Esporta rapporti su Syslog
ESET PROTECT On-Prem consente di esportare alcuni rapporti ed eventi nel server Syslog. Gli eventi sono generati sui computer client gestiti su cui è in esecuzione un'applicazione ESET (ad esempio, ESET Endpoint Security). Questi eventi possono essere elaborati da qualsiasi soluzione “Security Information and Event Management” (SIEM) in grado di eseguire l’importazione di eventi da un server Syslog. ESET PROTECT On-Prem invia gli eventi al server Syslog.
Attenersi ai passaggi seguenti per configurare un server Syslog:
1.Andare a Altro > Impostazioni > Esporta > Aggiungi server Syslog.
È possibile configurare fino a cinque server Syslog. |
2.Abilitare il tasto di alternanza Abilita impostazioni syslog per inviare eventi per abilitare il server Syslog configurato di seguito.
3.In Impostazioni rapporto selezionare le categorie di rapporti da cui verranno esportati i rapporti degli eventi sul server Syslog:
•Rilevamento: configurare ESET PROTECT Server per l’invio delle seguenti categorie di rilevamento al server Syslog: Antivirus, Firewall, HIPS, Protezione web (siti web filtrati), File bloccati e ESET Inspect.
•Audit: configurare ESET PROTECT Server per l’invio di Rapporti di controllo al server Syslog.
•Notifica – È possibile configurare il server ESET PROTECT per l'invio di Notifiche al server Syslog. Definire un filtro in una Categoria di rapporto di notifica per filtrare i rapporti degli eventi inviati a Syslog.
Non è possibile utilizzare Syslog per le notifiche con altri eventi in quanto i formati non sono compatibili. Le notifiche vengono inviate in un formato di testo normale. |
Gli utenti Syslog hanno accesso a tutti i rapporti esportati. Tutti i messaggi del rapporto di controllo vengono esportati su Syslog. |
4.Specificare l’Host: indirizzo IP o nome host del server Syslog.
5.Digitare il numero della Porta: il valore predefinito è 514.
6.Selezionare la Versione:BSD (specifica) o Syslog (specifica).
7.In Formato selezionare il formato del rapporto dei messaggi degli eventi:
Le notifiche vengono inviate in un formato di testo normale. |
•JSON (JavaScript Object Notation)
•CEF (Common Event Format): formato sviluppato da ArcSight.
•LEEF (Log Event Extended Format): formato utilizzato dall'applicazione QRadar di IBM.
8.Selezionare il protocollo di Trasporto per l'invio dei messaggi a Syslog (UDP, TCP, TLS)
9.Facoltativamente, è possibile abilitare il Framing con conteggio degli ottetti. Quando questa opzione è abilitata, ogni messaggio Syslog trasmesso su TLS è preceduto dalla sua lunghezza in ottetti (byte), in modo da consentire al sistema ricevente di determinare la lunghezza del messaggio (specifica).
10. Fare clic su Fine.
•Il file di rapporto standard dell’applicazione viene aggiornato continuamente. Syslog esporta solo alcuni eventi asincroni, ad esempio notifiche o vari eventi dei computer client. •Per regolare il livello di dettaglio della registrazione, fare clic su Altro > Impostazioni > Avanzate > Registrazione > Monitora il livello di dettaglio del rapporto. |
In Altro > Impostazioni > Esporta è possibile visualizzare e modificare l’elenco dei server Syslog configurati. Fare clic sull’icona con tre punti
accanto al server Syslog configurato e selezionare:
•
Modifica: consente di modificare la configurazione del server Syslog selezionata.
•
Rimuovi: consente di rimuovere la configurazione del server Syslog selezionata.