Syslog-uri
ESET Cloud Office Security poate exporta evenimente înregistrate listate în Detectări și le poate trimite către serverul dvs. syslog. Puteți exporta evenimente pentru Exchange Online/Gmail, OneDrive/Google Drive, grupuri de echipă și SharePoint Online. Configurați mai multe exporturi syslog, dacă este necesar; de exemplu, puteți avea un syslog pentru fiecare entitate găzduită sau orice combinație de entități găzduite și evenimente. Puteți activa/dezactiva exporturi syslog existente editându-le.
Pentru a adăuga sau a modifica un export syslog, urmați acești pași:
1.Faceți clic pe Syslog nou pentru a deschide un șablon și a seta setări personalizate.
2.Tastați un nume și activați comutatorul pentru stare.
3.Selectați entități găzduite făcând clic pe Selectare și bifând entitățile găzduite dorite.
4.Selectați unul dintre următoarele formate pentru mesajele de eveniment:
•CEF (format comun eveniment)
•LEEF (format extins eveniment jurnal) - format utilizat de aplicația IBM QRadar.
•JSON (Notație obiect JavaScript)
•ECS (Elastic Common Schema) - format v8.17
IP/Nume gazdă
Introduceți IP-ul/numele gazdei și detaliile de conectare pentru serverul dvs. syslog.
Port
Portul predefinit pentru conexiunea serverului syslog este 6514. Puteți modifica numărul portului în intervalul 6400-6600 pentru a se potrivi cu portul serverului dvs. syslog, dacă acesta diferă de 6514.
•Protocol de transport: TLS (necesită un certificat de server SSL/TLS valid, emis de o autoritate de certificare de încredere)
•Port TCP implicit: 6514
Din cauza cerințelor de securitate pentru conexiunea la serverul syslog, există cerințe suplimentare pe serverul syslog care primește datele:
•Adresă IP: Adresă IPv4 rutabilă la nivel global
•Nume IDN: Trebuie să utilizeze reprezentarea ASCII („xn--”)
•FQDN: Trebuie să se traducă într-o singură adresă IPv4 fixă
Terminați jurnalul cu un caracter de linie nouă
Activați această opțiune pentru a adăuga un caracter de linie nouă (\n) la sfârșitul fiecărui mesaj syslog, pentru o înregistrare corectă în Logstash atunci când conexiunea TCP este păstrată deschisă. În caz contrar, jurnalele vor fi scrise pe o singură linie.
Detectări jurnal
Selectați evenimentele de jurnal pe care doriți să le exportați către serverul dvs. syslog.
Câmpuri opționale pentru jurnalele de scanare
Selectați câmpurile pe care doriți să le includeți în mesajele syslog.
Trimitere jurnale de audit
Jurnalele de audit vor fi trimise ca parte a jurnalelor de scanare. În plus, puteți utiliza opțiunea Trimitere jurnal de testare pentru a asigura funcționalitatea.
Folosiți un certificat personalizat
Pentru a permite validarea certificatului pentru conexiunea dintre serverul dvs. Syslog și ESET Cloud Office Security. După activarea validării, se va afișa un nou câmp text unde puteți copia și lipi lanțul de certificate necesar. Certificatul serverului trebuie să îndeplinească următoarele cerințe:
•Întregul lanț de certificate în format PEM este încărcat și salvat în configurația pentru exportul Syslog (aceasta include și CA rădăcină, deoarece nu există certificate de încredere încorporate)
•Certificatul serverului dvs. Syslog oferă o extensie Subject Alternative Name ()SAN) (DNS=/IP=), cu cel puțin o înregistrare corespunzătoare numelui de domeniu complet calificat (FQDN) sau adresei IP configurate.
Setări suplimentare de securitate
Asigurați-vă că setările firewallului serverului syslog permit conexiunea de la următoarele adrese IP:
•Adresa IP de ieșire din ESET Cloud Office Security în regiunea SUA: 40.83.165.184
•Adresa IP de ieșire din ESET Cloud Office Security în regiunea UE: 51144165221
•Adresa IP de ieșire din ESET Cloud Office Security în regiunea DE: 4.184.182.90
•Adresa IP de ieșire din ESET Cloud Office Security în regiunea CA: 52.228.24.113