Syslog

ESET Cloud Office Securityは、検出にリストされている記録されたイベントをエクスポートし、syslogサーバーに送信できます。Exchange Online/Gmail、OneDrive/Google Drive、グループ、SharePoint Onlineのイベントをエクスポートできます。必要に応じて、複数のsyslogエクスポートを設定します。たとえば、テナントごとに1つのsyslogを持つことも、テナントとイベントの任意の組み合わせを持つこともできます。既存のsyslogエクスポートを編集することで、それらをアクティベーション/アクティベーション解除することができます。

syslogのエクスポートを追加または変更するには、以下の手順に従ってください:

1.New Syslogをクリックしてテンプレートを開き、カスタム設定を行います。

2.名前を入力してステータストグルを有効にしてください。

3.「選択」をクリックし、希望するテナントを選択してテナントを選択してください。

4.イベントメッセージの形式を以下から1つ選択します。

•CEF (Common Event Format)

•LEEF (Log Event Extended Format) - IBMのアプリケーションQRadarで使用される形式。

•JSON (JavaScript Object Notation)

•ECS (Elastic Common Schema) - v8.17形式

IP/ホスト名

syslogサーバーのIP/ホスト名と接続情報を入力します。

ポート

Syslogサーバー接続の事前定義ポートは6514です。ポートが6514と異なる場合、ポート番号を6400-6600の範囲内で変更してsyslogサーバーポートと一致させることができます。

•転送プロトコル:TLS(信頼できる認証局が発行した有効なサーバーSSL/TLS証明書が必要)

•既定のTCPポート:6514

Syslogサーバー接続のセキュリティ要件により、受信側のsyslogサーバーには追加の要件があります。

•IPアドレス:グローバルにルーティング可能なIPv4アドレス

•IDN名:ASCII表現("xn--")を使用する必要があります

•FQDN単一の固定IPv4アドレスに変換する必要があります

改行文字でログを終了

このオプションを有効にすると、TCP接続が開いたままになっているときにLogstashで適切にログを記録するために、各syslogメッセージの末尾に改行文字(\n)が追加されます。そうでなければ、ログは一行にまとめて書き込まれます。

ログ検出

Syslogサーバーにエクスポートするログイベントを選択します。

検査ログのオプションフィールド

Syslogメッセージに含めるフィールドを選択します。

監査ログの送信

監査ログは、検査ログの一部として送信されます。さらに、テストログの送信を使用して、機能を確認できます。

ユーザーが信頼した証明書

Syslogサーバーとの間の接続の証明書検証を有効にするためにESET Cloud Office Security。検証を有効にすると、必要な証明書チェーンをコピー&ペーストできる新しいテキストフィールドが表示されます。サーバー証明書は以下の要件を満たす必要があります:

•PEM形式の証明書チェーン全体はアップロードされ、Syslogエクスポート設定に保存されます(rootCAも含み、内蔵の信頼証明書はありません)

•あなたのSyslogサーバーの証明書は、Subject Alternative Name ()SAN extension (DNS=/IP=)を提供しており、設定された完全限定ドメイン名(FQDN)またはIPアドレスに対応する少なくとも1つのレコードが記載されています。

追加のセキュリティ設定

Syslogサーバーのファイアウォール設定で、次のIPアドレスからの接続が許可されていることを確認します。

•USリージョンのESET Cloud Office Securityからの送信IPアドレス:40.83.165.184

•EUリージョンのESET Cloud Office Securityからの送信IPアドレス:51144165221

•DEリージョンのESET Cloud Office Securityからの送信IPアドレス:4.184.182.90

•CAリージョンのESET Cloud Office Securityからの送信IPアドレス:52.228.24.113

˄˅