Syslog/SIEM-Integration

Die Syslog-Integration von Emsisoft ermöglicht es Ihnen, sicherheitsrelevante Ereignisse an einen externen Security Information and Event Management (SIEM) Server weiterzuleiten. Nutzen Sie diese Funktion für eine zentrale Überwachung und Log-Aggregation von mehreren Datenquellen. Es kann jeder Syslog-kompatible Server verwendet werden, z. B. Splunk Connect für Syslog.

Einrichtung der Syslog-Integration

Navigieren Sie auf die Seite ‚Einstellungen‘ Ihres Emsisoft Workspace und scrollen Sie nach unten zu ‚Integrationen‘.

1. Fügen Sie eine neue Integrationskonfiguration hinzu.Konfiguration der Syslog/SIEM Integration in der Emsisoft Management Konsole

2. Wählen Sie die Ereignistypen, die Sie erhalten möchten.

3. Wählen Sie „Syslog“ in der Dropdown-Box „Wie“.

4. Geben Sie den Hostnamen oder die IP Ihres Syslog-kompatiblen Servers in das Feld „Host“ ein und legen Sie den Port für den Datenempfang fest.

5. Klicken Sie auf „OK“, um die Integration zu aktivieren.

Gesicherte Verbindung

Die Daten werden immer über eine gesicherte TLS-Verbindung gestreamt.

Datenformat

Das einzige unterstützte Datenformat ist CEF (Common Event Format).

Datenverkehr im Firewall zulassen

Bitte stellen Sie sicher, dass Ihr Syslog Server von der Emsisoft Infrastruktur erreicht werden kann. Die folgenden IPs müssen in Ihrer Firewall-Konfiguration erlaubt sein:

157.90.227.118

157.90.227.179

157.90.227.137

157.90.229.47

Hinweis: In einer zukünftigen Version werden wir Client-Zertifikate unterstützen, so dass Sie den Zugriff auf Ihren Syslog-Server mit expliziter Client-Authentifizierung noch weiter einschränken können.