Exportation de sysLogs
ESET Cloud Office Security peut exporter les événements consignés répertoriés dans Détections et de les envoyer à votre serveur Syslog. Vous pouvez exporter les événements qui concernent Exchange Online/Gmail, OneDrive/Google Drive, les groupes de travail et SharePoint Online. Configurez plusieurs exportations SysLog si nécessaire ; par exemple, vous pouvez avoir un SysLog pour chaque tenant ou toute combinaison de tenants et d'événements. Vous pouvez activer/désactiver les exportations de Syslog existantes en les modifiant.
Vous pouvez ajouter un nouveau Syslog ou modifier un Syslog existant et ses paramètres.
1.Cliquez sur Ajouter un Syslog pour ouvrir un modèle et spécifier des paramètres personnalisés. Saisissez le nom du rapport.
2.Cliquez sur Syslog activé.
3.Sélectionnez l'un des formats suivants pour les messages d'événement :
•CEF (Common Event Format)
•LEEF (Log Event Extended Format) : format utilisé par l'application QRadar d'IBM.
•JSON (JavaScript Object Notation)
IP/Nom d'hôte
Saisissez les détails de connexion à votre serveur Syslog.
Port
Le port prédéfini pour la connexion au serveur Syslog est 6514. Vous pouvez modifier le numéro de port dans la plage 6400-6600 pour qu'il corresponde au port de votre serveur Syslog s'il est différent de 6514.
•Protocole de transport : TLS (nécessite un certificat SSL/TLS de serveur valide émis par une autorité de certification approuvée)
•Port TCP par défaut : 6514
En raison des exigences de sécurité pour la connexion au serveur Syslog, le serveur Syslog récepteur doit répondre à des exigences supplémentaires :
•Adresse IP : Adresse IPv4 routable globalement
•Noms IDN : Doivent utiliser la représentation ASCII ("xn--")
•FQDN Doit se traduire par une seule adresse IPv4 fixe
Sélectionner des tenants
Cliquez sur Sélectionner et utilisez les cases à cocher pour sélectionner les tenants pour lesquels vous souhaitez recevoir les événements.
Détections de journaux
Sélectionnez les événements de journal que vous souhaitez exporter vers votre serveur Syslog.
Champs facultatifs pour les journaux d'analyse
Sélectionnez les champs à inclure dans les messages syslog.
Envoyer les journaux de vérification
Les journaux de vérification seront envoyés dans les journaux d'analyse. En outre, vous pouvez utiliser l'option Envoyer le journal de test pour vérifier la fonctionnalité.
Paramètres de sécurité supplémentaires
Assurez-vous que les paramètres du pare-feu de votre serveur Syslog autorisent la connexion à partir des adresses IP suivantes :
•Adresse IP sortante de ESET Cloud Office Security dans la région des États-Unis : 40.83.165.184
•Adresse IP sortante de ESET Cloud Office Security dans la région de l'UE : 51144165221
•Adresse IP sortante de ESET Cloud Office Security dans la région CA : 52.228.24.113