Dzienniki systemowe
ESET Cloud Office Security może eksportować zarejestrowane zdarzenia wymienione w sekcji Wykrycia i wysyłać je na serwer dziennika syslog. Możesz eksportować zdarzenia dotyczące Exchange Online / Gmail, OneDrive / Dysku Google, grup zespołu i usługi SharePoint Online. W razie potrzeby skonfiguruj wiele eksportów dzienników syslog; na przykład można mieć jeden dziennik syslog dla każdej dzierżawy lub dowolnej kombinacji dzierżaw i zdarzeń. Istniejące eksporty dzienników syslog można aktywować/dezaktywować, edytując je.
Aby dodać lub zmodyfikować eksport dziennika systemowego, postępuj zgodnie z następującymi krokami:
1.Kliknij Nowy dziennik systemowy, aby otworzyć szablon i wprowadzić ustawienia niestandardowe.
2.Wpisz nazwę i włącz przełącznik statusu.
3.Wybierz dzierżawy, klikając przycisk Wybierz i zaznaczając żądane dzierżawy.
4.Wybierz jeden z następujących formatów komunikatów o zdarzeniach:
•CEF (Common Event Format)
•LEEF (Log Event Extended Format) — format używany przez aplikację QRadar firmy IBM.
•JSON (JavaScript Object Notation)
•ECS (Elastic Common Schema) — format v8.17
IP / nazwa hosta
Wprowadź adres IP / nazwę hosta oraz dane połączenia z serwerem dziennika systemowego.
Port
Wstępnie zdefiniowany port połączenia z serwerem dzienników syslog to 6514. Numer portu można zmienić w zakresie od 6400 do 6600, aby był zgodny z portem serwera dzienników syslog, jeśli jest inny niż 6514.
•Protokół transportowy: TLS (wymaga ważnego certyfikatu SSL/TLS serwera wystawionego przez zaufany podmiot certyfikujący)
•Domyślny port TCP: 6514
Ze względu na wymagania dotyczące zabezpieczeń połączenia z serwerem dzienników syslog istnieją dodatkowe wymagania dotyczące odbierającego serwera dzienników syslog:
•Adres IP: Adres IPv4 z routingiem globalnym
•Nazwy IDN: Wymagane używanie reprezentacji ASCII („xn--”)
•NAZWA FQDN Wymagana translacja na jeden stały adres IPv4
Zakończ dziennik znakiem nowego wiersza
Włącz tę opcję, aby dodać znak nowego wiersza (\n) na końcu każdego komunikatu dziennika systemowego w celu poprawnego rejestrowania w usłudze Logstash, gdy połączenie TCP jest otwarte. W przeciwnym razie dzienniki będą zapisywane w jednym wierszu.
Wykrycia dzienników
Wybierz zdarzenia dzienników, które chcesz eksportować na serwer dzienników syslog.
Opcjonalne pola dla dzienników skanowania
Zaznacz pola, które chcesz uwzględnić w komunikatach dziennika systemowego.
Wyślij dzienniki audytu
Dzienniki audytu będą wysyłane jako część dzienników skanowania. Ponadto możesz użyć opcji Wyślij dziennik testowy, aby sprawdzić funkcjonalność.
Użyj certyfikatu niestandardowego
Aby umożliwić weryfikację certyfikatu połączenia między Twoim serwerem dziennika systemowego a ESET Cloud Office Security. Po włączeniu weryfikacji pojawi się nowe pole tekstowe, w którym będzie można skopiować i wkleić wymagany łańcuch certyfikatu. Certyfikat serwera musi spełniać następujące wymagania:
•Cały łańcuch certyfikatu w formacie PEM jest przesyłany i zapisywany w konfiguracji eksportu dziennika systemowego (obejmuje to główne CA, ponieważ nie ma wbudowanych zaufanych certyfikatów)
•Certyfikat serwera dziennika systemowego udostępnia rozszerzenie Subject Alternative Name (SAN) (DNS=/IP=), z co najmniej jednym rekordem odpowiadającym w pełni kwalifikowanej nazwie domeny (FQDN) lub skonfigurowanemu adresowi IP.
Dodatkowe ustawienia zabezpieczeń
Upewnij się, czy ustawienia zapory serwera dzienników syslog zezwalają na nawiązywanie połączeń z następujących adresów IP:
•Wychodzący adres IP z ESET Cloud Office Security w regionie USA: 40.83.165.184
•Wychodzący adres IP z ESET Cloud Office Security w regionie UE: 51144165221
•Wychodzący adres IP z ESET Cloud Office Security w regionie DE: 4.184.182.90
•Wychodzący adres IP z ESET Cloud Office Security w regionie CA: 52.228.24.113