SysLog 내보내기

ESET Cloud Office Security은(는) 탐지에 나열된 로깅된 이벤트를 내보내고 Syslog 서버로 보낼 수 있습니다. Exchange Online/Gmail, OneDrive/Google Drive, 팀 그룹 및 SharePoint Online 이벤트를 내보낼 수 있습니다. 필요한 경우 여러 SysLog 내보내기를 설정합니다. 예를 들어, 테넌트마다 SysLog를 하나씩 설정하거나 원하는 테넌트와 이벤트의 조합을 사용할 수 있습니다. 기존 Syslog 내보내기를 편집하여 활성화/비활성화할 수 있습니다.

새 Syslog를 추가하거나 기존 Syslog 및 해당 설정을 수정할 수 있습니다.

1.Syslog 추가를 클릭하여 템플릿을 열고 사용자 지정 설정을 지정합니다. 보고서 이름을 입력합니다.

2.활성화된 Syslog를 클릭합니다.

3.이벤트 메시지에 대해 다음 형식 중 하나를 선택합니다.

•CEF(일반 이벤트 형식)

•LEEF(로그 이벤트 확장 형식) - IBM의 애플리케이션 QRadar에서 사용하는 형식입니다.

•JSON(JavaScript 객체 표기법)

IP/호스트 이름

Syslog 서버에 대한 연결 상세 정보를 입력합니다.

포트

Syslog 서버 연결을 위해 미리 정의된 포트는 6514입니다. Syslog 서버 포트가 6514와 다른 경우, 이와 일치하도록 6400~6600 범위 내에서 포트 번호를 변경할 수 있습니다.

•전송 프로토콜: TLS(신뢰할 수 있는 인증 기관에서 발급한 유효한 서버 SSL/TLS 인증서 필요)

•기본 TCP 포트: 6514

Syslog 서버 연결에 대한 보안 요구 사항으로 인해 수신 Syslog 서버에는 다음과 같은 추가 요구 사항이 적용됩니다.

•IP 주소: 전역적으로 라우팅 가능한 IPv4 주소

•IDN 이름: ASCII 표현("xn--")을 사용해야 함

•FQDN 단일 고정 IPv4 주소로 변환해야 함

테넌트 선택

선택을 클릭하고 확인란을 사용하여 이벤트를 수신할 테넌트를 선택합니다.

로그 탐지

Syslog 서버로 내보낼 로그 이벤트를 선택합니다.

감사 로그 전송

감사 로그는 검사 로그의 일부로 전송됩니다. 또한 테스트 로그 보내기를 사용하여 기능이 작동하도록 할 수 있습니다.

추가 보안 설정

Syslog 서버 방화벽 설정이 다음 IP 주소로부터의 연결을 허용하는지 확인합니다.

•미국 지역의 ESET Cloud Office Security에서 발신된 IP 주소: 40.83.165.184

•EU 지역의 ESET Cloud Office Security에서 발신된 IP 주소: 51144165221

•캐나다 지역의 ESET Cloud Office Security에서 발신된 IP 주소: 52.228.24.113

˄˅