Системные журналы
ESET Cloud Office Security позволяет экспортировать зарегистрированные в журнале события из раздела Обнаружения и отправлять их на сервер системного журнала. Вы можете экспортировать события для служб Exchange Online/Gmail, OneDrive/Google Диск, командных групп и SharePoint Online. При необходимости настройте несколько вариантов экспорта системного журнала. Например, можно сделать один системный журнал для каждого арендатора или любой комбинации арендаторов и событий. Вы можете активировать/деактивировать существующие варианты экспорта системного журнала путем их редактирования.
Чтобы добавить или изменить экспорт системного журнала, выполните следующие действия.
1.Щелкните Новый системный журнал, чтобы открыть шаблон и задать пользовательские настройки.
2.Введите имя и включите переключатель состояния.
3.Выберите арендаторов, щелкнув Выбрать и отметив нужных арендаторов.
4.Выберите один из следующих форматов для сообщений о событиях:
•CEF (Common Event Format — общий формат событий).
•LEEF (Log Event Extended Format — расширенный формат событий журнала) — формат, используемый приложением QRadar от IBM.
•JSON (JavaScript Object Notation — нотация объектов JavaScript).
•Формат ECS (Elastic Common Schema) версии 8.17
IP-адрес/имя хоста
Введите IP-адрес/имя хоста и данные для подключения к серверу системного журнала.
Порт
Предварительно заданный порт для подключения к серверу системного журнала — 6514. Вы можете задать для номера порта значение в диапазоне 6400–6600, чтобы оно соответствовало порту вашего сервера системного журнала, если он отличается от 6514.
•Транспортный протокол: TLS (требуется действительный сертификат сервера SSL/TLS, выданный доверенным центром сертификации).
•TCP-порт по умолчанию: 6514
В связи с требованиями безопасности, которые предъявляются к соединению с сервером системного журнала, на принимающем сервере системного журнала предусмотрены дополнительные требования:
•IP-адрес: глобально маршрутизируемый IPv4-адрес.
•IDN-имена: необходимо использовать ASCII-представление («xn--»).
•FQDN необходимо преобразование в один фиксированный IPv4-адрес.
Завершить журнал символом новой строки
Включите эту опцию, чтобы добавлять символ новой строки (\n) в конце каждого сообщения системного журнала для правильного ведения журнала в Logstash, когда TCP-соединение остается открытым. В противном случае данные в журналах будут записываться в одну строку.
Журнал обнаружений
Выберите события журнала, которые нужно экспортировать на сервер системного журнала.
Необязательные поля для журналов сканирования
Выберите поля, которые нужно добавить в сообщения системного журнала.
Отправлять журналы аудита
Журналы аудита будут отправляться как часть журналов сканирования. Кроме того, с помощью функции Отправить тестовый журнал можно проверить работоспособность.
Использовать настраиваемый сертификат
Чтобы включить проверку сертификата для соединения между сервером системного журнала и ESET Cloud Office Security. После включения проверки появится новое текстовое поле, в котором можно скопировать и вставить нужную цепочку сертификатов. Сертификат сервера должен соответствовать следующим требованиям:
•вся цепочка сертификатов в формате PEM передается и сохраняется в конфигурации экспорта системного журнала (сюда входит и корневой ЦС, поскольку нет встроенных доверенных сертификатов);
•сертификат сервера системного журнала предоставляет расширение альтернативного имени субъекта (SAN) (DNS=/IP=), в котором как минимум одна запись соответствует настроенному полному доменному имени (FQDN) или IP-адресу.
Дополнительные настройки безопасности
Настройки файервола на сервере системного журнала должны разрешать подключение со следующих IP-адресов:
•Исходящий IP-адрес ESET Cloud Office Security в регионе США: 40.83.165.184
•Исходящий IP-адрес ESET Cloud Office Security в регионе ЕС: 51144165221
•Исходящий IP-адрес ESET Cloud Office Security в регионе Германии: 4.184.182.90
•Исходящий IP-адрес ESET Cloud Office Security в регионе Канады: 52.228.24.113