Syslogs

Copiar URL do artigo atual Compartilhar por e-mail

Este artigo (PDF) Documentação completa (PDF)

O ESET Cloud Office Security pode exportar eventos registrados listados em Detecções e enviá-los para o servidor syslog. Você pode exportar eventos para o Exchange Online/Gmail, OneDrive/Google Drive, Grupos de equipes e SharePoint Online. Configure várias exportações do syslog, se necessário; por exemplo, você pode ter um syslog para cada locatário ou qualquer combinação de locatários e eventos. Você pode ativar/desativar as exportações existentes do syslog editando-as.

Para adicionar ou modificar uma exportação de syslog, siga estes passos:

1.Clique em Novo Syslog para abrir um modelo e definir configurações personalizadas.

2.Digite um Nome e ative a opção de alternar status.

3.Selecione os inquilinos clicando em Selecionar e marcando os inquilinos desejados.

4.Selecione um dos seguintes formatos para mensagens de eventos:

•CEF (Formato de Evento Comum)

•LEEF (Formato Estendido de Evento de Registro) - formato utilizado pelo aplicativo QRadar, da IBM.

•JSON (Notação de objeto JavaScript)

•ECS (Elastic Common Schema) – formato v8.17

IP/Nome do host

Insira o IP/Nome do Host e os detalhes da conexão do seu servidor syslog.

Porta

A porta predefinida para a conexão do servidor syslog é 6514. Você pode alterar o número da porta dentro do intervalo de 6400-6600 de acordo com a porta do seu servidor syslog se ela for diferente de 6514.

•Protocolo de transporte: TLS (requer um certificado SSL/TLS de servidor válido emitido por uma Autoridade de Certificação confiável)

•Porta TCP padrão: 6514

Devido aos requisitos de segurança para conexão do servidor syslog, há requisitos adicionais no servidor syslog receptor:

•Endereço IP: Endereço IPv4 globalmente roteável

•Nomes IDN: Deve usar a representação ASCII ("xn--")

•FQDN Deve ser convertido para um único endereço IPv4 fixo

Encerrar o relatório com caractere de nova linha

Ative esta opção para adicionar um caractere de nova linha (\n) no final de cada mensagem de syslog para registro adequado no Logstash quando a conexão TCP for mantida aberta. Caso contrário, os logs serão escritos em uma única linha.

Detecções do relatório

Selecione os eventos do relatório que deseja exportar para o servidor syslog.

Campos opcionais para logs de verificação

Selecione os campos que deseja incluir nas mensagens de syslog.

Enviar relatórios de auditoria

Os Relatórios de auditoria serão enviados como parte dos Relatórios do escaneamento. Além disso, você pode usar o Enviar relatório de teste para garantir a funcionalidade.

Certificado personalizado

Para habilitar a validação de certificados para a conexão entre seu servidor Syslog e ESET Cloud Office Security. Após ativar a validação, um novo campo de texto será exibido onde você pode copiar e colar a cadeia de certificados necessária. O certificado do servidor deve atender aos seguintes requisitos:

•Toda a cadeia de certificados no formato PEM é carregada e salva na configuração de exportação do Syslog (isso inclui a CA raiz, já que não há certificados confiáveis embutidos)

•O certificado do seu servidor Syslog fornece uma extensão de Nome Alternativo de Sujeito ()SAN) (DNS=/IP=), com pelo menos um registro correspondente ao nome de domínio totalmente qualificado (FQDN) ou endereço IP configurado.

Configurações de segurança adicionais

Verifique se as configurações de firewall do servidor syslog permitem a conexão a partir dos seguintes endereços IP:

•Endereço IP de saída do ESET Cloud Office Security na região dos EUA: 40.83.165.184

•Endereço IP de saída do ESET Cloud Office Security região da UE: 51144165221

•Endereço IP de saída do ESET Cloud Office Security da região DE: 4.184.182.90

•Endereço IP de saída do ESET Cloud Office Security da região CA: 52.228.24.113

˄˅