianza)
•Puerto TCP predeterminado: 6514
Debido a los requisitos de seguridad para la conexión del servidor de syslog, hay requisitos adicionales para el servidor de syslog receptor:
•Dirección IP: dirección IPv4 enrutable globalmente
•Nombres de IDN: se debe usar la representación ASCII ("xn--")
•NOMBRE DE DOMINIO COMPLETO debe traducirse a una única dirección IPv4 fija
Finalizar el registro con el carácter de nueva línea
Active esta opción para agregar un carácter de nueva línea (\n) al final de cada mensaje syslog para realizar un registro correcto en Logstash cuando la conexión TCP se mantiene abierta. De lo contrario, los registros se escribirán en una sola línea.
Detecciones de registros
Seleccione los eventos de registro que desea exportar a su servidor de syslog.
Campos opcionales para registros del análisis
Seleccione los campos que desea incluir en los mensajes de syslog.
Enviar registros de auditoría
Los registros de auditoría se enviarán como parte de los registros del análisis. Además, puede usar Enviar registro de prueba para garantizar la funcionalidad.
Usar un certificado personalizado
Para activar la validación de certificados en la conexión entre su servidor Syslog y ESET Cloud Office Security. Tras activar la validación, se mostrará un nuevo campo de texto en el que podrá copiar y pegar la cadena de confianza requerida. El certificado del servidor debe cumplir los siguientes requisitos:
•Toda la cadena de confianza en formato PEM debe estar cargada y guardada en la configuración de exportación de Syslog (esto incluye la autoridad de certificación raíz, ya que no hay certificados de confianza integrados).
•El certificado de su servidor Syslog debe proporcionar una extensión Subject Alternative Name (SAN) (DNS=/IP=), con al menos un registro correspondiente al nombre de dominio completo (FQDN) o la dirección IP configurados.
Configuración de seguridad adicional
Asegúrese de que la configuración del cortafuegos del servidor de syslog permita la conexión desde las siguientes direcciones IP:
•Dirección IP saliente de ESET Cloud Office Security en la región de EE. UU.: 40.83.165.184
•Dirección IP saliente de ESET Cloud Office Security en la región de la UE: 51144165221
•Dirección IP saliente de ESET Cloud Office Security en la región de DE: 4.184.182.90
•Dirección IP saliente de ESET Cloud Office Security en la región de Canadá: 52.228.24.113