Configuración de las opciones de integración de SIEM
De forma predeterminada, la integración de SIEM no se usa. Puede habilitar y deshabilitar la integración de SIEM y configurar las opciones correspondientes (consulte la tabla a continuación).
Configuración de integración de SIEM
Configuración | Valor predeterminado | Descripción |
Enviar eventos a un servidor remoto de Syslog, mediante el protocolo Syslog | No aplicado | Puede habilitar o deshabilitar la integración de SIEM al seleccionar o al desactivar la casilla, respectivamente. |
Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog | No aplicado | Puede ajustar la configuración para almacenar copias locales de registros después de que se envíen al servidor SIEM al seleccionar o al desactivar la casilla. |
Formato de los eventos | Datos estructurados | Puede seleccionar uno de dos formatos a los cuales la aplicación convierte sus eventos antes de enviarlos al servidor syslog para el mejor reconocimiento de estos eventos por el servidor SIEM. |
Protocolo de conexión | TCP | Puede usar la lista desplegable para configurar la conexión con los servidores syslog principal e idéntico mediante protocolos de TCP o UDP. |
Configuración de conexión al servidor syslog principal | Dirección IP: 127.0.0.1 Puerto: 514 | Puede usar los campos apropiados para configurar la dirección IP y el puerto usados para conectarse al servidor syslog principal. Puede especificar la dirección IP solo en el formato IPv4. |
Utilice el servidor reflejado de Syslog si no es posible acceder al servidor principal | No aplicado | Puede usar la casilla para habilitar o deshabilitar el uso de un servidor syslog idéntico. |
Configuración de conexión al servidor syslog idéntico | Dirección IP: 127.0.0.1 Puerto: 514 | Puede usar los campos apropiados para configurar la dirección IP y el puerto usados para conectarse al servidor reflejado de Syslog. Puede especificar la dirección IP solo en el formato IPv4. |
Para configurar la integración de SIEM:
- En el árbol de la Consola de la aplicación, abra el menú contextual del nodo Registros y notificaciones.
- Seleccione Propiedades.
Se abre la ventana Configuración de registros y notificaciones.
- Seleccione la pestaña Integración de SIEM.
- En la sección Ajustes de integración, seleccione la casilla de verificación Enviar eventos a un servidor remoto de Syslog, mediante el protocolo Syslog.
- Si es necesario, en la sección Ajustes de integración, seleccione la casilla Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog.
El estado de la casilla Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog no afecta la configuración para almacenar eventos del registro de seguridad: la aplicación nunca elimina automáticamente eventos del registro de seguridad.
- En la sección Formato de los eventos, especifique el formato al cual desea convertir los eventos de la aplicación de modo que se puedan enviar al servidor SIEM.
De forma predeterminada, la aplicación los convierte en un formato de datos estructurado.
- En la sección Configuración de conexión:
- Especifique el protocolo de conexión de SIEM.
- Especifique la configuración para conectarse al servidor syslog principal.
Solo puede especificar una dirección IP en formato IPv4.
- Seleccione la casilla Utilice el servidor reflejado de Syslog si no es posible acceder al servidor principal si desea que la aplicación use otra configuración de conexión cuando sea incapaz de enviar eventos al servidor syslog principal.
Especifique la siguiente configuración para conectarse al servidor syslog idéntico: Dirección y Puerto.
Los campos Dirección y Puerto para el servidor reflejado de syslog no pueden editarse si se desactiva la casilla Utilice el servidor reflejado de Syslog si no es posible acceder al servidor principal.
Solo puede especificar una dirección IP en formato IPv4.
- Haga clic en Aceptar.
La configuración de integración de SIEM establecida se aplicará.
