Syslog
ESET Cloud Office Security può esportare gli eventi registrati elencati in Rilevamenti e inviarli al server syslog. È possibile esportare eventi per Exchange Online/Gmail, OneDrive/Google Drive, gruppi di team e SharePoint Online. Configurare più esportazioni syslog, se necessario. Ad esempio, è possibile avere un syslog per ciascun tenant o qualsiasi combinazione di tenant ed eventi. È possibile attivare/disattivare le esportazioni syslog esistenti modificandole.
Per aggiungere o modificare un’esportazione syslog, attenersi alla seguente procedura:
1.Fare clic su Nuovo Syslog per aprire un modello e configurare le impostazioni personalizzate.
2.Digitare un Nome e abilitare il tasto di alternanza dello stato.
3.Fare clic su Seleziona e selezionare i tenant desiderati.
4.Selezionare uno dei seguenti formati per i messaggi di evento:
•CEF (Common Event Format)
•LEEF (Log Event Extended Format): formato utilizzato dall’applicazione QRadar di IBM.
•JSON (JavaScript Object Notation)
•ECS (Elastic Common Schema) – Formato v8.17
IP/Nome host
Immettere l’IP/il nome host e i dettagli di connessione al server syslog.
Porta
La porta predefinita per la connessione al server syslog è 6514. È possibile modificare il numero di porta compreso tra 6400 e 6600 in modo che corrisponda alla porta del server syslog se è diversa da 6514.
•Protocollo di trasporto: TLS (richiede un certificato SSL/TLS del server valido emesso da un’autorità di certificazione attendibile)
•Porta TCP predefinita: 6514
A causa dei requisiti di sicurezza per la connessione al server syslog, sono disponibili ulteriori requisiti per il server syslog ricevente:
•Indirizzo IP: Indirizzo IPv4 instradabile a livello globale
•Nomi IDN: È necessario utilizzare la rappresentazione ASCII (“xn--”)
•FQDN Deve essere convertito in un singolo indirizzo IPv4 fisso
Termina il rapporto con il carattere di nuova riga
Abilitare questa opzione per aggiungere un carattere di nuova riga (\n) alla fine di ciascun messaggio syslog per una corretta registrazione in Logstash quando la connessione TCP viene mantenuta aperta. In caso contrario, i rapporti verranno scritti in una singola riga.
Rilevamenti dei rapporti
Selezionare gli eventi di rapporto che si desiderano esportare nel server syslog.
Campi facoltativi per i rapporti del controllo
Selezionare i campi che si desiderano includere nei messaggi syslog.
Invia i rapporti di controllo
I rapporti di controllo verranno inviati come parte dei rapporti del controllo. È inoltre possibile utilizzare la funzione Invia il rapporto di prova per garantirne il corretto funzionamento.
Utilizzare un certificato personalizzato
Per abilitare la convalida del certificato per la connessione tra il server Syslog e ESET Cloud Office Security. In seguito all’abilitazione della convalida, verrà visualizzato un nuovo campo di testo in cui è possibile copiare e incollare la catena di certificati richiesta. Il certificato del server deve soddisfare i seguenti requisiti:
•L’intera catena del certificato in formato PEM viene caricata e salvata nella configurazione delle esportazioni Syslog (include l’AC radice, in quanto non sono presenti certificati attendibili integrati)
•Il certificato del server Syslog fornisce l’estensione del nome alternativo del soggetto ()SAN) (DNS=/IP=), con almeno un record corrispondente al nome di dominio completo (Fully Qualified Domain Name, FQDN) o all’indirizzo IP configurato.
Impostazioni di sicurezza aggiuntive
Assicurarsi che le impostazioni del firewall del server syslog consentano la connessione dai seguenti indirizzi IP:
•Indirizzo IP in uscita da ESET Cloud Office Security nell’area degli Stati Uniti: 40.83.165.184
•Indirizzo IP in uscita da ESET Cloud Office Security nell’area UE: 51144165221
•Indirizzo IP in uscita da ESET Cloud Office Security nell’area DE: 4.184.182.90
•Indirizzo IP in uscita da ESET Cloud Office Security nell’area CA: 52.228.24.113