Syslog

ESET Cloud Office Securityは、検出にリストされている記録されたイベントをエクスポートし、syslogサーバーに送信できます。Exchange Online/Gmail、OneDrive/Google Drive、グループ、SharePoint Onlineのイベントをエクスポートできます。必要に応じて、複数のsyslogエクスポートを設定します。たとえば、テナントごとに1つのsyslogを持つことも、テナントとイベントの任意の組み合わせを持つこともできます。既存のsyslogエクスポートを編集することで、それらをアクティベーション/アクティベーション解除することができます。

新しいsyslogを追加したり、既存のsyslogとその設定を変更したりできます。

1.New Syslogをクリックしてテンプレートを開き、カスタム設定を行います。名前を入力し、有効トグルを使用してステータスをアクティベーションします。

2.テナントを選択します

3.イベントメッセージの形式を以下から1つ選択します。

•CEF (Common Event Format)

•LEEF (Log Event Extended Format) - IBMのアプリケーションQRadarで使用される形式。

•JSON (JavaScript Object Notation)

IP/ホスト名

Syslogサーバーへの接続の詳細を入力します。

ポート

Syslogサーバー接続の事前定義ポートは6514です。ポートが6514と異なる場合、ポート番号を6400-6600の範囲内で変更してsyslogサーバーポートと一致させることができます。

•転送プロトコル:TLS(信頼できる認証局が発行した有効なサーバーSSL/TLS証明書が必要)

•既定のTCPポート:6514

Syslogサーバー接続のセキュリティ要件により、受信側のsyslogサーバーには追加の要件があります。

•IPアドレス:グローバルにルーティング可能なIPv4アドレス

•IDN名:ASCII表現("xn--")を使用する必要があります

•FQDN単一の固定IPv4アドレスに変換する必要があります

テナントの選択

選択をクリックし、チェックボックスを使用してイベントを受信するテナントを選択します。

ログ検出

Syslogサーバーにエクスポートするログイベントを選択します。

検査ログのオプションフィールド

Syslogメッセージに含めるフィールドを選択します。

監査ログの送信

監査ログは、検査ログの一部として送信されます。さらに、テストログの送信を使用して、機能を確認できます。

追加のセキュリティ設定

Syslogサーバーのファイアウォール設定で、次のIPアドレスからの接続が許可されていることを確認します。

•USリージョンのESET Cloud Office Securityからの送信IPアドレス:40.83.165.184

•EUリージョンのESET Cloud Office Securityからの送信IPアドレス:51144165221

•CAリージョンのESET Cloud Office Securityからの送信IPアドレス:52.228.24.113

˄˅