Syslog 警示

在 Tenable Identity Exposure 中，按一下「系統」>「設定」>「Syslog」。

按一下右側的「新增 Syslog 警示」按鈕。

「新增 Syslog 警示」窗格會隨即顯示。

在「主要資訊」區段下方提供下列資訊：

• 如果您的網路使用安全轉送：在「轉送」方塊中按一下箭頭，從下拉式清單中選取要與 SIEM 通訊的轉送。

• 在「收集器 IP 位址或主機名稱」方塊中輸入接收通知的伺服器 IP 或主機名稱。

• 在「連接埠」方塊中輸入收集器的連接埠號碼。

• 在「通訊協定」方塊中，按一下箭頭選取 UDP 或 TCP。

  • 如果您選擇 TCP，想要啟用 TLS 安全性通訊協定來加密記錄，請選取「TLS」選項核取方塊。

在「觸發警示」下拉式清單中，選取一個選項：

• 變更時：只要發生您指定的事件，Tenable Identity Exposure 就會發出通知。

• 每次發生異常情況時：Tenable Identity Exposure 會在每次偵測到異常曝險指標 (IoE) 時發出通知。

• 每次發生攻擊時：Tenable Identity Exposure 會在每次偵測到異常攻擊指標 (IoA) 時發出通知。

• 每次運作狀況檢查狀態變更時：Tenable Identity Exposure 會在每次運作狀況檢查狀態變更時發出通知。

在「設定檔」方塊中按一下，選取要用於此 Syslog 警示的設定檔 (若適用)。

在初始分析階段偵測到異常情況時傳送警示：執行下列任一動作 (若適用)：

• 選取核取方塊：當系統重新啟動觸發警示時，Tenable Identity Exposure 會傳送大量 Syslog 訊息。

• 取消選取核取方塊：當系統重新啟動觸發警示時，Tenable Identity Exposure 不會傳送 Syslog 訊息。

嚴重性臨界值：按一下下拉式方塊的箭頭，可選取 Tenable Identity Exposure 傳送警示時的臨界值 (若適用)。

視您在前面步驟中選取的警示觸發程序而定：

• 事件變更：如果您將警示設定為「變更時」觸發，請輸入一個運算式來觸發事件通知。

  您可以按一下 圖示以使用搜尋精靈，或在搜尋方塊中輸入查詢運算式，然後按一下「驗證」。如需詳細資訊，請參閱自訂追蹤流程查詢。

  注意：Tenable Identity Exposure 會在收到事件後立即套用此篩選器，以便在執行任何其他安全性分析之前將事件轉送至 Syslog。因此，依賴擴充或後處理資料的篩選器在此階段將無法運作。

• 曝險指標：如果您將警示設定為每次發生異常情況時觸發，請按一下每個嚴重性等級旁邊的箭頭，以展開曝險指標清單並選取要傳送警示的指標。

• 攻擊指標：如果您將警示設定為每次發生攻擊時觸發，請按一下每個嚴重性等級旁邊的箭頭，以展開攻擊指標清單並選取要傳送警示的指標。

• 運作狀況檢查狀態變更：按一下「運作狀況檢查」，選取要觸發警示的運作狀況檢查類型，然後按一下「篩選選取的項目」。

按一下「網域」方塊，以選取 Tenable Identity Exposure 要傳送警示的網域。

「樹系和網域 」窗格會隨即顯示。

1. 選取樹系或網域。

2. 按一下「篩選選取的項目」。

按一下「測試設定」。

系統會顯示一則訊息，確認 Tenable Identity Exposure 已傳送 Syslog 警示至伺服器。

按一下「新增」。

系統將顯示一則訊息，確認 Tenable Identity Exposure 已建立 Syslog 警示。

在 Tenable Identity Exposure 中，按一下「系統」>「設定」>「Syslog」。

在 Syslog 警示清單中，將游標停留在您要修改的警示上，然後按一下此行末尾的 圖示。

「編輯 Syslog 警示」窗格會隨即顯示。

按照前文「新增 Syslog 警示」程序中所述進行必要的修改。

按一下「編輯」。

系統將顯示一則訊息，確認 Tenable Identity Exposure 已更新警示。

在 Tenable Identity Exposure 中，按一下「系統」>「設定」>「Syslog」。

在 Syslog 警示清單中，將游標停留在您要刪除的警示上，然後按一下此行末尾的 圖示。

系統會顯示一則訊息，要求您確認刪除。

按一下「刪除」。

系統將顯示一則訊息，確認 Tenable Identity Exposure 已刪除警示。