Syslog-naplók
Az ESET Cloud Office Security exportálni tudja az Észlelések szakaszban szereplő naplózott eseményeket, és el tudja küldeni őket a syslog-szerverre. A következők esetén exportálhat eseményeket: Exchange Online/Gmail, OneDrive/Google Drive, Team-csoportok és SharePoint Online. Szükség esetén több syslog-exportálást is beállíthat; például minden bérlőre vagy bérlők és események bármilyen kombinációjára vonatkozhat egy syslog. A meglévő syslog-exportokat a szerkesztésükkel aktiválhatja/deaktiválhatja.
Syslog-export hozzáadásához vagy módosításához kövesse az alábbi lépéseket:
1.Egy sablon megnyitásához és egyéni beállítások megadásához kattintson az Új Syslog gombra.
2.Írja be a nevet, és engedélyezze az Állapot kapcsolót.
3.Válassza ki a bérlőket a Kiválasztás gombra kattintva és a kívánt bérlőket bejelölve.
4.Válassza ki az alábbi formátumok egyikét az eseményüzenetekhez:
•CEF (Common Event Format)
•LEEF (Log Event Extended Format) – az IBM QRadar nevű alkalmazása által használt formátum.
•JSON (JavaScript Object Notation)
•ECS (Elastic Common Schema) – v8.17 formátum
IP/állomásnév
Adja meg az IP/gazdanevet és a syslog szerver kapcsolati adatait.
Port
A syslog-szerverkapcsolat előre definiált portja a 6514-es. A portszámot a 6400–6600 tartományban módosíthatja úgy, hogy megfeleljen a syslog-szerverportnak, ha az nem a 6514-es.
•Átviteli protokoll: TLS (érvényes SSL/TLS-szervertanúsítványra van szükség, amelyet egy megbízható hitelesítésszolgáltató adott ki)
•Alapértelmezett TCP-port: 6514
A syslog-szerverkapcsolat biztonsági követelményei miatt további követelmények vannak a fogadó syslog-szerveren:
•IP-cím: Globális útválasztási IPv4-cím
•IDN-nevek: ASCII-jelölést kell használni („xn--”)
•FQDN Egyetlen rögzített IPv4-címre fordítandó
A napló végén új sort jelölő karakter legyen
Akkor engedélyezze ezt az opciót, ha minden Syslog-üzenet végén új sort jelölő karaktert (\n) szeretne hozzáadni a Logstash-ban való megfelelő naplózáshoz, amikor a TCP-kapcsolat nyitva van. Ellenkező esetben a naplók egy sorba kerülnek.
Naplóészlelések
Válassza ki a syslog-szerverre exportálni kívánt naplóeseményeket.
Opcionális mezők a vírusellenőrzési naplókhoz
Jelölje ki azokat a mezőket, amelyeket fel szeretne venni a syslog-üzenetekbe.
Auditálási naplók küldése
Az auditálási naplókat az ellenőrzési naplók részeként küldjük ki. Ezenkívül a Tesztelési napló küldése funkció segítségével biztosíthatja a működést.
Egyéni tanúsítvány használata
Engedélyezhető a tanúsítványellenőrzés a Syslog-szerver és az ESET Cloud Office Security közötti kapcsolatnál. Az ellenőrzés engedélyezése után megjelenik egy új szövegmező, amelybe bemásolhatja a szükséges tanúsítványláncot. A szervertanúsítványnak a következő követelményeknek kell megfelelnie:
•A teljes tanúsítványlánc PEM formátumban lesz feltöltve és mentve a Syslog exportálási konfigurációban (ez a legfelső szintű hitelesítésszolgáltatót foglalja magában, mivel nincsenek beépített megbízható tanúsítványok)
•A Syslog szervertanúsítványa egy Subject Alternative Name () SAN) kiterjesztést (DNS=/IP=) tartalmaz, ahol legalább egy rekord megfelel a teljesen minősített tartománynévnek (FQDN) vagy a konfigurált IP-címnek.
További biztonsági beállítások
Győződjön meg arról, hogy a syslog-szerver tűzfalbeállításai lehetővé teszik a kapcsolatot a következő IP-címekről:
•Kimenő IP-cím az ESET Cloud Office Security szolgáltatásból a US régióban: 40.83.165.184
•Kimenő IP-cím az ESET Cloud Office Security szolgáltatásból az EU régióban: 51144165221
•Kimenő IP-cím az ESET Cloud Office Security szolgáltatásból a DE régióban: 4.184.182.90
•Kimenő IP-cím az ESET Cloud Office Security szolgáltatásból a CA régióban: 52.228.24.113