Syslog/SIEM-Integration
Die Syslog-Integration von Emsisoft ermöglicht es Ihnen, sicherheitsrelevante Ereignisse an einen externen Security Information and Event Management (SIEM) Server weiterzuleiten. Nutzen Sie diese Funktion für eine zentrale Überwachung und Log-Aggregation von mehreren Datenquellen. Es kann jeder Syslog-kompatible Server verwendet werden, z. B. Splunk Connect für Syslog.
Einrichtung der Syslog-Integration
Navigieren Sie auf die Seite ‚Einstellungen‘ Ihres Emsisoft Workspace und scrollen Sie nach unten zu ‚Integrationen‘.
1. Fügen Sie eine neue Integrationskonfiguration hinzu.Konfiguration der Syslog/SIEM Integration in der Emsisoft Management Konsole
2. Wählen Sie die Ereignistypen, die Sie erhalten möchten.
3. Wählen Sie „Syslog“ in der Dropdown-Box „Wie“.
4. Geben Sie den Hostnamen oder die IP Ihres Syslog-kompatiblen Servers in das Feld „Host“ ein und legen Sie den Port für den Datenempfang fest.
5. Klicken Sie auf „OK“, um die Integration zu aktivieren.
Gesicherte Verbindung
Die Daten werden immer über eine gesicherte TLS-Verbindung gestreamt.
Datenformat
Das einzige unterstützte Datenformat ist CEF (Common Event Format).
Datenverkehr im Firewall zulassen
Bitte stellen Sie sicher, dass Ihr Syslog Server von der Emsisoft Infrastruktur erreicht werden kann. Die folgenden IPs müssen in Ihrer Firewall-Konfiguration erlaubt sein:
157.90.227.118
157.90.227.179
157.90.227.137
157.90.229.47
Hinweis: In einer zukünftigen Version werden wir Client-Zertifikate unterstützen, so dass Sie den Zugriff auf Ihren Syslog-Server mit expliziter Client-Authentifizierung noch weiter einschränken können.