Syslog'lar
ESET Cloud Office Security, Tespitler'de listelenen günlüğe kaydedilen olayları dışarı aktarabilir ve bunları syslog sunucunuza gönderebilir. Exchange Online/Gmail, OneDrive/Google Drive, Ekip grupları ve SharePoint Online için etkinlikleri dışa aktarabilirsiniz. Gerekirse birden çok syslog dışa aktarımı ayarlayın; örneğin, her kiracı için bir syslog'a veya kiracıların ve olayların herhangi bir birleşimine sahip olabilirsiniz. Mevcut syslog dışa aktarımlarını düzenleyerek etkinleştirebilir/devre dışı bırakabilirsiniz.
Bir syslog dışa aktarım işlemi eklemek veya değiştirmek için şu adımları izleyin:
1.Bir şablon açmak ve özel ayarlar yapmak için Yeni Syslog'u tıklayın.
2.Bir Ad yazın ve durum açma/kapama düğmesini etkinleştirin.
3.Kiracıları seçmek için Seç seçeneğini tıklayarak istediğiniz kiracıları işaretleyin.
4.Etkinlik mesajları için aşağıdaki biçimlerden birini seçin:
•CEF (Ortak Etkinlik Formatı)
•LEEF (Günlük Olayı Genişletilmiş Formatı) - IBM'in QRadar uygulaması tarafından kullanılan biçim.
•JSON (JavaScript Nesne Gösterimi)
•ECS (Elastic Common Schema) - v8.17 biçimi
IP/Ana Bilgisayar Adı
IP/Ana bilgisayar adını ve syslog sunucunuzun bağlantı detaylarını girin.
Bağlantı noktası
Syslog sunucu bağlantısı için önceden tanımlanmış bağlantı noktası 6514'tür. 6400-6600 aralığındaki bağlantı noktası numarasını, 6514'ten farklıysa syslog sunucu bağlantı noktanızla eşleşecek şekilde değiştirebilirsiniz.
•Aktarım protokolü: TLS (güvenilir bir Sertifika Yetkilisi tarafından verilen geçerli bir sunucu SSL/TLS sertifikası gerektirir)
•Varsayılan TCP bağlantı noktası: 6514
Syslog sunucusu bağlantısı için güvenlik gereksinimleri nedeniyle, alıcı syslog sunucusunda ek gereksinimler vardır:
•IP adresi: Genel olarak yönlendirilebilir IPv4 adresi
•IDN adları: ASCII gösterimi kullanılmalıdır ("xn--")
•FQDN Tek bir sabit IPv4 adresine çevrilmelidir
Günlüğü yeni satır karakteriyle sonlandır
TCP bağlantısı açık tutulduğunda Logstash'te doğru bir şekilde giriş yapabilmek için her syslog mesajının sonuna yeni bir satır karakteri (\n) eklemek üzere bu seçeneği etkinleştirin. Aksi takdirde, günlükler tek bir satıra yazılır.
Günlük tespitleri
Syslog sunucunuza aktarmak istediğiniz günlük olaylarını seçin.
Tarama günlükleri için isteğe bağlı alanlar
Syslog mesajlarına dahil etmek istediğiniz alanları seçin.
Denetleme günlüklerini gönder
Denetleme günlükleri, tarama günlüklerinin bir parçası olarak gönderilir. Ek olarak, işlevselliği sağlamak için Test günlüğü gönder seçeneğini kullanabilirsiniz.
Özel sertifika kullan
Syslog sunucunuzla ESET Cloud Office Security arasındaki bağlantı için sertifika doğrulamasını etkinleştirmek üzere. Doğrulama etkinleştirildikten sonra, gerekli sertifika zincirini kopyalayıp yapıştırabileceğiniz yeni bir metin alanı gösterilir. Sunucu sertifikası aşağıdaki gereksinimleri karşılamalıdır:
•Tüm sertifika zinciri PEM formatında yüklenir ve Syslog dışa aktarma yapılandırmasında kaydedilir (bu, yerleşik güvenilir sertifikalar olmadığı için kök CA'yı içerir)
•Syslog sunucunuzun sertifikası, tam nitelikli etki alanı adı (FQDN) veya yapılandırılmış IP adresiyle eşleşen en az bir kayıt içeren bir Özne Alternatif Adı (SAN) uzantısı (DNS=/IP=) sağlar.
Ek güvenlik ayarları
Syslog sunucusu güvenlik duvarı ayarlarınızın aşağıdaki IP adreslerinden bağlantıya izin verdiğinden emin olun:
•ABD bölgesinde ESET Cloud Office Security uygulamasından giden IP adresi: 40.83.165.184
•AB bölgesinde ESET Cloud Office Security uygulamasından giden IP adresi: 51144165221
•Almanya bölgesinde ESET Cloud Office Security uygulamasından giden IP adresi: 4.184.182.90
•Kanada bölgesinde ESET Cloud Office Security uygulamasından giden IP adresi: 52.228.24.113