Syslog

ESET Cloud Office Security은(는) 탐지에 나열된 로깅된 이벤트를 내보내고 Syslog 서버로 보낼 수 있습니다. Exchange Online/Gmail, OneDrive/Google Drive, 팀 그룹 및 SharePoint Online 이벤트를 내보낼 수 있습니다. 필요한 경우 여러 syslog 내보내기를 설정합니다. 예를 들어, 테넌트마다 syslog를 하나씩 설정하거나 원하는 테넌트와 이벤트의 조합을 사용할 수 있습니다. 기존 syslog 내보내기를 편집하여 활성화/비활성화할 수 있습니다.

syslog 내보내기를 추가하거나 수정하려면 다음 단계를 따르십시오.

1.새 Syslog를 클릭하여 템플릿을 열고 사용자 지정 설정을 지정합니다.

2.이름을 입력하고 상태 토글을 활성화합니다.

3.선택을 클릭하고 원하는 테넌트 옆의 확인란을 클릭하여 테넌트를 선택합니다.

4.이벤트 메시지에 대해 다음 형식 중 하나를 선택합니다.

•CEF(일반 이벤트 형식)

•LEEF(로그 이벤트 확장 형식) - IBM의 애플리케이션 QRadar에서 사용하는 형식입니다.

•JSON(JavaScript 객체 표기법)

•ECS(Elastic Common Schema) - v8.17 형식

IP/호스트 이름

syslog 서버의 IP 주소/호스트 이름과 연결 상세 정보를 입력합니다.

포트

Syslog 서버 연결을 위해 미리 정의된 포트는 6514입니다. Syslog 서버 포트가 6514와 다른 경우, 이와 일치하도록 6400~6600 범위 내에서 포트 번호를 변경할 수 있습니다.

•전송 프로토콜: TLS(신뢰할 수 있는 인증 기관에서 발급한 유효한 서버 SSL/TLS 인증서 필요)

•기본 TCP 포트: 6514

Syslog 서버 연결에 대한 보안 요구 사항으로 인해 수신 syslog 서버에는 다음과 같은 추가 요구 사항이 적용됩니다.

•IP 주소: 전역적으로 라우팅 가능한 IPv4 주소

•IDN 이름: ASCII 표현("xn--")을 사용해야 함

•FQDN 단일 고정 IPv4 주소로 변환해야 함

줄 바꿈 문자로 로그 종료

TCP 연결이 열린 상태로 유지될 때 Logstash에서 올바르게 로깅되도록 각 syslog 메시지의 끝에 줄 바꿈 문자(\n)를 추가하려면 이 옵션을 활성화합니다. 그러지 않으면 로그가 한 줄로 기록됩니다.

로그 탐지

Syslog 서버로 내보낼 로그 이벤트를 선택합니다.

검사 로그에 대한 옵션 필드

Syslog 메시지에 포함할 필드를 선택합니다.

감사 로그 전송

감사 로그는 검사 로그의 일부로 전송됩니다. 또한 테스트 로그 보내기를 사용하여 기능이 작동하도록 할 수 있습니다.

사용자 지정 인증서 사용

Syslog 서버와 ESET Cloud Office Security 간의 연결에 대한 인증서 유효성 검사를 활성화합니다. 유효성 검사를 활성화하면 새 텍스트 필드가 표시되며, 여기에 필요한 인증서 체인을 복사하여 붙여넣을 수 있습니다. 서버 인증서는 다음 요구 사항을 충족해야 합니다.

•PEM 형식의 전체 인증서 체인이 업로드되어 Syslog 내보내기 구성에 저장됩니다(내장된 신뢰할 수 있는 인증서가 없으므로 루트 CA가 포함됨).

•Syslog 서버의 인증서는 구성된 정규화된 도메인 이름(FQDN) 또는 IP 주소에 해당하는 레코드가 하나 이상 포함된 주체 대체 이름(SAN) 확장(DNS=/IP=)을 제공합니다.

추가 보안 설정

Syslog 서버 방화벽 설정이 다음 IP 주소로부터의 연결을 허용하는지 확인합니다.

•미국 지역의 ESET Cloud Office Security에서 발신된 IP 주소: 40.83.165.184

•EU 지역의 ESET Cloud Office Security에서 발신된 IP 주소: 51144165221

•독일 지역의 ESET Cloud Office Security에서 발신된 IP 주소: 4.184.182.90

•캐나다 지역의 ESET Cloud Office Security에서 발신된 IP 주소: 52.228.24.113

˄˅