檢視次數:
您可以將事件發送到外部的 Syslog 或安全資訊和事件管理 (SIEM) 伺服器。這對於集中監控和自訂報告非常有用。
秘訣
秘訣
或者,如果您想將事件發佈到 Amazon SNS,請參閱 使用 Amazon SNS 存取事件
基本步驟包括:

步驟

  1. 允許事件轉發網路流量
  2. 定義 Syslog 配置
  3. 轉發系統事件 和/或 轉發安全事件

允許事件轉發網路流量 上層主題

所有路由器、防火牆和安全群組必須允許來自 Server & Workload Security保護 的輸入流量(以及來自代理的安全事件直接轉發的輸入流量)到您的 Syslog 伺服器。另請參閱 Server & Workload Security保護埠號。您的 Syslog 伺服器必須能夠通過網路訪問,且其網域名稱必須能夠在全球 DNS 解析。

定義 Syslog 設定 上層主題

Syslog 配置定義了轉發系統或安全事件時可以使用的目的地和設置。
如果您在2017年一月26日之前配置了SIEM或Syslog設置,它們已被轉換為Syslog配置。相同的配置已被合併。

步驟

  1. 前往Policies Common Objects Other Syslog Configurations
  2. 點選 New New Configuration
  3. General標籤上,配置:
    • 名稱: 用於識別配置的唯一名稱。
    • Description: 配置的可選描述。
    • Log Source Identifier:可選的識別碼,用於替代Server & Workload Security保護主機名。Server & Workload Security保護是多節點的,每個伺服器節點都有不同的主機名。因此,日誌來源 ID 可能會不同。如果您需要無論主機名如何,ID 都保持一致(例如,為了正在過濾的目的),您可以在此配置它們的共享日誌來源 ID。此設置不適用於由代理直接發送的事件,這些事件始終使用其主機名作為日誌來源 ID。
    • Server Name: 接收 Syslog 或 SIEM 伺服器的主機名稱或 IP 位址。
    • Server Port: 在 SIEM 或 Syslog 伺服器上監聽的通訊埠號碼。對於 UDP,IANA 標準通訊埠號碼是 514。對於 TLS,通常是通訊埠 6514。另請參閱 Server & Workload Security保護埠號
    • Transport: 傳輸通訊協定是否安全(TLS)或不安全(UDP)。使用 UDP 時,Syslog 訊息限制為 64 KB。如果訊息較長,資料可能會被截斷。使用 TLS 時,管理者和 Syslog 伺服器必須信任彼此的憑證。從管理者到 Syslog 伺服器的連線使用 TLS 1.2、1.1 或 1.0 進行加密。
      注意
      注意
      TLS 要求您將 Agents should forward logs 間接設置為 Via the Workload Security Manager。代理不支援使用 TLS 轉發。
    • Event Format: 日誌訊息的格式是 LEEF、CEF 還是基本的 Syslog。請參閱 Syslog 訊息格式。
      注意
      注意
      • LEEF 格式要求您將 Agents should forward logs 間接設置為 Via the Workload Security Manager
      • 惡意程式防護、網頁信譽評等、完整性監控和 Application Control 模組不支援基本 Syslog 格式。
    • Include time zone in events: 是否將完整日期(包括年份和時區)添加到事件中。範例(選中):2018-09-14T01:02:17.123+04:00。範例(未選中):九月 14 01:02:17。
      注意
      注意
      完整日期要求您將Agents should forward logs間接設置為Via the Workload Security Manager
    • Facility: 事件將關聯的處理類型。Syslog 伺服器可能會根據日誌訊息的設施欄位進行優先級排序或過濾。另請參閱 什麼是 Syslog 設施和級別?
    • Agents should forward logs: 是否要傳送事件 Directly to the Syslog serverVia the Workload Security Manager(間接)。當直接將日誌轉發到 Syslog 伺服器時,代理程式使用明文 UDP。日誌包含有關您安全系統的敏感資訊。如果日誌將通過不受信任的網路(如網路),請考慮添加 VPN 隧道或類似的措施以防止偵察和篡改。
      注意
      注意
      • 如果您通過Server & Workload Security保護轉發日誌,它們不包括防火牆和入侵防護封包資料。
      • Mac 代理僅支援透過工作負載安全管理器轉發日誌。如果您選擇Directly to the Syslog server,日誌將不包含周邊設備存取控管資料。
  4. 如果 Syslog 或 SIEM 伺服器要求 TLS 客戶端進行客戶端驗證(也稱為雙邊或相互驗證),請在 Credentials 標籤上進行配置:
    • Private Key: 貼上 Server & Workload Security保護 用戶端憑證的私鑰。
    • Certificate: 貼上 client 憑證,Server & Workload Security保護 將使用該憑證在 TLS 連線中識別自身至 Syslog 伺服器。請使用 PEM 格式,也稱為 Base64 編碼格式。
    • Certificate Chain: 如果中繼 CA 簽署了用戶端憑證,但 Syslog 伺服器不認識並信任該 CA,則貼上證明與受信任的根 CA 有關係的 CA 憑證。在每個 CA 憑證之間按 Enter。
  5. 點選 Apply
  6. 如果您選擇了 TLS 傳輸機制,請確認 Server & Workload Security保護 和 Syslog 伺服器都能連接並信任彼此的憑證。 a. 點選 Test ConnectionServer & Workload Security保護 會嘗試解析主機名並連接。如果失敗,將顯示錯誤訊息。如果 Syslog 或 SIEM 伺服器憑證尚未被 Server & Workload Security保護 信任,連接將失敗並顯示 Accept Server Certificate? 訊息。該訊息顯示 Syslog 伺服器的憑證內容。 b. 驗證 Syslog 伺服器的憑證是否正確,然後點選 確定 以接受它。該憑證將被添加到 Administration System Settings Security 上管理員的信任憑證列表中。Server & Workload Security保護 可以接受自簽名憑證。 c. 再次點選 Test Connection。現在 TLS 連接應該會成功。
  7. 繼續選擇要轉發的事件。請參閱 轉發系統事件 和/或 轉發安全事件

轉發系統事件 上層主題

Server & Workload Security保護 生成系統事件(例如管理員登錄或升級代理軟體)。

步驟

  1. 前往Administration System Settings Event Forwarding
  2. Forward System Events to a remote computer (via Syslog) using configuration 中,選擇現有的配置或選擇 New。詳情請參閱 定義 Syslog 配置
  3. 點選 儲存

轉發安全事件 上層主題

代理保護功能會產生安全事件(例如偵測到惡意程式或觸發 IPS 規則)。您可以轉發事件:
  • 直接
  • 間接地,通過Server & Workload Security保護
某些事件轉發選項 需要通過 Server & Workload Security保護 間接轉發代理事件。
與其他原則設定一樣,您可以覆寫特定原則或電腦的事件轉發設定。請參閱 原則、繼承和覆寫

步驟

  1. 前往Policies
  2. 雙擊電腦使用的政策。
  3. 選擇 設定,然後選擇 Event Forwarding 標籤。
  4. Period between sending of events中選擇轉發事件的頻率。
  5. Anti-Malware Syslog Configuration 和其他保護模組的下拉選單中,選擇要使用的 Syslog 配置,點選 編輯 來更改它,選擇 來關閉它,或點選 New。詳情請參閱 定義 Syslog 配置
  6. 點選 Save.

疑難排解事件轉發 上層主題

"無法傳送 Syslog 訊息" 警示 上層主題

如果您的 Syslog 配置有問題,您可能會看到此警報:
Failed to Send Syslog Message  
The Server & Workload Security保護 Manager was unable to forward messages to a Syslog Server.  
Unable to forward messages to a Syslog Server
警報還包含一個指向受影響的 Syslog 配置的連結。點選該連結以開啟配置,然後點選 Test Connection 以獲取更多診斷資訊。它將顯示連線是否成功,或顯示包含更多詳細原因的錯誤訊息。

無法編輯 Syslog 配置 上層主題

如果您能看到 Syslog 設定但無法編輯,則與您帳戶相關的角色可能沒有適當的權限。能夠配置角色的管理員可以通過前往 Administration User Management 檢查您的權限。然後選擇您的名字並點選 Properties。在 Other Rights 標籤上,Syslog Configurations 設定控制您編輯 Syslog 設定的能力。

由於憑證過期,Syslog 未傳輸 上層主題

有效的憑證是通過 TLS 安全連接所必需的。如果您設置了 TLS 客戶端驗證且憑證過期,訊息將無法發送到 Syslog 伺服器。要解決此問題,請獲取新的憑證,使用新的憑證值更新 Syslog 配置,測試連接,然後保存配置。

由於伺服器憑證已過期或更改,Syslog 未送達 上層主題

需要有效的憑證才能透過 TLS 安全連線。如果 Syslog 伺服器的憑證已過期或變更,請開啟 Syslog 設定並點選 Test Connection。系統會提示您接受新的憑證。

相容性 上層主題

Server & Workload Security保護 已使用企業版進行測試:
  • Splunk 6.5.1
  • IBM QRadar 7.2.8 補丁 3(包含 TLS 通訊協定補丁,PROTOCOL-TLSSyslog-7.2-20170104125004.noarch)
  • HP ArcSight 7.2.2(使用 ArcSight-7.2.2.7742.0-Connector 工具創建的 TLS Syslog-NG 連接器)
其他標準的 Syslog 軟體可能可行,但尚未驗證。
秘訣
秘訣
如果您使用 Splunk,您可以使用 Deep Security app for Splunk 來獲取儀表板和已保存的搜索。