Anpassen der Einstellungen der SIEM-Integration
Standardmäßig wird die SIEM-Integration nicht verwendet. Sie können die SIEM-Integration aktivieren und deaktivieren und die entsprechenden Einstellungen konfigurieren (s. Tabelle unten).
Einstellungen für die SIEM-Integration
Einstellung | Standardwert | Beschreibung |
Ereignisse via syslog-Protokoll an einen externen syslog-Server senden | Wird nicht verwendet | Sie können die SIEM-Integration mithilfe dieses Kontrollkästchens aktivieren und deaktivieren. |
Lokale Kopien von Ereignissen nach dem Senden an externen syslog-Server löschen | Wird nicht verwendet | Sie können die Speicherung lokaler Kopien der Protokolle nach ihrem Versand an den SIEM-Server mithilfe dieses Kontrollkästchens konfigurieren. |
Format der Ereignisse | Strukturierte Daten | Sie können eines von zwei Formaten wählen, in die das Programm die Ereignisse vor ihrem Versand an den syslog-Server konvertiert, damit sie vom SIEM-Server erfolgreich identifiziert werden können. |
Verbindungsprotokoll | TCP | Sie können mithilfe der Dropdown-Liste die Verbindung mit dem primären und dem zusätzlichen syslog-Server über die Protokolle UPD oder TCP anpassen. |
Einstellungen der Verbindung mit dem primären syslog-Server | IP-Adresse: 127.0.0.1 Port: 514 | Sie können in den entsprechenden Feldern die Werte für IP-Adresse und Port angeben, um die Verbindung mit dem primären syslog-Server anzupassen. Der Wert der IP-Adresse darf nur im Format IPv4 angegeben werden. |
Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist | Wird nicht verwendet | Sie können mithilfe dieses Kontrollkästchens die Verwendung eines syslog-Spiegelservers aktivieren und deaktivieren. |
Einstellungen der Verbindung mit dem zusätzlichen syslog-Server | IP-Adresse: 127.0.0.1 Port: 514 | Sie können in den entsprechenden Feldern die Werte für IP-Adresse und Port angeben, um die Verbindung mit dem gespiegelten syslog-Server anzupassen. Der Wert der IP-Adresse darf nur im Format IPv4 angegeben werden. |
So konfigurieren Sie die Einstellungen für die Integration mit SIEM:
- Öffnen Sie in der Struktur der Programmkonsole das Kontextmenü des Knotens Protokolle und Benachrichtigungen.
- Wählen Sie den Menüpunkt Eigenschaften.
Das Fenster Einstellungen für Protokolle und Benachrichtigungen wird geöffnet.
- Wählen Sie die Registerkarte SIEM-Integration aus.
- Aktivieren Sie im Abschnitt Integrationseinstellungen das Kontrollkästchen Ereignisse via syslog-Protokoll an einen externen syslog-Server senden.
- Aktivieren Sie bei Bedarf im Abschnitt Integrationseinstellungen das Kontrollkästchen Lokale Kopien von Ereignissen nach dem Senden an externen syslog-Server löschen löschen.
Der Status des Kontrollkästchens Lokale Kopien von Ereignissen nach dem Senden an externen syslog-Server löschen beeinflusst nicht die Einstellungen zum Speichern der Ereignisse des Sicherheitsprotokolls: Das Programm löscht niemals automatisch die Ereignisse des Sicherheitsprotokolls.
- Geben Sie im Abschnitt Format der Ereignisse das Format an, in das die Anwendungsereignisse konvertiert werden sollen, damit sie an den SIEM-Server gesendet werden können.
Standardmäßig konvertiert das Programm die Ereignisse in ein Format für strukturierte Daten.
- Gehen Sie im Abschnitt Verbindungseinstellungen wie folgt vor:
- Geben Sie das Protokoll für die Verbindung zu SIEM an.
- Geben Sie in den gleichnamigen Feldern die IPv4-Adresse und den Port für die Verbindung mit dem Syslog-Hauptserver an.
- Aktivieren Sie das Kontrollkästchen Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist, wenn Sie möchten, dass das Programm andere Verbindungseinstellungen verwendet, wenn der Versand der Ereignisse an den primären syslog-Server nicht verfügbar ist.
- Geben Sie in den gleichnamigen Feldern die IPv4-Adresse und den Port für die Verbindung mit einem weiteren Syslog-Server an.
- Klicken Sie auf die Schaltfläche OK.
Die angepassten Einstellungen der SIEM-Integration werden übernommen.
