Syslog 警示

有些組織使用 SIEM (安全性資訊與事件管理) 來收集有關潛在威脅和安全性資安事端的記錄。Tenable Identity Exposure 可將與 Active Directory 相關的安全性資訊推送至 SIEM Syslog 伺服器,以改進其警示機制。

如要新增 Syslog 警示:

  1. Tenable Identity Exposure 中,按一下「系統」>「設定」>「Syslog」。

  2. 按一下右側的「新增 Syslog 警示」按鈕。

    新增 Syslog 警示」窗格會隨即顯示。

    Syslog 設定

  3. 在「主要資訊」區段下方提供下列資訊:

    • 如果您的網路使用安全轉送:在「轉送」方塊中按一下箭頭,從下拉式清單中選取要與 SIEM 通訊的轉送。

    • 在「收集器 IP 位址或主機名稱」方塊中輸入接收通知的伺服器 IP 或主機名稱。

    • 在「連接埠方塊中輸入收集器的連接埠號碼。

    • 在「通訊協定」方塊中,按一下箭頭選取 UDP 或 TCP。

      • 如果您選擇 TCP,想要啟用 TLS 安全性通訊協定來加密記錄,請選取「TLS」選項核取方塊。

    • 在「描述」方塊中輸入有關收集器的簡要描述。

  1. 在「觸發警示」下拉式清單中,選取一個選項:

    • 變更時:只要發生您指定的事件,Tenable Identity Exposure 就會發出通知。

    • 每次發生異常情況時Tenable Identity Exposure 會在每次偵測到異常曝險指標 (IoE) 時發出通知。

    • 每次發生攻擊時Tenable Identity Exposure 會在每次偵測到異常攻擊指標 (IoA) 時發出通知。

    • 每次運作狀況檢查狀態變更時:Tenable Identity Exposure 會在每次運作狀況檢查狀態變更時發出通知。

  1. 在「設定檔」方塊中按一下,選取要用於此 Syslog 警示的設定檔 (若適用)。

  2. 在初始分析階段偵測到異常情況時傳送警示:執行下列任一動作 (若適用):

    • 選取核取方塊:當系統重新啟動觸發警示時,Tenable Identity Exposure 會傳送大量電子郵件通知。

    • 取消選取核取方塊:當系統重新啟動觸發警示時,Tenable Identity Exposure 不會傳送電子郵件通知。

  1. 嚴重性臨界值:按一下下拉式方塊的箭頭,可選取 Tenable Identity Exposure 傳送警示時的臨界值 (若適用)。

  2. 視您在前面步驟中選取的警示觸發程序而定:

    • 事件變更:如果您將警示設定為「變更時」觸發,請輸入一個運算式來觸發事件通知。

      您可以按一下 圖示以使用搜尋精靈,或在搜尋方塊中輸入查詢運算式,然後按一下「驗證」。如需詳細資訊,請參閱自訂追蹤流程查詢

    • 曝險指標:如果您將警示設定為每次發生異常情況時觸發,請按一下每個嚴重性等級旁邊的箭頭,以展開曝險指標清單並選取要傳送警示的指標。

    • 攻擊指標:如果您將警示設定為每次發生攻擊時觸發,請按一下每個嚴重性等級旁邊的箭頭,以展開攻擊指標清單並選取要傳送警示的指標。

    • 運作狀況檢查狀態變更:按一下「運作狀況檢查」,選取要觸發警示的運作狀況檢查類型,然後按一下「篩選選取的項目」。

  1. 按一下「網域」方塊,以選取 Tenable Identity Exposure 要傳送警示的網域。

    樹系和網域 」窗格會隨即顯示。

    1. 選取樹系或網域。

    2. 按一下「篩選選取的項目」。

  1. 按一下「測試設定」。

    系統會顯示一則訊息,確認 Tenable Identity Exposure 已傳送 Syslog 警示至伺服器。

  2. 按一下「新增」。

    系統將顯示一則訊息,確認 Tenable Identity Exposure 已建立 Syslog 警示。

另請參閱