Syslogs
ESET Cloud Office Security peut exporter les événements consignés répertoriés dans Détections et de les envoyer à votre serveur syslog. Vous pouvez exporter les événements qui concernent Exchange Online/Gmail, OneDrive/Google Drive, les groupes de travail et SharePoint Online. Configurez plusieurs exportations syslog si nécessaire ; par exemple, vous pouvez avoir un syslog pour chaque tenant ou toute combinaison de tenants et d'événements. Vous pouvez activer/désactiver les exportations de syslog existantes en les modifiant.
Pour ajouter ou modifier une exportation syslog, procédez comme suit :
1.Cliquez sur Nouveau syslog pour ouvrir un modèle et définir des paramètres personnalisés.
2.Saisissez un nom et activez le bouton d'état.
3.Sélectionnez les tenants en cliquant sur Sélectionner, puis en cochant les tenants souhaités.
4.Sélectionnez l'un des formats suivants pour les messages d'événement :
•CEF (Common Event Format)
•LEEF (Log Event Extended Format) : format utilisé par l'application QRadar d'IBM.
•JSON (JavaScript Object Notation)
•ECS (Elastic Common Schema) - format v8.17
IP/Nom d'hôte
Saisissez l'adresse IP/le nom d'hôte et les détails de connexion à votre serveur syslog.
Port
Le port prédéfini pour la connexion au serveur syslog est 6514. Vous pouvez modifier le numéro de port dans la plage 6400-6600 pour qu'il corresponde au port de votre serveur syslog s'il est différent de 6514.
•Protocole de transport : TLS (nécessite un certificat SSL/TLS de serveur valide émis par une autorité de certification approuvée)
•Port TCP par défaut : 6514
En raison des exigences de sécurité pour la connexion au serveur syslog, le serveur syslog récepteur doit répondre à des exigences supplémentaires :
•Adresse IP : Adresse IPv4 routable globalement
•Noms IDN : Doivent utiliser la représentation ASCII ("xn--")
•FQDN Doit se traduire par une seule adresse IPv4 fixe
Terminer le journal par un caractère de nouvelle de ligne
Activez cette option pour ajouter un caractère de nouvelle ligne (\n) à la fin de chaque message syslog pour une journalisation correcte dans Logstash lorsque la connexion TCP est maintenue ouverte. Sinon, les journaux seront écrits sur une seule ligne.
Détections de journaux
Sélectionnez les événements de journal que vous souhaitez exporter vers votre serveur syslog.
Champs facultatifs pour les journaux d'analyse
Sélectionnez les champs à inclure dans les messages syslog.
Envoyer les journaux de vérification
Les journaux de vérification seront envoyés dans les journaux d'analyse. En outre, vous pouvez utiliser l'option Envoyer le journal de test pour vérifier la fonctionnalité.
Utiliser un certificat personnalisé
Pour activer la validation des certificats pour la connexion entre votre serveur Syslog et ESET Cloud Office Security. Après avoir activé la validation, un nouveau champ de texte s'affichera dans lequel vous pourrez copier-coller la chaîne de certificats requise. Le certificat du serveur doit répondre aux exigences suivantes :
•L'ensemble de la chaîne de certificats au format PEM est téléchargé et enregistré dans la configuration d'exportation Syslog (cela inclut l'autorité de certification racine, car il n'y a pas de certificats de confiance intégrés).
•Le certificat de votre serveur Syslog fournit une extension Subject Alternative Name (SAN) (DNS=/IP=), avec au moins un enregistrement correspondant au nom de domaine complet (FQDN) ou à l'adresse IP configurée.
Paramètres de sécurité supplémentaires
Assurez-vous que les paramètres du pare-feu de votre serveur syslog autorisent la connexion à partir des adresses IP suivantes :
•Adresse IP sortante de ESET Cloud Office Security dans la région des États-Unis : 40.83.165.184
•Adresse IP sortante de ESET Cloud Office Security dans la région de l'UE : 51144165221
•Adresse IP sortante de ESET Cloud Office Security dans la région DE : 4.184.182.90
•Adresse IP sortante de ESET Cloud Office Security dans la région CA : 52.228.24.113