Definições das configurações de integração SIEM
Por padrão, a integração SIEM não é utilizada. É possível ativar e desativar a integração SIEM e definir configurações relevantes (consulte a tabela abaixo).
Configurações de integração SIEM
Configuração | Valor padrão | Descrição |
Enviar eventos para um servidor syslog remoto pelo protocolo syslog | Não aplicado | É possível ativar ou desativar a integração SIEM marcando ou desmarcando a caixa de seleção, respectivamente. |
Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto | Não aplicado | É possível definir as configurações para armazenar as cópias locais dos logs após terem sido enviados ao servidor SIEM marcando ou desmarcando a caixa de seleção. |
Formato dos eventos | Dados estruturados | É possível selecionar um de dois formatos nos quais o aplicativo converte seus eventos antes de enviá-los ao servidor syslog para um melhor reconhecimento desses eventos pelo servidor SIEM. |
Protocolo de conexão | TCP | É possível usar a lista suspensa para configurar a conexão com o servidor syslog principal e o refletido através dos protocolos UDP ou TCP. |
Configurações de conexão do servidor syslog principal | Endereço IP: 127.0.0.1 Porto: 514 | Você pode usar os campos apropriados para configurar o endereço IP e a porta usados para conectar-se ao servidor syslog principal. É possível especificar o endereço IP somente no formato IPv4. |
Use um servidor syslog de espelhamento se o servidor principal não estiver acessível | Não aplicado | É possível usar a caixa de seleção para ativar ou desativar o uso de um servidor syslog refletido. |
Configurações de conexão do servidor syslog de espelhamento | Endereço IP: 127.0.0.1 Porto: 514 | Você pode usar os campos apropriados para configurar o endereço IP e a porta usados para conectar-se ao servidor syslog de espelhamento. É possível especificar o endereço IP somente no formato IPv4. |
Para definir as configurações de integração SIEM:
- Na árvore do Console do Aplicativo, abra o menu de contexto do node Logs e notificações.
- Selecione Propriedades.
A janela Configurações de logs e notificações é exibida.
- Selecione a guia Integração SIEM.
- Na seção Configurações de integração, marque a caixa de seleção Enviar eventos para um servidor syslog remoto pelo protocolo syslog.
- Se necessário, na seção Configurações de integração, marque a caixa de seleção Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto.
O status da caixa de seleção Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto não afeta as configurações de armazenamento de eventos do log de segurança: o aplicativo nunca exclui automaticamente os eventos de log de segurança.
- Na seção Formato dos eventos, especifique o formato para o qual deseja converter eventos do aplicativo para que sejam enviados ao servidor SIEM.
Por padrão, o aplicativo converte-os em um formato de dados estruturados.
- Na seção Configurações de conexão:
- Especifique o protocolo de conexão SIEM.
- Especifique as configurações para a conexão com o servidor syslog principal.
Só é possível especificar um endereço IP no formato IPv4.
- Marque a caixa de seleção Use um servidor syslog de espelhamento se o servidor principal não estiver acessível se desejar que o aplicativo use outras configurações de conexão quando não for possível enviar eventos para o servidor syslog principal.
Especifique as seguintes configurações para a conexão com o servidor syslog de espelhamento: Endereço e Porta.
Os campos Endereço e Porta do servidor syslog de espelhamento não poderão ser editados se a caixa de seleção Use um servidor syslog de espelhamento se o servidor principal não estiver acessível estiver desmarcada.
Só é possível especificar um endereço IP no formato IPv4.
- Clique em OK.
As configurações da integração SIEM definidas serão aplicadas.