ESET Cloud Office Security – Inhoudsopgave

Syslogs

URL van huidige artikel kopiëren Delen via e-mail

Dit artikel (PDF) Volledige documentatie (PDF)

ESET Cloud Office Security kan geregistreerde gebeurtenissen exporteren die worden vermeld in Detecties en deze naar uw syslog-server verzenden. U kunt gebeurtenissen exporteren voor Exchange Online/Gmail, OneDrive/Google Drive, Teamgroepen en SharePoint Online. Stel indien nodig meerdere syslog-exporten in. U kunt bijvoorbeeld één syslog hebben voor elke tenant of een combinatie van tenants en gebeurtenissen. U kunt bestaande syslog-exporten activeren/deactiveren door ze te bewerken.

Als u een syslog-export wilt toevoegen of wijzigen, volgt u deze stappen:

1.Klik op Nieuw Syslog om een sjabloon te openen en aangepaste instellingen te configureren.

2.Typ een Naam en activeer de statusschakelaar.

3.Als u tenants wilt selecteren, klikt u op Selecteer en vinkt u de gewenste tenants aan.

4.Selecteer een van de volgende indelingen voor gebeurtenisberichten:

•CEF (Common Event Format)

•LEEF (Log Event Extended Format): indeling die wordt gebruikt door de QRadar-toepassing van IBM.

•JSON (JavaScript Object Notation)

•ECS (Elastic Common Schema) - v8.17-indeling

IP/Hostnaam

Voer IP/hostnaam en verbindingsgegevens in voor uw syslog-server.

Poort

De vooraf gedefinieerde poort voor de syslog-serververbinding is 6514. U kunt het poortnummer wijzigen binnen het bereik van 6400-6600 zodat het overeenkomt met de poort van uw syslog-server als deze niet 6514 is.

•Transportprotocol: TLS (vereist een geldig SSL/TLS-certificaat van de server dat is uitgegeven door een vertrouwde certificeringsinstantie)

•Standaard TCP-poort: 6514

Vanwege de beveiligingsvereisten voor de verbinding met de syslog-server gelden er aanvullende vereisten voor de ontvangende syslog-server:

•IP-adres: Wereldwijd routeerbaar IPv4-adres

•IDN-namen: Moet ASCII-weergave ('xn--') gebruiken

•FQDN: Moet worden vertaald naar één vast IPv4-adres

Het logboek beëindigen met een teken voor een nieuwe regel

Schakel deze optie in om een teken voor een nieuwe regel (\n) toe te voegen aan het einde van elk syslog-bericht voor een correcte registratie in Logstash wanneer de TCP-verbinding open wordt gehouden. Anders worden logboeken op één regel geschreven.

Detecties van logboeken

Selecteer de logboekgebeurtenissen die u naar uw syslog-server wilt exporteren.

Optionele velden voor scanlogboeken

Selecteer de velden die u wilt opnemen in syslog-berichten.

Controlelogboeken verzenden

Controlelogboeken worden verzonden als onderdeel van de scanlogboeken. Daarnaast kunt u Testlogboek verzenden gebruiken om de functionaliteit te waarborgen.

Een aangepast certificaat gebruiken

Certificaatvalidatie inschakelen voor de verbinding tussen uw Syslog-server en ESET Cloud Office Security. Wanneer de validatie is ingeschakeld, wordt er een nieuw tekstveld weergegeven waarin u de vereiste certificaatketen kunt kopiëren en plakken. Het servercertificaat moet aan de volgende eisen voldoen:

•De hele certificaatketen in PEM-indeling is geüpload en opgeslagen in de Syslog-exportconfiguratie (dit geldt ook voor de hoofd-CA, omdat er geen ingebouwde vertrouwde certificaten zijn)

•Het certificaat van uw Syslog-server bevat een Subject Alternative Name ()SAN) extensie (DNS=/IP=), met ten minste één record die overeenkomt met de volledig gekwalificeerde domeinnaam (FQDN), of een geconfigureerd IP-adres.

Aanvullende beveiligingsinstellingen

Controleer of de firewallinstellingen van uw syslog-server verbinding vanaf de volgende IP-adressen toelaten:

•Uitgaand IP-adres uit ESET Cloud Office Security de regio VS: 40.83.165.184

•Uitgaand IP-adres uit ESET Cloud Office Security de regio EU: 51144165221

•Uitgaand IP-adres uit ESET Cloud Office Security de regio DE: 4.184.182.90

•Uitgaand IP-adres uit ESET Cloud Office Security de regio CA: 52.228.24.113

˄˅