Syslog 警示
有些組織使用 SIEM (安全性資訊與事件管理) 來收集有關潛在威脅和安全性資安事端的記錄。Tenable Identity Exposure 可將與 Active Directory 相關的安全性資訊推送至 SIEM Syslog 伺服器,以改進其警示機制。
新增 Syslog 警示
-
在 Tenable Identity Exposure 中,按一下「系統」>「設定」>「Syslog」。
-
按一下右側的「新增 Syslog 警示」按鈕。
「新增 Syslog 警示」窗格會隨即顯示。
-
在「主要資訊」區段下方提供下列資訊:
-
如果您的網路使用安全轉送:在「轉送」方塊中按一下箭頭,從下拉式清單中選取要與 SIEM 通訊的轉送。
-
在「收集器 IP 位址或主機名稱」方塊中輸入接收通知的伺服器 IP 或主機名稱。
-
在「連接埠方塊中輸入收集器的連接埠號碼。
-
在「通訊協定」方塊中,按一下箭頭選取 UDP 或 TCP。
-
如果您選擇 TCP,想要啟用 TLS 安全性通訊協定來加密記錄,請選取「TLS」選項核取方塊。
-
-
-
在「描述」方塊中輸入有關收集器的簡要描述。
-
在「觸發警示」下拉式清單中,選取一個選項:
-
變更時:只要發生您指定的事件,Tenable Identity Exposure 就會發出通知。
-
每次發生異常情況時:Tenable Identity Exposure 會在每次偵測到異常曝險指標 (IoE) 時發出通知。
-
每次發生攻擊時:Tenable Identity Exposure 會在每次偵測到異常攻擊指標 (IoA) 時發出通知。
-
每次運作狀況檢查狀態變更時:Tenable Identity Exposure 會在每次運作狀況檢查狀態變更時發出通知。
-
-
在「設定檔」方塊中按一下,選取要用於此 Syslog 警示的設定檔 (若適用)。
-
在初始分析階段偵測到異常情況時傳送警示:執行下列任一動作 (若適用):
-
選取核取方塊:當系統重新啟動觸發警示時,Tenable Identity Exposure 會傳送大量電子郵件通知。
-
取消選取核取方塊:當系統重新啟動觸發警示時,Tenable Identity Exposure 不會傳送電子郵件通知。
-
-
嚴重性臨界值:按一下下拉式方塊的箭頭,可選取 Tenable Identity Exposure 傳送警示時的臨界值 (若適用)。
-
視您在前面步驟中選取的警示觸發程序而定:
-
事件變更:如果您將警示設定為「變更時」觸發,請輸入一個運算式來觸發事件通知。
您可以按一下
圖示以使用搜尋精靈,或在搜尋方塊中輸入查詢運算式,然後按一下「驗證」。如需詳細資訊,請參閱 自訂追蹤流程查詢。 -
曝險指標:如果您將警示設定為每次發生異常情況時觸發,請按一下每個嚴重性等級旁邊的箭頭,以展開曝險指標清單並選取要傳送警示的指標。
-
攻擊指標:如果您將警示設定為每次發生攻擊時觸發,請按一下每個嚴重性等級旁邊的箭頭,以展開攻擊指標清單並選取要傳送警示的指標。
-
運作狀況檢查狀態變更:按一下「運作狀況檢查」,選取要觸發警示的運作狀況檢查類型,然後按一下「篩選選取的項目」。
-
-
按一下「網域」方塊,以選取 Tenable Identity Exposure 要傳送警示的網域。
「樹系和網域 」窗格會隨即顯示。
-
選取樹系或網域。
-
按一下「篩選選取的項目」。
-
-
按一下「測試設定」。
系統會顯示一則訊息,確認 Tenable Identity Exposure 已傳送 Syslog 警示至伺服器。
-
按一下「新增」。
系統將顯示一則訊息,確認 Tenable Identity Exposure 已建立 Syslog 警示。
編輯 Syslog 警示
-
在 Tenable Identity Exposure 中,按一下「系統」>「設定」>「Syslog」。
-
在 Syslog 警示清單中,將游標停留在您要修改的警示上,然後按一下此行末尾的
圖示。「編輯 Syslog 警示」窗格會隨即顯示。
-
按照前文「新增 Syslog 警示」程序中所述進行必要的修改。
-
按一下「編輯」。
系統將顯示一則訊息,確認 Tenable Identity Exposure 已更新警示。
刪除 Syslog 警示
-
在 Tenable Identity Exposure 中,按一下「系統」>「設定」>「Syslog」。
-
在 Syslog 警示清單中,將游標停留在您要刪除的警示上,然後按一下此行末尾的
圖示。系統會顯示一則訊息,要求您確認刪除。
-
按一下「刪除」。
系統將顯示一則訊息,確認 Tenable Identity Exposure 已刪除警示。
另請參閱