ESET Cloud Office Security – Inhoudsopgave

Syslogs

URL van huidige artikel kopiëren Delen via e-mail

Dit artikel (PDF) Volledige documentatie (PDF)

ESET Cloud Office Security kan geregistreerde gebeurtenissen exporteren die worden vermeld in Detecties en deze naar uw syslog-server verzenden. U kunt gebeurtenissen exporteren voor Exchange Online/Gmail, OneDrive/Google Drive, Teamgroepen en SharePoint Online. Stel indien nodig meerdere syslog-exporten in. U kunt bijvoorbeeld één syslog hebben voor elke tenant of een combinatie van tenants en gebeurtenissen. U kunt bestaande syslog-exporten activeren/deactiveren door ze te bewerken.

Om een syslog-export toe te voegen of te wijzigen, volg je deze stappen:

1.Klik op Nieuw Syslog om een sjabloon te openen en aangepaste instellingen te configureren.

2.Typ een Naam en schakel de statusschakelaar in.

3.Selecteer huurders door op Selecteer te klikken en de gewenste huurders aan te vinken.

4.Selecteer een van de volgende indelingen voor gebeurtenisberichten:

•CEF (Common Event Format)

•LEEF (Log Event Extended Format): indeling die wordt gebruikt door de QRadar-toepassing van IBM.

•JSON (JavaScript Object Notation)

•ECS (Elastic Common Schema) - v8.17-indeling

IP/Hostnaam

Voer het IP/hostnaam en de verbindingsgegevens in naar je syslog-server.

Poort

De vooraf gedefinieerde poort voor de syslog-serververbinding is 6514. U kunt het poortnummer wijzigen binnen het bereik van 6400-6600 zodat het overeenkomt met de poort van uw syslog-server als deze niet 6514 is.

•Transportprotocol: TLS (vereist een geldig SSL/TLS-certificaat van de server dat is uitgegeven door een vertrouwde certificeringsinstantie)

•Standaard TCP-poort: 6514

Vanwege de beveiligingsvereisten voor de verbinding met de syslog-server gelden er aanvullende vereisten voor de ontvangende syslog-server:

•IP-adres: Wereldwijd routeerbaar IPv4-adres

•IDN-namen: Moet ASCII-weergave ('xn--') gebruiken

•FQDN: Moet worden vertaald naar één vast IPv4-adres

Het logboek beëindigen met een teken voor een nieuwe regel

Schakel deze optie in om een teken voor een nieuwe regel (\n) toe te voegen aan het einde van elk syslog-bericht voor een correcte registratie in Logstash wanneer de TCP-verbinding open wordt gehouden. Anders worden logs in één regel geschreven.

Detecties van logboeken

Selecteer de logboekgebeurtenissen die u naar uw syslog-server wilt exporteren.

Optionele velden voor scanlogboeken

Selecteer de velden die u wilt opnemen in syslog-berichten.

Controlelogboeken verzenden

Controlelogboeken worden verzonden als onderdeel van de scanlogboeken. Daarnaast kunt u Testlogboek verzenden gebruiken om de functionaliteit te waarborgen.

Gebruik een aangepast certificaat

Om certificaatvalidatie in te schakelen voor de verbinding tussen je Syslog-server en ESET Cloud Office Security. Na het inschakelen van de validatie wordt er een nieuw tekstveld weergegeven waarin je de vereiste certificaatketen kunt kopiëren en plakken. Het servercertificaat moet aan de volgende eisen voldoen:

•De hele certificaatketen in PEM-formaat wordt geüpload en opgeslagen in de Syslog-exportconfiguratie (dit geldt ook voor de root-CA, omdat er geen ingebouwde vertrouwde certificaten zijn)

•Het certificaat van uw Syslog-server bevat een Subject Alternative Name ()SAN) extensie (DNS=/IP=), met ten minste één record dat overeenkomt met de volledig gekwalificeerde domeinnaam (FQDN) of IP-adres geconfigureerd.

Aanvullende beveiligingsinstellingen

Controleer of de firewallinstellingen van uw syslog-server verbinding vanaf de volgende IP-adressen toelaten:

•Uitgaand IP-adres uit ESET Cloud Office Security de regio VS: 40.83.165.184

•Uitgaand IP-adres uit ESET Cloud Office Security de regio EU: 51144165221

•Uitgaand IP-adres uit ESET Cloud Office Security de regio DE: 4.184.182.90

•Uitgaand IP-adres uit ESET Cloud Office Security de regio CA: 52.228.24.113

˄˅