Регистрация событий безопасности

Приложение: Веб-версия

Чтобы управлять настройками событий безопасности при интеграции с внешней SIEM‑системой:

1.Перейдите в раздел Организация > Безопасность > Регистрация событий безопасности.

2.Для регистрации данных внутри тенанта и отправки их во внешнюю систему аналитики событий установите флажок Отправлять события во внешнюю SIEM‑систему.

Сообщения будут передаваться в формате CEF по стандарту syslog. Большинство дистрибутивов Linux поставляется с предустановленным RSyslog (преемником syslog).

3.В диалоговом окне укажите параметры подключения к серверу SIEM:

•Доменное имя или IP-адрес — доменное имя в формате FQDN, которое переобразуется в IP-адрес;

•Порт — порт подключения;

•Протокол — протокол передачи сообщений (TCP или UDP).

При отсутствии SIEM-системы допускается использование записи в Syslog. Запустите Syslog сервер и в окне Параметры отправки событий введите данные для подключения.

4.Для включения чувствительных данных в регистрируемые сообщения установите флажок Разрешить отправку чувствительных данных.

К чувствительным данным могут относиться: названия и расположение файлов, настройки прав доступа, роли пользователей и другая подобная информация.

Для выключения регистрации событий снимите флажок Отправлять события во внешнюю SIEM-систему.

Для изменения уже сохраненных настроек нажмите Изменить параметры отправки.

Был ли материал полезным?

Да

Нет