Anpassen der Einstellungen der SIEM-Integration

Standardmäßig wird die SIEM-Integration nicht verwendet. Sie können die SIEM-Integration aktivieren und deaktivieren und die entsprechenden Einstellungen konfigurieren (s. Tabelle unten).

Einstellungen für die SIEM-Integration

Einstellung	Standardwert	Beschreibung
Ereignisse über das syslog-Protokoll an externen syslog-Server senden	Wird nicht verwendet	Sie können die SIEM-Integration mithilfe dieses Kontrollkästchens aktivieren und deaktivieren.
Lokale Kopien von Ereignissen löschen, die an externe syslog-Server gesendet wurden	Wird nicht verwendet	Sie können die Speicherung lokaler Kopien der Protokolle nach ihrem Versand an den SIEM-Server mithilfe dieses Kontrollkästchens konfigurieren.
Format der Ereignisse	Strukturierte Daten	Sie können eines von zwei Formaten wählen, in die das Programm die Ereignisse vor ihrem Versand an den syslog-Server konvertiert, damit sie vom SIEM-Server erfolgreich identifiziert werden können.
Verbindungsprotokoll	TCP	Sie können mithilfe der Dropdown-Liste die Verbindung mit dem primären und dem zusätzlichen syslog-Server über die Protokolle UPD oder TCP anpassen.
Einstellungen der Verbindung mit dem primären syslog-Server	IP-Adresse: 127.0.0.1 Port: 514	Sie können in den entsprechenden Feldern die Werte für IP-Adresse und Port angeben, um die Verbindung mit dem primären syslog-Server anzupassen. Der Wert der IP-Adresse darf nur im Format IPv4 angegeben werden.
Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist	Wird nicht verwendet	Sie können mithilfe dieses Kontrollkästchens die Verwendung eines syslog-Spiegelservers aktivieren und deaktivieren.
Einstellungen der Verbindung mit dem zusätzlichen syslog-Server	IP-Adresse: 127.0.0.1 Port: 514	Sie können in den entsprechenden Feldern die Werte für IP-Adresse und Port angeben, um die Verbindung mit dem gespiegelten syslog-Server anzupassen. Der Wert der IP-Adresse darf nur im Format IPv4 angegeben werden.

Um die Einstellungen der SIEM-Integration zu konfigurieren, gehen Sie wie folgt vor:

1. Öffnen Sie in der Struktur der Programmkonsole das Kontextmenü des Knotens Protokolle und Benachrichtigungen.
2. Wählen Sie den Menüpunkt Eigenschaften.

   Das Fenster Einstellungen für Protokolle und Benachrichtigungen wird geöffnet.

3. Wählen Sie die Registerkarte SIEM-Integration aus.
4. Aktivieren Sie im Abschnitt Integrationseinstellungen das Kontrollkästchen Ereignisse über das syslog-Protokoll an externen syslog-Server senden.
   

   Das Kontrollkästchen aktiviert/deaktiviert die Verwendung der Funktion zum Versand der zu veröffentlichenden Ereignisse an den externen syslog-Server.

   Wenn das Kontrollkästchen aktiviert ist, sendet das Programm die zu veröffentlichenden Ereignisse an den SIEM-Server gemäß der Konfiguration der SIEM-Integration.

   Wenn das Kontrollkästchen deaktiviert ist, nimmt das Programm keine SIEM-Integration vor. Sie können die Einstellungen der SIEM-Integration nicht anpassen, wenn das Kontrollkästchen deaktiviert ist.

   Das Kontrollkästchen ist standardmäßig deaktiviert.

5. Aktivieren Sie bei Bedarf im Abschnitt Integrationseinstellungen das Kontrollkästchen Lokale Kopien von Ereignissen löschen, die an externe syslog-Server gesendet wurden.
   

   Das Kontrollkästchen aktiviert/deaktiviert das Löschen der lokalen Kopien der Protokolle nach ihrem Versand an den SIEM-Server.

   Wenn das Kontrollkästchen aktiviert ist, löscht das Programm die lokalen Kopien der Ereignisse, sobald sie erfolgreich auf dem SIEM-Server veröffentlicht wurden. Es wird empfohlen, diesen Modus auf leistungsschwachen Geräten zu verwenden.

   Wenn das Kontrollkästchen deaktiviert ist, sendet das Programm lediglich die Ereignisse an den SIEM-Server. Die Kopien der Berichte werden weiterhin lokal gespeichert.

   Das Kontrollkästchen ist standardmäßig deaktiviert.

   Der Status des Kontrollkästchens Lokale Kopien von Ereignissen löschen, die an externe syslog-Server gesendet wurden beeinflusst nicht die Einstellungen zum Speichern der Ereignisse des Sicherheitsprotokolls: Das Programm löscht niemals automatisch die Ereignisse des Sicherheitsprotokolls.

6. Geben Sie im Abschnitt Format der Ereignisse das Format an, in das Sie die Ereignisse bei der Programmausführung für den Versand an den SIEM-Server konvertieren möchten.

   Standardmäßig konvertiert das Programm die Ereignisse in ein Format für strukturierte Daten.

7. Gehen Sie im Abschnitt Verbindungseinstellungen wie folgt vor:
   • Geben Sie das Protokoll für die Verbindung zu SIEM an.
   • Geben Sie die Einstellungen der Verbindung mit dem primären syslog-Server an.

     Die IP-Adresse kann nur im Format IPv4 angegeben werden.

   • Aktivieren Sie das Kontrollkästchen Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist, wenn Sie möchten, dass das Programm andere Verbindungseinstellungen verwendet, wenn der Versand der Ereignisse an den primären syslog-Server nicht verfügbar ist.

     Geben Sie die folgenden Einstellungen für die Verbindung mit dem zusätzlichen syslog-Server an: Adresse und Port.

     Die Felder Adresse und Port des syslog-Spiegelservers können nicht bearbeitet werden, wenn das Kontrollkästchen Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist deaktiviert ist.

     Die IP-Adresse kann nur im Format IPv4 angegeben werden.

8. Klicken Sie auf OK.

   Die angepassten Einstellungen der SIEM-Integration werden übernommen.

Zum Seitenanfang