Системні журнали
ESET Cloud Office Security може експортувати записані в журнал події, перелічені в розділі Виявлені об’єкти і надсилати їх на сервер syslog. Можна експортувати події для Exchange Online/Gmail, OneDrive/Google Диск, груп команди і SharePoint Online. За потреби налаштуйте кілька варіантів експорту syslog. Наприклад, можна мати один журнал syslog для кожного клієнта або будь-якої комбінації клієнтів і подій. Для активації/деактивації наявних варіантів експорту syslog унесіть у них відповідні зміни.
Щоб додати або змінити експорт системного журналу syslog, виконайте такі кроки:
1.Натисніть Новий системний журнал, щоб відкрити шаблон і налаштувати спеціальні параметри.
2.Введіть ім’я й увімкніть перемикач статусу.
3.Виберіть клієнтів, натиснувши Вибрати й поставивши прапорці біля бажаних клієнтів.
4.Виберіть один із наведених нижче форматів повідомлень про події:
•CEF (Common Event Format)
•LEEF (Log Event Extended Format): формат, що використовується програмою IBM QRadar.
•JSON (JavaScript Object Notation)
•ECS (Elastic Common Schema) — формат версії 8.17
IP-адреса/ім’я хоста
Введіть IP-адресу/ім’я хоста й дані підключення до сервера syslog.
Порт
Попередньо визначений порт для підключення до сервера syslog — 6514. Можна змінити номер порту в діапазоні 6400–6600, щоб він відповідав порту сервера syslog, якщо він відрізняється від 6514.
•Транспортний протокол: TLS (потрібен дійсний сертифікат SSL/TLS сервера, наданий довіреним центром сертифікації)
•Порт TCP за замовчуванням: 6514
У зв’язку з вимогами безпеки для підключення до сервера syslog існують додаткові вимоги до сервера syslog, який отримує події:
•IP-адреса: IPv4-адреса, яка доступна глобально
•Ім’я IDN: Має використовувати представлення ASCII ("xn--")
•FQDN Має перетворюватися на одну фіксовану IPv4-адресу
Завершити журнал символом нового рядка
Увімкніть цю опцію, щоб додавати символ нового рядка (\n) у кінці кожного повідомлення системного журналу для належного його ведення в Logstash, коли з’єднання TCP залишається відкритим. Інакше журнали будуть записані одним рядком.
Виявлені об’єкти журналу
Виберіть події журналу, які потрібно експортувати на сервер syslog.
Необов’язкові поля для журналів сканування
Виберіть поля, які потрібно включити в повідомлення системного журналу.
Надсилання журналів аудиту
Журнали аудиту будуть надіслані в складі журналів сканування. Крім того, ви можете використовувати опцію Надіслати журнал тестування, щоб переконатися у функціональності.
Використовувати довірений сертифікат
Щоб увімкнути перевірку сертифікатів для з’єднання між вашим сервером syslog і ESET Cloud Office Security. Після активації перевірки з’явиться нове текстове поле, де можна скопіювати й вставити необхідний ланцюжок сертифікатів. Сертифікат сервера повинен відповідати таким вимогам:
•Весь ланцюг сертифікатів у форматі PEM завантажується і зберігається в конфігурації експорту syslog (включно з кореневим CA, оскільки немає вбудованих довірених сертифікатів)
•Сертифікат вашого сервера syslog містить розширення Subject Alternative Name ()SAN) (DNS=/IP=) із принаймні одним записом, що відповідає повному доменному імені (FQDN) або налаштованій IP-адресі.
Додаткові параметри безпеки
Переконайтеся, що параметри брандмауера сервера syslog дозволяють підключення зі вказаних нижче IP-адрес:
•Вихідна IP-адреса з ESET Cloud Office Security у США: 40.83.165.184
•Вихідна IP-адреса з ESET Cloud Office Security у ЄС: 51144165221
•Вихідна IP-адреса з ESET Cloud Office Security у Німеччині: 4.184.182.90
•Вихідна IP-адреса з ESET Cloud Office Security у Канаді: 52.228.24.113