系統日誌

ESET Cloud Office Security 可以匯出偵測中列出的記錄事件並將其傳送到您的系統日誌伺服器。您可以匯出適用於 Exchange Online/Gmail、OneDrive/Google Drive、團隊群組和 SharePoint Online 的活動。如果需要的話，設定多個系統日誌匯出；例如，您可以為每個租用戶或租用戶和事件的任何組合擁有一個系統日誌。您可以透過編輯現有系統日誌匯出來加以啟用/停用。

若要新增或修改系統日誌匯出，請遵循以下步驟：

1.按一下 [新系統日誌] 開啟範本並設定自訂設定。

2.輸入 [名稱] 並啟用狀態切換。

3.按一下 [選取] 選取租用戶並勾選想要的租用戶。

4.為事件訊息選擇以下其中一個格式：

•CEF (通用事件格式)

•LEEF (防護記錄事件擴充格式) - IBM 應用程式 QRadar 所使用的格式。

•JSON (JavaScript 物件表示法)

•ECS (Elastic Common Schema) - v8.17 格式

IP/主機名稱

輸入 IP/主機名稱及連線詳細資料到您的系統日誌伺服器。

連線埠

系統日誌伺服器連線的預先定義連接埠是 6514。如果連接埠號碼和 6514 不同，您可以在 6400-6600 範圍內變更連接埠號碼以符合您的系統日誌伺服器連接埠。

•傳輸通訊協定：TLS (需要由受信任的憑證機構發出的有效伺服器 SSL/TLS 憑證)

•預設 TCP 連接埠：6514

由於系統日誌伺服器連線的安全性需求，對於接收系統日誌伺服器有額外的需求：

•IP 位址:全域可路由的 IPv4 位址

•IDN 名稱：必須使用 ASCII 表示形式 (「xn--」)

•FQDN必須轉換為單一固定 IPv4 位址

以新行字元終止防護記錄

啟用此選項可在每個系統日誌訊息結尾新增新行字元 (\n)，以便在 TCP 連線保持開啟狀態時在 Logstash 中正確的記錄。否則，防護記錄會寫成單行。

防護記錄偵測

選擇您要匯出到系統日誌伺服器的防護記錄事件。

掃描防護記錄的選用欄位

選取您想要包含在系統日誌訊息中的欄位。

傳送審核防護記錄

審核防護記錄將作為掃描防護記錄的一部分傳送出去。另外，您可以使用傳送測試防護記錄來確保功能。

使用自訂憑證

若要啟用您的系統日誌伺服器與 ESET Cloud Office Security 之間連線的憑證驗證。啟用驗證之後，系統會顯示一個新的文字欄位，您可以在其中複製並貼上所需的憑證鏈。伺服器憑證必須符合以下需求：

•整個憑證鏈 (PEM 格式) 已上傳並儲存到系統日誌匯出配置中 (這包括根 CA，因為沒有內建的受信任憑證)。

•您的系統日誌伺服器憑證提供主體替代名稱 (SAN) 擴充功能 (DNS=/IP=)，其中至少有一筆記錄對應於已配置的完整網域名稱 (FQDN) 或 IP 位址。

其他安全性設定

確保您的系統日誌伺服器防火牆設定允許來自下列 IP 位址的連線：

•ESET Cloud Office Security 的傳出 IP 位址 (美國地區)：40.83.165.184

•ESET Cloud Office Security 的傳出 I P位址 (歐盟地區)：51144165221

•ESET Cloud Office Security 的傳出 IP 位址 (德國地區)：4.184.182.90

•ESET Cloud Office Security 的傳出 IP 位址 (加拿大地區)：52.228.24.113

˄˅