Configuración de las opciones de integración de SIEM
De forma predeterminada, la integración de SIEM no se usa. Puede habilitar y deshabilitar la integración de SIEM y configurar las opciones correspondientes (consulte la tabla a continuación).
Configuración de integración de SIEM
Configuración |
Valor predeterminado |
Descripción |
Enviar eventos a un servidor remoto de Syslog, mediante el protocolo Syslog |
No aplicado |
Puede habilitar o deshabilitar la integración de SIEM al seleccionar o al desactivar la casilla, respectivamente. |
Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog |
No aplicado |
Puede ajustar la configuración para almacenar copias locales de registros después de que se envíen al servidor SIEM al seleccionar o al desactivar la casilla. |
Formato de los eventos |
Datos estructurados |
Puede seleccionar uno de dos formatos a los cuales la aplicación convierte sus eventos antes de enviarlos al servidor syslog para el mejor reconocimiento de estos eventos por el servidor SIEM. |
Protocolo de conexión |
TCP |
Puede usar la lista desplegable para configurar la conexión con los servidores syslog principal e idéntico mediante protocolos de TCP o UDP. |
Configuración de conexión al servidor syslog principal |
Dirección IP: 127.0.0.1 Puerto: 514 |
Puede usar los campos apropiados para configurar la dirección IP y el puerto usados para conectarse al servidor syslog principal. Puede especificar la dirección IP solo en el formato IPv4. |
Utilice el servidor reflejado de Syslog si no es posible acceder al servidor principal |
No aplicado |
Puede usar la casilla para habilitar o deshabilitar el uso de un servidor syslog idéntico. |
Configuración de conexión al servidor syslog idéntico |
Dirección IP: 127.0.0.1 Puerto: 514 |
Puede usar los campos apropiados para configurar la dirección IP y el puerto usados para conectarse al servidor reflejado de Syslog. Puede especificar la dirección IP solo en el formato IPv4. |
Para configurar los ajustes para la integración con SIEM:
- En el árbol de la Consola de la aplicación, abra el menú contextual del nodo Registros y notificaciones.
- Seleccione Propiedades.
Se abre la ventana Configuración de registros y notificaciones.
- Seleccione la pestaña Integración de SIEM.
- En el bloque Ajustes de integración, active la casilla Enviar eventos a un servidor remoto de Syslog, mediante el protocolo Syslog.
- Si es necesario, en el bloque Ajustes de integración, active la casilla Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog.
El estado de la casilla Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog no afecta la configuración para almacenar eventos del registro de seguridad: la aplicación nunca elimina automáticamente eventos del registro de seguridad.
- En el bloque Formato de los eventos, especifique el formato al cual desee convertir los eventos de la aplicación de modo que se puedan enviar al servidor SIEM.
De forma predeterminada, la aplicación los convierte en un formato de datos estructurado.
- En el bloque Configuración de conexión:
- Especifique el protocolo de conexión de SIEM.
- En los campos del mismo nombre, especifique la dirección IPv4 y el puerto que se usarán para conectarse al servidor syslog principal.
- Seleccione la casilla Utilice el servidor reflejado de Syslog si no es posible acceder al servidor principal si desea que la aplicación use otra configuración de conexión cuando sea incapaz de enviar eventos al servidor syslog principal.
- En los campos del mismo nombre, especifique la dirección IPv4 y el puerto que se usarán para conectarse a un servidor syslog adicional.
- Haga clic en el botón Aceptar.
La configuración de integración de SIEM establecida se aplicará.
