Syslog'lar
ESET Cloud Office Security, Tespitler'de listelenen günlüğe kaydedilen olayları dışarı aktarabilir ve bunları syslog sunucunuza gönderebilir. Exchange Online/Gmail, OneDrive/Google Drive, Ekip grupları ve SharePoint Online için etkinlikleri dışa aktarabilirsiniz. Gerekirse birden çok syslog dışa aktarımı ayarlayın; örneğin, her kiracı için bir syslog'a veya kiracıların ve olayların herhangi bir birleşimine sahip olabilirsiniz. Mevcut syslog dışa aktarımlarını düzenleyerek etkinleştirebilir/devre dışı bırakabilirsiniz.
Bir syslog dışa aktarma eklemek veya değiştirmek için şu adımları izleyin:
1.Bir şablon açmak ve özel ayarlar yapmak için Yeni Syslog'u tıklayın.
2.Bir İsim yazın ve durum anahtarını etkinleştirin.
3.Kiracıları seç ve Seç seçeneğine tıklayarak istediğiniz kiracıları kontrol edin.
4.Etkinlik mesajları için aşağıdaki biçimlerden birini seçin:
•CEF (Ortak Etkinlik Formatı)
•LEEF (Günlük Olayı Genişletilmiş Formatı) - IBM'in QRadar uygulaması tarafından kullanılan biçim.
•JSON (JavaScript Nesne Gösterimi)
•ECS (Elastic Common Schema) - v8.17 biçimi
IP/Ana Bilgisayar Adı
IP/Host adını ve syslog sunucunuzun bağlantı detaylarını girin.
Bağlantı noktası
Syslog sunucu bağlantısı için önceden tanımlanmış bağlantı noktası 6514'tür. 6400-6600 aralığındaki bağlantı noktası numarasını, 6514'ten farklıysa syslog sunucu bağlantı noktanızla eşleşecek şekilde değiştirebilirsiniz.
•Aktarım protokolü: TLS (güvenilir bir Sertifika Yetkilisi tarafından verilen geçerli bir sunucu SSL/TLS sertifikası gerektirir)
•Varsayılan TCP bağlantı noktası: 6514
Syslog sunucusu bağlantısı için güvenlik gereksinimleri nedeniyle, alıcı syslog sunucusunda ek gereksinimler vardır:
•IP adresi: Genel olarak yönlendirilebilir IPv4 adresi
•IDN adları: ASCII gösterimi kullanılmalıdır ("xn--")
•FQDN Tek bir sabit IPv4 adresine çevrilmelidir
Günlüğü yeni satır karakteriyle sonlandır
TCP bağlantısı açık tutulduğunda Logstash'te doğru bir şekilde giriş yapabilmek için her syslog mesajının sonuna yeni bir satır karakteri (\n) eklemek üzere bu seçeneği etkinleştirin. Aksi takdirde, günlükler tek bir satırda yazılır.
Günlük tespitleri
Syslog sunucunuza aktarmak istediğiniz günlük olaylarını seçin.
Tarama günlükleri için isteğe bağlı alanlar
Syslog mesajlarına dahil etmek istediğiniz alanları seçin.
Denetleme günlüklerini gönder
Denetleme günlükleri, tarama günlüklerinin bir parçası olarak gönderilir. Ek olarak, işlevselliği sağlamak için Test günlüğü gönder seçeneğini kullanabilirsiniz.
Özel sertifika
Syslog sunucunuzla arasındaki bağlantı için sertifika doğrulamasını ESET Cloud Office Securityetkinleştirmek için. Doğrulama etkinleştirildikten sonra, gerekli sertifika zincirini kopyalayıp yapıştırabileceğiniz yeni bir metin alanı gösterilecek. Sunucu sertifikası aşağıdaki gereksinimleri karşılamalıdır:
•Tüm sertifika zinciri PEM formatında yüklenir ve Syslog export yapılandırmasında kaydedilir (bu, yerleşik güvenilir sertifikalar olmadığı için root CA da dahildir)
•Syslog sunucunuzun sertifikası, tam nitelikli alan adı (FQDN) veya yapılandırılmış IP adresine en az bir kayıt içeren bir Özne Alternatif Adı ()SAN) uzantısı (DNS=/IP=) sağlar.
Ek güvenlik ayarları
Syslog sunucusu güvenlik duvarı ayarlarınızın aşağıdaki IP adreslerinden bağlantıya izin verdiğinden emin olun:
•ABD bölgesinde ESET Cloud Office Security uygulamasından giden IP adresi: 40.83.165.184
•AB bölgesinde ESET Cloud Office Security uygulamasından giden IP adresi: 51144165221
•Almanya bölgesinde ESET Cloud Office Security uygulamasından giden IP adresi: 4.184.182.90
•Kanada bölgesinde ESET Cloud Office Security uygulamasından giden IP adresi: 52.228.24.113