Ansichten:

Sammeln, organisieren, verwalten und speichern Sie Protokolldaten von Drittanbietern in Trend Vision One-Protokollspeichern mithilfe von Sammlern, die mit einem bereitgestellten Service-Gateway verbunden sind.

Die Sammlung von Drittanbieterprotokollen ist ein Protokollverwaltungssystem, das es Ihnen ermöglicht, Protokolldaten aus den Datenquellen von Drittanbietern Ihrer Organisation zu erfassen und zu speichern. Erfasste Daten bieten Ihnen eine umsetzbare Datensichtbarkeit für die Bedrohungserkennung und -korrelation in Agentic SIEM sowie Unterstützung für Compliance-Audits und die Verwaltung regulatorischer Daten. Legen Sie spezifische Erfassungs- und Aufbewahrungstypen für jedes Protokoll-Repository fest, um gesammelte Protokolldaten effizienter zu organisieren und bei Bedarf auf die Daten in Trend Vision One-Lösungen zuzugreifen.
Die Sammlung von Protokollen durch Dritte verwaltet Protokolldaten mithilfe eines hierarchischen Systems, das aus Folgendem besteht:
  • Protokollspeicher: Erfassen und speichern Sie Protokolldaten von Drittanbietern gemäß den angegebenen Erfassungs- und Aufbewahrungstypen und Zeiträumen
  • Sammler: Empfangen Protokolldaten von konfigurierten Drittanbieter-Datenquellen und leiten die Daten an spezifische Protokollspeicher weiter
  • Service Gateway-Virtualgeräte: Installieren Sie den Drittanbieter-Protokollsammeldienst auf Ihren bereitgestellten Service Gateways, um die Protokollsammlung von Ihren Drittanbieter-Datenquellen zu erleichtern
Um ein Protokoll-Repository einzurichten, um Protokolldaten von Drittanbietern zu erfassen und zu speichern:
  1. Falls Sie noch kein bereitgestelltes Service-Gateway haben, das die Mindestanforderungen für den Drittanbieter-Protokollsammeldienst erfüllt, stellen Sie ein Service-Gateway als virtuelle Appliance bereit. Das Service-Gateway muss mindestens 1 CPU und 128 MB virtuellen Speicher zur Verfügung haben.
  2. Installieren Sie den Drittanbieter-Protokollsammeldienst auf Ihrem Service-Gateway.
  3. Wenn Sie das TLS-Protokoll verwenden, um Protokolldaten von einer externen Datenquelle zu empfangen, laden Sie ein Zertifikat hoch, um es in Ihrem Service-Gateway zu Validierungszwecken zu verwenden.
  4. Erstellen Sie ein Protokoll-Repository in der Drittanbieter-Protokollsammlung mit den gewünschten Einstellungen für Erfassung und Aufbewahrung.
  5. Fügen Sie einen oder mehrere Sammler zum Log-Repository hinzu, das konfiguriert ist, um Daten von Ihren Drittanbieter-Datenquellen zu empfangen.
  6. Konfigurieren Sie Ihre Drittanbieter-Datenquelle so, dass Protokolldaten an Sammler exportiert werden.
  7. Führen Sie Abfragen zu erfassten Protokolldaten im XDR Data Explorer aus und überwachen Sie die Nutzung des Protokollspeicherverkehrs in der Service Gateway Management.
Sammelstellen empfangen und leiten alle gültigen Protokolle von den angegebenen Drittanbieter-Protokoll-Datenquellen weiter.
TPLC_diagram=GUID-5eaa9e3e-9889-4618-b988-15de83dec476.jpg
Die folgenden Aktionen sind in der Drittanbieter-Protokollsammlung verfügbar.
Aktion
Beschreibung
Vorhandene Protokollspeicher und -sammler anzeigen
 Protokollspeicher werden zusammen mit Details angezeigt, einschließlich:
  • Ingestionstyp
  • Aufbewahrungsfrist
  • Anzahl der zugewiesenen Sammler
Vertiefen Sie sich, um Details zu den mit dem Protokoll-Repository verbundenen Sammlern zu sehen, einschließlich:
  • Sammlername
  • Protokollquelle
  • Protokollformat
  • Sammlerstatus
Neues Protokoll-Repository erstellen
Klicken Sie auf Create New Log Repository, um ein neues Protokoll-Repository zu benennen und zu konfigurieren. Weitere Informationen finden Sie unter Erstellen Sie ein Protokoll-Repository.
Protokoll-Repository und Sammlerdetails anzeigen
Klicken Sie auf den Namen eines Protokollspeichers, um die Detailansicht des Protokollspeichers mit den folgenden Abschnitten anzuzeigen:
  • Basic: Zeigt die zugewiesenen Ingestions- und Aufbewahrungstypen des Protokollspeichers an.
    • Ingestionstypen
      • Analytik: Nimmt Protokolldaten zur Analyse, Korrelation und Bedrohungsjagd auf
        • Unterstützt sowohl analytische als auch archivierte Aufbewahrung
      • Archivierung: Erfasst Protokolldaten für seltene Abfragen oder zur Erfüllung von Compliance-Anforderungen
        • Unterstützt nur die Archivaufbewahrung
    • Aufbewahrungstypen:
      • Analytik: Ermöglicht die häufige Abrufung von Protokolldaten zur Analyse, Korrelation und Bedrohungsjagd. Standardaufbewahrungszeitraum: 30 Tage
      • Archivierung: Speichert Daten für Compliance-Zwecke oder seltene Abfragen
  • Collectors: Zeigt Details über Sammler an, die Protokolldaten an das Protokoll-Repository weiterleiten
    • Klicken Sie auf Add Collector, um einen neuen Collector zum Protokoll-Repository hinzuzufügen.
      Wichtig
      Wichtig
      Alle von einem Collector empfangenen Protokolldaten werden gemäß den zugehörigen Protokoll-Repository-Einstellungen aufgenommen. Um unterschiedliche Aufnahme- oder Aufbewahrungseinstellungen zu verwenden, erstellen Sie ein neues Protokoll-Repository.
    • Einzelne Sammler bearbeiten oder entfernen
    • Protokollfilter verwalten, die auf jeden Sammler angewendet werden
Benachrichtigungen einrichten
Klicken Sie auf Configure alert notifications, um E-Mail- oder Webhook-Benachrichtigungen zu aktivieren, wenn eines oder mehrere der folgenden Probleme bei der Drittanbieter-Protokollsammlung auftreten:
  • Die Protokollsammlung wurde aufgrund eines ungewöhnlichen Service-Gateways oder des Status des Drittanbieter-Protokollsammlungsdienstes unterbrochen
  • Die Protokollsammlung wurde gestoppt, da der Drittanbieter-Protokollsammlungsdienst veraltet ist
  • Es wurden über einen längeren Zeitraum keine unterstützten Protokolle aus einer Datenquelle gesammelt
  • Der Sammlerstatus hat sich geändert
Zugehörige Informationen