ESET PROTECT On-Prem – Obsah

Exportovanie protokolov do Syslogu

ESET PROTECT On-Prem môže exportovať určité protokoly a udalosti na váš Syslog server. Udalosti sú generované na spravovaných klientskych počítačoch, na ktorých je spustená bezpečnostná aplikácia ESET (napr. ESET Endpoint Security). Tieto udalosti môžu byť spracované akýmkoľvek nástrojom SIEM (Security Information and Event Management), ktorý dokáže importovať udalosti zo Syslog servera. ESET PROTECT On-Prem odosiela udalosti na Syslog server.

Pri konfigurácii Syslog servera postupujte podľa nasledujúcich krokov:

1.Prejdite do sekcie Viac > Nastavenia > Export > Pridať Syslog server.


Poznámka

Môžete nakonfigurovať až päť Syslog serverov.

2.Zapnite možnosť Zapnúť nastavenia syslogu na odosielanie udalostí, aby ste aktivovali nižšie nakonfigurovaný Syslog server.

3.V časti Nastavenia protokolov vyberte kategórie protokolov, z ktorých sa budú protokoly udalostí exportovať na Syslog server:

Detekcia – nakonfigurujte ESET PROTECT Server tak, aby na Syslog server odosielal nasledujúce kategórie detekcií: Antivírus, Firewall, HIPS, Webová ochrana (filtrované webové stránky), Zablokované súboryESET Inspect.

Audit – nakonfigurujte ESET PROTECT Server tak, aby na Syslog server odosielal protokoly auditu.

Oznámenie – nakonfigurujte ESET PROTECT Server tak, aby na Syslog server odosielal oznámenia. V kategórii protokolu oznámení definujte filter, pomocou ktorého budete filtrovať protokoly udalostí odosielané do Syslogu.


Poznámka

Na Syslog server nemožno odosielať oznámenia súvisiace s inými udalosťami, pretože formáty nie sú kompatibilné. Oznámenia sa odosielajú vo formáte obyčajného textu.


Dôležité

Používatelia Syslog servera majú prístup ku všetkým exportovaným protokolom. Na Syslog server sa exportujú všetky záznamy z protokolu auditu.

4.Zadajte hostiteľa – IP adresu alebo názov hostiteľa Syslog servera.

5.Zadajte číslo portu – predvolená hodnota je 514.

6.Vyberte verziuBSD (špecifikácia) alebo Syslog (špecifikácia).

7.V časti Formát vyberte formát protokolu udalostí:


Poznámka

Oznámenia sa odosielajú vo formáte obyčajného textu.

JSON (JavaScript Object Notation)

CEF (Common Event Format) – formát vyvinutý spoločnosťou ArcSight.

LEEF (Log Event Extended Format) – formát používaný aplikáciou QRadar spoločnosti IBM.

8.Vyberte protokol prenosu na odosielanie správ do Syslogu (UDP, TCP, TLS).

9.Voliteľne môžete zapnúť Rámcovanie počítaním oktet. Ak je táto funkcia zapnutá, pred každú správu prenášanú do Syslogu cez TLS sa vkladá jej dĺžka v oktetoch (bajtoch), čo umožňuje prijímajúcemu systému určiť dĺžku správy (špecifikácia).

10. Kliknite na Dokončiť.


Poznámka

Súbor protokolu bežnej aplikácie sa priebežne aktualizuje. Syslog exportuje iba určité asynchrónne udalosti, ako sú napríklad oznámenia alebo rôzne udalosti na klientskom počítači.

Ak chcete nastaviť úroveň zapisovania do protokolu, kliknite na Viac > Nastavenia > Pokročilé > Zapisovanie do protokolov > Zaznamenávať protokoly od úrovne.

V sekcii Viac > Nastavenia > Export si môžete pozrieť a upraviť zoznam nakonfigurovaných Syslog serverov. Kliknite na ikonu s tromi bodkami Viac vedľa nakonfigurovaného Syslog servera a vyberte:

Upraviť Upraviť – úprava konfigurácie vybraného Syslog servera.

Odstrániť Odstrániť – odstránenie vybranej konfigurácie Syslog servera.