Syslog 警报

一些组织使用 SIEM(安全信息和事件管理)来收集有关潜在威胁和安全事件的日志。Tenable Identity Exposure 可将与 Active Directory 相关的安全信息推送到 SIEM Syslog 服务器以改进其警报机制。

添加新的 Syslog 警报的步骤:

  1. Tenable Identity Exposure 中,点击“系统”>“配置”>“Syslog”。

  2. 点击右侧的“添加 Syslog 警报”按钮。

    此时会出现“添加 Syslog 警报”窗格。

    Syslog 配置

  3. 在“主要信息”部分,提供以下信息:

    • 如果您的网络使用安全中继:在“中继”框中,点击箭头以从下拉列表中选择一个与 SIEM 进行通信的中继。

    • 在“采集器 IP 地址或主机名”框中,输入接收通知的服务器 IP 或主机名。

    • 在“端口”框中,输入采集器的端口号。

    • 在“协议”框中,点击箭头以选择 UDP 或 TCP。

      • 如果选择 TCP,并且要启用 TLS 安全协议以加密日志,请选中“TLS”选项的复选框。

    • 在“描述”框中,输入对采集器的简要描述。

  1. 在“触发警报”下拉列表中,选择以下选项之一:

    • 在变更时:只要发生您指定的事件,Tenable Identity Exposure 就会发出通知。

    • 每当出现异常行为时Tenable Identity Exposure 会针对每个异常 IoE 检测发出通知。

    • 每当出现攻击时Tenable Identity Exposure 会针对每个异常 IoA 检测发出通知。

    • 每当运行状况检查状态更改时Tenable Identity Exposure 会在运行状况检查状态发生更改时发出通知。

  1. 在“配置文件”框中,点击以选择要用于此 Syslog 警报的配置文件(如适用)。

  2. 在初始分析阶段检测到异常行为时发送警报:执行下列操作之一(如适用):

    • 选中复选框:当系统重新启动触发警报时,Tenable Identity Exposure 会发出大量电子邮件通知。

    • 取消选中复选框:当系统重新启动触发警报时,Tenable Identity Exposure 不会发出电子邮件通知。

  1. 严重性阈值:点击下拉框的箭头以选择 Tenable Identity Exposure 发送警报的阈值(如适用)。

  2. 根据您之前选择的警报触发器:

    • 事件变更:如果将警报设置为“在变更时”触发,请输入表达式以触发事件通知。

      您可以点击 图标以使用搜索向导,也可以在搜索框中输入查询表达式并点击“验证”。有关更多信息,请参阅“自定义跟踪事件流查询”。

    • 风险暴露指标:如果将警报设置为每当出现异常行为时触发,请点击每个严重程度旁边的箭头,展开风险暴露指标列表,并选择要为其发送警报的指标。

    • 攻击指标:如果将警报设置为每当出现攻击时触发,请点击每个严重程度旁边的箭头,展开攻击指标列表,并选择要为其发送警报的指标。

    • 运行状况检查状态更改:点击“运行状况检查”,选择要触发警报的运行状况检查类型,然后点击“按所选结果筛选”。

  1. 点击“”框以选择 Tenable Identity Exposure 为其发出警报的域。

    出现“林和域”窗格。

    1. 选择林或域。

    2. 单击“按所选结果筛选”。

  1. 点击“测试配置”。

    此时会出现一条消息,确认 Tenable Identity Exposure 已向服务器发送了 Syslog 警报。

  2. 点击“添加”。

    此时会出现一条消息,确认 Tenable Identity Exposure 已创建 Syslog 警报。

另请参阅: