Ansichten:
Sie können Ereignisse an einen externen Syslog- oder Sicherheitsinformations- und Ereignismanagement- (SIEM) Server senden. Dies kann für die zentrale Überwachung und benutzerdefinierte Berichterstellung nützlich sein.
Tipp
Tipp
Alternativ können Sie, wenn Sie Ereignisse an Amazon SNS veröffentlichen möchten, unter Auf Ereignisse mit Amazon SNS zugreifen nachsehen.
Grundlegende Schritte umfassen:

Prozedur

  1. Zulassen von Netzwerkverkehr für Ereignisweiterleitung
  2. Definieren Sie eine Syslog-Konfiguration
  3. Systemereignisse weiterleiten und/oder Sicherheitsereignisse weiterleiten

Ereignisweiterleitungs-Netzwerkverkehr zulassen Übergeordnetes Thema

Alle Router, Firewalls und Sicherheitsgruppen müssen eingehenden Datenverkehr von Server- und Workload Protection (und für die direkte Weiterleitung von Sicherheitsereignissen eingehenden Datenverkehr von Agenten) zu Ihrem Syslog Server zulassen. Siehe auch Server- und Workload Protection-Portnummern. Ihr Syslog Server muss über das Internet zugänglich sein und sein Domänenname muss global DNS-auflösbar sein.

Definieren Sie eine Syslog-Konfiguration Übergeordnetes Thema

Syslog-Konfigurationen definieren das Ziel und die Einstellungen, die beim Weiterleiten von System- oder Sicherheitsereignissen verwendet werden können.
Wenn Sie die SIEM- oder Syslog-Einstellungen vor dem 26. Januar 2017 konfiguriert haben, wurden sie in Syslog-Konfigurationen umgewandelt. Identische Konfigurationen wurden zusammengeführt.

Prozedur

  1. Navigieren Sie zu RichtlinienCommon ObjectsSonstigeSyslog Configurations.
  2. Klicken Sie auf NeuNew Configuration.
  3. Auf der Registerkarte Allgemein konfigurieren:
    • Name: Eindeutiger Name, der die Konfiguration identifiziert.
    • Beschreibung: Optionale Beschreibung der Konfiguration.
    • Log Source Identifier: Optionaler Bezeichner, der anstelle des Server- und Workload Protection-Hostnamens verwendet werden kann. Server- und Workload Protection ist ein Multi-Node und jeder Serverknoten hat einen anderen Hostnamen. Logquellen-IDs können daher unterschiedlich sein. Wenn Sie die IDs unabhängig vom Hostnamen gleich haben möchten (zum Beispiel für Filterzwecke), können Sie hier ihre gemeinsame Logquellen-ID konfigurieren. Diese Einstellung gilt nicht für Ereignisse, die direkt vom Agenten gesendet werden, der immer seinen Hostnamen als Logquellen-ID verwendet.
    • Server Name: Hostname oder IP-Adresse des empfangenden Syslog- oder SIEM-Servers.
    • Server Port: Abhörportnummer auf dem SIEM- oder Syslog Server. Für UDP ist die IANA-Standardportnummer 514. Für TLS ist es normalerweise Port 6514. Siehe auch Server- und Workload Protection-Portnummern.
    • Transport: Ob das Transportprotokoll sicher ist (TLS) oder nicht (UDP). Bei UDP sind Syslog-Nachrichten auf 64 KB begrenzt. Wenn die Nachricht länger ist, können Daten abgeschnitten werden. Bei TLS müssen der Manager und der Syslog Server einander vertrauen, was die Zertifikate betrifft. Die Verbindung vom Manager zum Syslog Server wird mit TLS 1.2, 1.1 oder 1.0 verschlüsselt.
      Hinweis
      Hinweis
      TLS erfordert, dass Sie Agents should forward logs (indirekt) auf Via the Workload Security Manager setzen. Agenten unterstützen kein Weiterleiten mit TLS.
    • Event Format: Ob das Format der Protokollnachricht LEEF, CEF oder einfaches Syslog ist. Siehe Syslog-Nachrichtenformate.
      Hinweis
      Hinweis
      • Das LEEF-Format erfordert, dass Sie Agents should forward logs (indirekt) auf Via the Workload Security Manager setzen.
      • Das grundlegende Syslog-Format wird von den Modulen Anti-Malware, Web Reputation, Integritätsüberwachung und Application Control nicht unterstützt.
    • Include time zone in events: Ob das vollständige Datum (einschließlich Jahr und Zeitzone) zum Ereignis hinzugefügt werden soll. Beispiel (ausgewählt): 2018-09-14T01:02:17.123+04:00. Beispiel (nicht ausgewählt): Sep 14 01:02:17.
      Hinweis
      Hinweis
      Vollständige Daten erfordern, dass Sie Agents should forward logs (indirekt) auf Via the Workload Security Manager setzen.
    • Facility: Art des Prozesses, mit dem Ereignisse verknüpft werden. Syslog Server können basierend auf dem Facility-Feld einer Protokollnachricht priorisieren oder filtern. Siehe auch Was sind Syslog Facilities und Levels?
    • Agents should forward logs: Ob die Ereignisse Directly to the Syslog server oder Via the Workload Security Manager (indirekt) gesendet werden sollen. Beim direkten Weiterleiten von Protokollen an den Syslog Server verwenden Agenten Klartext-UDP. Protokolle enthalten sensible Informationen über Ihr Sicherheitssystem. Wenn Protokolle über ein unzuverlässiges Netzwerk wie das Internet übertragen werden, sollten Sie in Betracht ziehen, einen VPN-Tunnel oder Ähnliches hinzuzufügen, um Aufklärung und Manipulation zu verhindern.
      Hinweis
      Hinweis
      • Wenn Sie Protokolle über Server- und Workload Protection weiterleiten, enthalten sie keine Firewall- und Eindringungsschutz-Paketdaten.
      • Der Mac-Agent unterstützt nur das Weiterleiten von Protokollen über den Workload Security Manager. Wenn Sie Directly to the Syslog server wählen, enthalten die Protokolle keine Gerätesteuerungsdaten.
  4. Wenn der Syslog- oder SIEM-Server von TLS-Clients eine Client-Authentifizierung (auch bilaterale oder gegenseitige Authentifizierung genannt) erfordert, dann konfigurieren Sie auf der Credentials-Registerkarte:
    • Private Key: Fügen Sie den privaten Schlüssel des Server- und Workload Protection Client-Zertifikats ein.
    • Zertifikat: Fügen Sie das client-Zertifikat ein, das Server- und Workload Protection zur Identifizierung in TLS-Verbindungen mit dem Syslog Server verwenden wird. Verwenden Sie PEM, auch bekannt als Base64-codiertes Format.
    • Certificate Chain: Wenn eine Zwischenzertifizierungsstelle das Client-Zertifikat signiert hat, der Syslog Server diese CA jedoch nicht kennt und ihr nicht vertraut, fügen Sie CA-Zertifikate ein, die eine Beziehung zu einer vertrauenswürdigen Stamm-CA nachweisen. Drücken Sie die Eingabetaste zwischen jedem CA-Zertifikat.
  5. Klicken Sie auf Übernehmen.
  6. Wenn Sie den TLS-Transportmechanismus ausgewählt haben, überprüfen Sie, ob sowohl Server- und Workload Protection als auch der Syslog Server sich verbinden und gegenseitig ihre Zertifikate vertrauen können. a. Klicken Sie auf Verbindung testen. Server- und Workload Protection versucht, den Hostnamen aufzulösen und eine Verbindung herzustellen. Wenn das fehlschlägt, erscheint eine Fehlermeldung. Wenn das Syslog- oder SIEM-Server-Zertifikat noch nicht von Server- und Workload Protection vertraut wird, schlägt die Verbindung fehl und eine Accept Server Certificate?-Meldung sollte erscheinen. Die Meldung zeigt den Inhalt des Zertifikats des Syslog Servers. b. Überprüfen Sie, ob das Zertifikat des Syslog Servers korrekt ist, und klicken Sie dann auf OK, um es zu akzeptieren. Das Zertifikat wird der Liste der vertrauenswürdigen Zertifikate des Managers unter AdministrationSystem SettingsSicherheit hinzugefügt. Server- und Workload Protection kann selbstsignierte Zertifikate akzeptieren. c. Klicken Sie erneut auf Verbindung testen. Jetzt sollte die TLS-Verbindung erfolgreich sein.
  7. Fahren Sie fort, indem Sie auswählen, welche Ereignisse weitergeleitet werden sollen. Siehe Systemereignisse weiterleiten und/oder Sicherheitsereignisse weiterleiten.

Systemereignisse weiterleiten Übergeordnetes Thema

Server- und Workload Protection generiert Systemereignisse (wie Administrator-Anmeldungen oder das Aktualisieren der Agentensoftware).

Prozedur

  1. Navigieren Sie zu AdministrationSystem SettingsEvent Forwarding.
  2. Wählen Sie aus Forward System Events to a remote computer (via Syslog) using configuration entweder eine vorhandene Konfiguration oder Neu aus. Weitere Informationen finden Sie unter Syslog-Konfiguration definieren.
  3. Klicken Sie auf Save.

Sicherheitsereignisse weiterleiten Übergeordnetes Thema

Die Schutzfunktionen des Agents erzeugen Sicherheitsereignisse (wie das Erkennen von Malware oder das Auslösen einer IPS-Regel). Sie können Ereignisse entweder weiterleiten:
  • Direkt
  • Indirekt, über Server- und Workload Protection
Einige Optionen zur Ereignisweiterleitung erfordern die indirekte Weiterleitung von Agentenereignissen über Server- und Workload Protection.
Wie bei anderen Richtlinieneinstellungen können Sie die Ereignisweiterleitungseinstellungen für bestimmte Richtlinien oder Computer außer Kraft setzen. Siehe Richtlinien, Vererbung und Überschreibungen.

Prozedur

  1. Gehe zu Richtlinien.
  2. Doppelklicken Sie auf die Richtlinie, die von den Computern verwendet wird.
  3. Wählen Sie Einstellungen und dann die Registerkarte Event Forwarding aus.
  4. Wählen Sie ab Period between sending of events aus, wie oft Ereignisse weitergeleitet werden sollen.
  5. Wählen Sie im Dropdown-Menü von Anti-Malware Syslog Configuration und anderen Schutzmodulen entweder die zu verwendende Syslog-Konfiguration aus, klicken Sie auf Bearbeiten, um sie zu ändern, wählen Sie Keine, um sie zu deaktivieren, oder klicken Sie auf Neu. Weitere Informationen finden Sie unter Definieren einer Syslog-Konfiguration.
  6. Klicken Sie auf Save.

Ereignisweiterleitung beheben Übergeordnetes Thema

"Fehler beim Senden der Syslog-Nachricht" Warnung Übergeordnetes Thema

Wenn es ein Problem mit Ihrer Syslog-Konfiguration gibt, wird möglicherweise dieser Alarm angezeigt:
Failed to Send Syslog Message  
The Server- und Workload Protection Manager was unable to forward messages to a Syslog Server.  
Unable to forward messages to a Syslog Server
Die Warnung enthält auch einen Link zur betroffenen Syslog-Konfiguration. Klicken Sie auf den Link, um die Konfiguration zu öffnen, und klicken Sie dann auf Verbindung testen, um weitere Diagnoseinformationen zu erhalten. Es wird entweder angezeigt, dass die Verbindung erfolgreich war, oder eine Fehlermeldung mit weiteren Details zur Ursache wird angezeigt.

Syslog-Konfigurationen können nicht bearbeitet werden Übergeordnetes Thema

Wenn Sie die Syslog-Konfigurationen sehen, aber nicht bearbeiten können, hat die Rolle, die Ihrem Konto zugeordnet ist, möglicherweise nicht die entsprechenden Rechte. Ein Administrator, der in der Lage ist, Rollen zu konfigurieren, kann Ihre Berechtigungen überprüfen, indem er zu AdministrationBenutzerverwaltung geht. Wählen Sie dann Ihren Namen aus und klicken Sie auf Eigenschaften. Auf der Registerkarte Other Rights steuert die Einstellung Syslog Configurations Ihre Fähigkeit, Syslog-Konfigurationen zu bearbeiten.

Syslog nicht übertragen aufgrund eines abgelaufenen Zertifikats Übergeordnetes Thema

Gültige Zertifikate sind erforderlich, um sicher über TLS zu verbinden. Wenn Sie die TLS-Clientauthentifizierung einrichten und das Zertifikat abläuft, werden keine Nachrichten an den Syslog Server gesendet. Um dieses Problem zu beheben, besorgen Sie ein neues Zertifikat, aktualisieren Sie die Syslog-Konfiguration mit den neuen Zertifikatwerten, testen Sie die Verbindung und speichern Sie dann die Konfiguration.

Syslog nicht zugestellt aufgrund eines abgelaufenen oder geänderten Serverzertifikats Übergeordnetes Thema

Gültige Zertifikate sind erforderlich, um sicher über TLS zu verbinden. Wenn das Zertifikat des Syslog Servers abgelaufen oder geändert wurde, öffnen Sie die Syslog-Konfiguration und klicken Sie auf Verbindung testen. Sie werden aufgefordert, das neue Zertifikat zu akzeptieren.

Kompatibilität Übergeordnetes Thema

Server- und Workload Protection wurde mit der Enterprise-Version von getestet:
  • Splunk 6.5.1
  • IBM QRadar 7.2.8 Patch 3 (mit dem TLS-Protokoll-Patch, PROTOCOL-TLSSyslog-7.2-20170104125004.noarch)
  • HP ArcSight 7.2.2 (mit einem TLS Syslog-NG-Connector, erstellt mit dem ArcSight-7.2.2.7742.0-Connector-Tool)
Andere Standard-Syslog-Software könnte funktionieren, wurde jedoch nicht überprüft.
Tipp
Tipp
Wenn Sie Splunk verwenden, können Sie die Deep Security App für Splunk nutzen, um Dashboards und gespeicherte Suchanfragen zu erhalten.