Настройка параметров интеграции с SIEM
Интеграция с SIEM не применяется по умолчанию. Вы можете включать и выключать интеграцию с SIEM, а также настраивать соответствующие параметры (см. таблицу ниже).
Параметры интеграции с SIEM
Параметр | Значение по умолчанию | Описание |
Отправлять события по протоколу syslog на внешний syslog-сервер | Не применяется | Вы можете включать и отключать интеграцию с SIEM с помощью установки или снятия флажка. |
Удалять локальные копии событий при записи на внешний syslog-сервер | Не применяется | Вы можете настраивать параметры хранения локальных копий журналов после их отправки на SIEM-сервер, установив или сняв флажок. |
Формат событий | Структурированные данные | Вы можете выбирать один из двух форматов, в которые программа конвертирует события перед отправкой на syslog-сервер для лучшего распознавания этих событий SIEM-сервером. |
Протокол подключения | TCP | Вы можете настроить подключение к основному и дополнительному syslog-серверам по протоколам UPD или TCP с помощью выпадающего списка. |
Параметры подключения к основному syslog-серверу | IP-адрес: 127.0.0.1 Порт: 514 | Вы можете настраивать значения IP-адреса и порта для подключения к основному syslog-серверу с помощью соответствующих полей. Вы можете указать значение IP-адреса только в формате IPv4. |
Использовать дополнительный syslog-сервер, если основной syslog-сервер недоступен | Не применяется | Вы можете включать и отключать применение зеркального syslog-сервера с помощью флажка. |
Параметры подключения к дополнительному syslog-серверу | IP-адрес: 127.0.0.1 Порт: 514 | Вы можете настраивать значения IP-адреса и порта для подключения к дополнительному syslog-серверу с помощью соответствующих полей. Вы можете указать значение IP-адреса только в формате IPv4. |
Чтобы настроить параметры интеграции с SIEM, выполните следующие действия:
- В дереве Консоли программы откройте контекстное меню узла Журналы и уведомления.
- Выберите пункт Свойства.
Откроется окно Параметры журналов и уведомлений.
- Выберите закладку Интеграция с SIEM.
- В разделе Параметры интеграции установите флажок Отправлять события по протоколу syslog на внешний syslog-сервер.
- Если требуется, в разделе Параметры интеграции установите флажок Удалять локальные копии событий при записи на внешний syslog-сервер.
Статус флажка Удалять локальные копии событий при записи на внешний syslog-сервер не влияет на параметры хранения событий журнала безопасности: программа никогда не удаляет события журнала безопасности автоматически.
- В разделе Формат событий укажите формат, в который вы хотите конвертировать события программы для их отправки на SIEM-сервер.
По умолчанию программа выполняет конвертацию в формат структурированных данных.
- В разделе Параметры подключения:
- Укажите протокол подключения к SIEM.
- Укажите параметры соединения с основным syslog-сервером.
IP-адрес можно указать только в формате IPv4.
- Установите флажок Использовать дополнительный syslog-сервер, если основной syslog-сервер недоступен, если вы хотите, чтобы программа использовала другие параметры соединения, когда отправка событий на основной syslog-сервер невозможна.
Укажите следующие параметры подключения к дополнительному syslog-серверу: Адрес и Порт.
Поля Адрес и Порт для дополнительного syslog-сервера недоступны для редактирования, если снят флажок Использовать дополнительный syslog-сервер, если основной syslog-сервер недоступен.
IP-адрес можно указать только в формате IPv4.
- Нажмите на кнопку ОК.
Настроенные параметры интеграции с SIEM будут применены.