Definições das configurações de integração SIEM

Por padrão, a integração SIEM não é utilizada. É possível ativar e desativar a integração SIEM e definir configurações relevantes (consulte a tabela abaixo).

Configurações de integração SIEM

Configuração

Valor padrão

Descrição

Enviar eventos para um servidor syslog remoto pelo protocolo syslog

Não aplicado

É possível ativar ou desativar a integração SIEM marcando ou desmarcando a caixa de seleção, respectivamente.

Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto

Não aplicado

É possível definir as configurações para armazenar as cópias locais dos logs após terem sido enviados ao servidor SIEM marcando ou desmarcando a caixa de seleção.

Formato dos eventos

Dados estruturados

É possível selecionar um de dois formatos nos quais o aplicativo converte seus eventos antes de enviá-los ao servidor syslog para um melhor reconhecimento desses eventos pelo servidor SIEM.

Protocolo de conexão

TCP

É possível usar a lista suspensa para configurar a conexão com o servidor syslog principal e o refletido através dos protocolos UDP ou TCP.

Configurações de conexão do servidor syslog principal

Endereço IP: 127.0.0.1

Porto: 514

Você pode usar os campos apropriados para configurar o endereço IP e a porta usados para conectar-se ao servidor syslog principal.

É possível especificar o endereço IP somente no formato IPv4.

Use um servidor syslog de espelhamento se o servidor principal não estiver acessível

Não aplicado

É possível usar a caixa de seleção para ativar ou desativar o uso de um servidor syslog refletido.

Configurações de conexão do servidor syslog de espelhamento

Endereço IP: 127.0.0.1

Porto: 514

Você pode usar os campos apropriados para configurar o endereço IP e a porta usados para conectar-se ao servidor syslog de espelhamento.

É possível especificar o endereço IP somente no formato IPv4.

Para definir as configurações de integração com o SIEM:

  1. Na árvore do Console do Aplicativo, abra o menu de contexto do node Logs e notificações.
  2. Selecione Propriedades.

    A janela Configurações de logs e notificações é exibida.

  3. Selecione a guia Integração SIEM.
  4. No bloco Configurações de integração, marque a caixa de seleção Enviar eventos para um servidor syslog remoto pelo protocolo syslog.
  5. Caso necessário, no bloco Configurações de integração, marque a caixa de seleção Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto.

    O status da caixa de seleção Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto não afeta as configurações de armazenamento de eventos do log de segurança: o aplicativo nunca exclui automaticamente os eventos de log de segurança.

  6. No bloco Formato dos eventos, especifique o formato para o qual deseja converter eventos do aplicativo para que sejam enviados ao servidor SIEM.

    Por padrão, o aplicativo converte-os em um formato de dados estruturados.

  7. No bloco Configurações de conexão:
    • Especifique o protocolo de conexão SIEM.
    • Nos campos de mesmo nome, especifique o endereço IPv4 e a porta para a conexão com o servidor syslog principal.
    • Marque a caixa de seleção Use um servidor syslog de espelhamento se o servidor principal não estiver acessível se desejar que o aplicativo use outras configurações de conexão quando não for possível enviar eventos para o servidor syslog principal.
    • Nos campos de mesmo nome, especifique o endereço IPv4 e a porta para a conexão com um servidor syslog adicional.
  8. Clique no botão OK.

    As configurações da integração SIEM definidas serão aplicadas.

Início da página