Anpassen der Einstellungen der SIEM-Integration

Standardmäßig wird die SIEM-Integration nicht verwendet. Sie können die SIEM-Integration aktivieren und deaktivieren und die entsprechenden Einstellungen konfigurieren (s. Tabelle unten).

Einstellungen für die SIEM-Integration

Einstellung

Standardwert

Beschreibung

Ereignisse über das syslog-Protokoll an externen syslog-Server senden

Wird nicht verwendet

Sie können die SIEM-Integration mithilfe dieses Kontrollkästchens aktivieren und deaktivieren.

Lokale Kopien von Ereignissen löschen, die an externe syslog-Server gesendet wurden

Wird nicht verwendet

Sie können die Speicherung lokaler Kopien der Protokolle nach ihrem Versand an den SIEM-Server mithilfe dieses Kontrollkästchens konfigurieren.

Format der Ereignisse

Strukturierte Daten

Sie können eines von zwei Formaten wählen, in die das Programm die Ereignisse vor ihrem Versand an den syslog-Server konvertiert, damit sie vom SIEM-Server erfolgreich identifiziert werden können.

Verbindungsprotokoll

TCP

Sie können mithilfe der Dropdown-Liste die Verbindung mit dem primären und dem zusätzlichen syslog-Server über die Protokolle UPD oder TCP anpassen.

Einstellungen der Verbindung mit dem primären syslog-Server

IP-Adresse: 127.0.0.1

Port: 514

Sie können in den entsprechenden Feldern die Werte für IP-Adresse und Port angeben, um die Verbindung mit dem primären syslog-Server anzupassen.

Der Wert der IP-Adresse darf nur im Format IPv4 angegeben werden.

Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist

Wird nicht verwendet

Sie können mithilfe dieses Kontrollkästchens die Verwendung eines syslog-Spiegelservers aktivieren und deaktivieren.

Einstellungen der Verbindung mit dem zusätzlichen syslog-Server

IP-Adresse: 127.0.0.1

Port: 514

Sie können in den entsprechenden Feldern die Werte für IP-Adresse und Port angeben, um die Verbindung mit dem gespiegelten syslog-Server anzupassen.

Der Wert der IP-Adresse darf nur im Format IPv4 angegeben werden.

Um die Einstellungen der SIEM-Integration zu konfigurieren, gehen Sie wie folgt vor:

  1. Öffnen Sie in der Struktur der Programmkonsole das Kontextmenü des Knotens Protokolle und Benachrichtigungen.
  2. Wählen Sie den Menüpunkt Eigenschaften.

    Das Fenster Einstellungen für Protokolle und Benachrichtigungen wird geöffnet.

  3. Wählen Sie die Registerkarte SIEM-Integration aus.
  4. Aktivieren Sie im Abschnitt Integrationseinstellungen das Kontrollkästchen Ereignisse über das syslog-Protokoll an externen syslog-Server senden.
  5. Aktivieren Sie bei Bedarf im Abschnitt Integrationseinstellungen das Kontrollkästchen Lokale Kopien von Ereignissen löschen, die an externe syslog-Server gesendet wurden.

    Der Status des Kontrollkästchens Lokale Kopien von Ereignissen löschen, die an externe syslog-Server gesendet wurden beeinflusst nicht die Einstellungen zum Speichern der Ereignisse des Sicherheitsprotokolls: Das Programm löscht niemals automatisch die Ereignisse des Sicherheitsprotokolls.

  6. Geben Sie im Abschnitt Format der Ereignisse das Format an, in das Sie die Ereignisse bei der Programmausführung für den Versand an den SIEM-Server konvertieren möchten.

    Standardmäßig konvertiert das Programm die Ereignisse in ein Format für strukturierte Daten.

  7. Gehen Sie im Abschnitt Verbindungseinstellungen wie folgt vor:
    • Geben Sie das Protokoll für die Verbindung zu SIEM an.
    • Geben Sie die Einstellungen der Verbindung mit dem primären syslog-Server an.

      Die IP-Adresse kann nur im Format IPv4 angegeben werden.

    • Aktivieren Sie das Kontrollkästchen Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist, wenn Sie möchten, dass das Programm andere Verbindungseinstellungen verwendet, wenn der Versand der Ereignisse an den primären syslog-Server nicht verfügbar ist.

      Geben Sie die folgenden Einstellungen für die Verbindung mit dem zusätzlichen syslog-Server an: Adresse und Port.

      Die Felder Adresse und Port des syslog-Spiegelservers können nicht bearbeitet werden, wenn das Kontrollkästchen Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist deaktiviert ist.

      Die IP-Adresse kann nur im Format IPv4 angegeben werden.

  8. Klicken Sie auf OK.

    Die angepassten Einstellungen der SIEM-Integration werden übernommen.

Zum Seitenanfang