Настройка параметров интеграции с SIEM

Nov 16, 2023

ID 148503

Интеграция с SIEM не применяется по умолчанию. Вы можете включать и выключать интеграцию с SIEM, а также настраивать соответствующие параметры (см. таблицу ниже).

Параметры интеграции с SIEM

Параметр

Значение по умолчанию

Описание

Отправлять события по протоколу syslog на внешний syslog-сервер

Не применяется

Вы можете включать и отключать интеграцию с SIEM с помощью установки или снятия флажка.

Удалять локальные копии событий при записи на внешний syslog-сервер

Не применяется

Вы можете настраивать параметры хранения локальных копий журналов после их отправки на SIEM-сервер, установив или сняв флажок.

Формат событий

Структурированные данные

Вы можете выбирать один из двух форматов, в которые программа конвертирует события перед отправкой на syslog-сервер для лучшего распознавания этих событий SIEM-сервером.

Протокол подключения

TCP

Вы можете настроить подключение к основному и дополнительному syslog-серверам по протоколам UDP или TCP с помощью выпадающего списка.

Параметры подключения к основному syslog-серверу

IP-адрес: 127.0.0.1

Порт: 514

Вы можете настраивать значения IP-адреса и порта для подключения к основному syslog-серверу с помощью соответствующих полей.

Вы можете указать значение IP-адреса только в формате IPv4.

Использовать дополнительный syslog-сервер, если основной syslog-сервер недоступен

Не применяется

Вы можете включать и отключать применение зеркального syslog-сервера с помощью флажка.

Параметры подключения к дополнительному syslog-серверу

IP-адрес: 127.0.0.1

Порт: 514

Вы можете настраивать значения IP-адреса и порта для подключения к дополнительному syslog-серверу с помощью соответствующих полей.

Вы можете указать значение IP-адреса только в формате IPv4.

Чтобы настроить параметры интеграции с SIEM:

  1. В дереве Консоли программы откройте контекстное меню узла Журналы и уведомления.
  2. Выберите пункт Свойства.

    Откроется окно Параметры журналов и уведомлений.

  3. Выберите вкладку Интеграция с SIEM.
  4. В блоке Параметры интеграции установите флажок Отправлять события по протоколу syslog на внешний syslog-сервер.
  5. Если требуется, в блоке Параметры интеграции установите флажок Удалять локальные копии событий при записи на внешний syslog-сервер.

    Статус флажка Удалять локальные копии событий при записи на внешний syslog-сервер не влияет на параметры хранения событий журнала безопасности: программа никогда не удаляет события журнала безопасности автоматически.

  6. В блоке Формат событий укажите формат, в который вы хотите конвертировать события программы для их отправки на SIEM-сервер.

    По умолчанию программа выполняет конвертацию в формат структурированных данных.

  7. В блоке Параметры подключения:
    • Укажите протокол подключения к SIEM.
    • В одноименных полях укажите адрес в формате IPv4 и порт для подключения к основному syslog-серверу.
    • Установите флажок Использовать дополнительный syslog-сервер, если основной syslog-сервер недоступен, если вы хотите, чтобы программа использовала другие параметры соединения, когда отправка событий на основной syslog-сервер невозможна.
    • В одноименных полях укажите адрес в формате IPv4 и порт для подключения к дополнительному syslog-серверу.
  8. Нажмите на кнопку OK.

    Настроенные параметры интеграции с SIEM будут применены.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!