Syslog-Sicherheitseinschränkungen und Limits

Aufgrund der Sicherheitsanforderungen für die Syslog-Serververbindung sind die folgenden Einstellungen gesperrt und können nicht geändert werden:

Transportprotokoll: TLS

TCP-Port: 6514

Aus denselben Gründen gelten zusätzliche Anforderungen für den empfangenden Syslog-Server:

IP-Adresse: Weltweit routbare IPv4-Adresse

IDN-Namen: Muss ASCII-Schreibweise verwenden („xn--“)

FQDN: Muss zu einer einzigen, permanenten IPv4-Adresse auflösbar sein.


note

Mit FQDN: Wenn Ihr Syslog-Server auf mehreren Rechnern und IP-Adressen (CDN) ausgeführt wird, gibt es keine Garantie dafür, wann und wie oft der FQDN erneut aufgelöst wird. Es wird jedoch garantiert, dass die erste FQDN-Auflösung innerhalb von 10 Minuten nach dem Serverstart erfolgt, falls der Syslog-Export aktiviert und korrekt konfiguriert ist.

Überprüfung der ZS-Stammzertifikate für TLS-Verbindungen: Wenn die TLS-Überprüfung aktiviert ist, müssen die folgenden Anforderungen erfüllt sein, um Ihr Serverzertifikat verifizieren zu können:

Zertifikatvalidierung muss aktiviert sein

Die gesamte Zertifikatkette wird im PEM Format hochgeladen und in der Syslog-Exportkonfiguration gespeichert (inklusive Stamm-ZS, da keine integrierten vertrauenswürdigen Zertifikate vorhanden sind)

Das Zertifikat Ihres Syslog-Servers enthält eine Erweiterung für den alternativen Antragstellernamen (DNS=/IP=), in der mindestens ein Eintrag mit der FQDN-/IP-Hostnamenskonfiguration übereinstimmt.


note

Zusätzliche Sicherheitseinstellungen:

Die Firewall des Syslog-Servers sollte so konfiguriert werden, dass eingehende Syslog-Exportereignisse nur von den folgenden IP-Bereichen zugelassen werden:

Ausgehende IP-Adressen aus ESET PROTECT Cloud für die Region Europa: 51.136.106.164/30

Ausgehende IP-Adressen aus ESET PROTECT Cloud für die Region USA: 40.81.8.148/30

Ausgehende IP-Adressen aus ESET PROTECT Cloud für die Region Japan: 20.78.10.184/30