Syslogy
ESET Cloud Office Security dokáže exportovať zaznamenané udalosti uvedené v časti Detekcie a odoslať ich na syslog server. Exportovať je možné udalosti týkajúce sa služieb Exchange Online/Gmail, OneDrive/Disk Google a SharePoint Online. V prípade potreby viete nastaviť aj viacero exportov syslogov. Môžete napríklad nastaviť jeden syslog pre každého nájomníka alebo akúkoľvek kombináciu nájomníkov a udalostí. Existujúce exporty syslogov môžete aktivovať/deaktivovať ich úpravou.
Ak chcete pridať alebo upraviť export syslogu, postupujte podľa nasledujúcich krokov:
1.Kliknutím na Nový syslog otvorte šablónu a nakonfigurujte vlastné nastavenia.
2.Zadajte názov a zapnite prepínač stavu.
3.Vyberte nájomcov kliknutím na tlačidlo Vybrať a začiarknutím požadovaných nájomcov.
4.Pre správy o udalostiach vyberte jeden z nasledujúcich formátov:
•CEF (Common Event Format)
•LEEF (Log Event Extended Format) – formát používaný aplikáciou IBM QRadar.
•JSON (JavaScript Object Notation)
•ECS (Elastic Common Schema) – formát v8.17
IP/názov hostiteľa
Zadajte IP/názov hostiteľa a podrobnosti o pripojení k vášmu serveru syslog.
Port
Preddefinovaný port na pripojenie k syslog serveru je 6514. Číslo portu môžete zmeniť v rozsahu 6400 – 6600 tak, aby zodpovedalo portu vášho syslog servera, ak je číslo portu iné ako 6514.
•Protokol prenosu: TLS (vyžaduje sa platný serverový SSL/TLS certifikát vydaný dôveryhodnou certifikačnou autoritou)
•Predvolený port TCP: 6514
Vzhľadom na bezpečnostné požiadavky na pripojenie k syslog serveru musí prijímací syslog server spĺňať ďalšie požiadavky:
•IP adresa: Globálne smerovateľná IPv4 adresa
•Názvy IDN: Musí používať znaky ASCII ("xn--")
•FQDN: Musí byť preložené na jednu pevnú IPv4 adresu
Ukončiť protokol znakom nového riadka
Zapnutím tejto možnosti pridáte na koniec každej správy syslogu znak nového riadka (\n), čím sa zaistí správne vytváranie protokolov v nástroji Logstash, keď pripojenie TCP zostáva otvorené. V opačnom prípade sa budú protokoly zapisovať do jedného riadka.
Protokol detekcií
Vyberte zaznamenané udalosti, ktoré chcete exportovať na syslog server.
Voliteľné polia pre protokoly kontroly
Vyberte polia, ktoré chcete zahrnúť do správ syslog.
Odosielať protokoly auditu
Protokoly auditu sa odošlú ako súčasť protokolov kontroly. Okrem toho môžete na overenie funkčnosti použiť možnosť Odoslať testovací protokol.
Použiť vlastný certifikát
Kliknutím na prepínacie tlačidlo zapnete overenie certifikátu pre pripojenie medzi syslog serverom a ESET Cloud Office Security. Po zapnutí overenia sa zobrazí nové textové pole, do ktorého môžete skopírovať a vložiť požadovaný certifikačný reťazec. Certifikát servera musí spĺňať nasledujúce požiadavky:
•Celý certifikačný reťazec vo formáte PEM je nahraný a uložený v konfigurácii exportu syslogov (vrátane koreňovej certifikačnej autority (CA) z dôvodu chýbajúcich vstavaných dôveryhodných certifikátov).
•Certifikát vášho servera Syslog poskytuje rozšírenie Subject Alternative Name ()SAN) (DNS=/IP=) s aspoň jedným záznamom zodpovedajúcim plne kvalifikovanému názvu domény (FQDN) alebo nakonfigurovanej adrese IP.
Ďalšie bezpečnostné nastavenia
Uistite sa, že nastavenia firewallu syslog servera umožňujú pripojenie z nasledujúcich IP adries:
•Odchádzajúca IP adresa z ESET Cloud Office Security v oblasti USA: 40.83.165.184
•Odchádzajúca IP adresa z ESET Cloud Office Security v oblasti EU: 51144165221
•Odchádzajúca IP adresa z ESET Cloud Office Security v oblasti DE: 4.184.182.90
•Odchádzajúca IP adresa z ESET Cloud Office Security v oblasti CA: 52.228.24.113