Syslog 警报
一些组织使用 SIEM(安全信息和事件管理)来收集有关潜在威胁和安全事件的日志。Tenable Identity Exposure 可将与 Active Directory 相关的安全信息推送到 SIEM Syslog 服务器以改进其警报机制。
添加新的 Syslog 警报的步骤
-
在 Tenable Identity Exposure 中,点击“系统”>“配置”>“Syslog”。
-
点击右侧的“添加 Syslog 警报”按钮。
此时会出现“添加 Syslog 警报”窗格。
-
在“主要信息”部分,提供以下信息:
-
如果您的网络使用安全中继:在“中继”框中,点击箭头以从下拉列表中选择一个与 SIEM 进行通信的中继。
-
在“采集器 IP 地址或主机名”框中,输入接收通知的服务器 IP 或主机名。
-
在“端口”框中,输入采集器的端口号。
-
在“协议”框中,点击箭头以选择 UDP 或 TCP。
-
如果选择 TCP,并且要启用 TLS 安全协议以加密日志,请选中“TLS”选项的复选框。
-
-
-
在“描述”框中,输入对采集器的简要描述。
-
在“触发警报”下拉列表中,选择以下选项之一:
-
在变更时:只要发生您指定的事件,Tenable Identity Exposure 就会发出通知。
-
每当出现异常行为时:Tenable Identity Exposure 会针对每个异常 IoE 检测发出通知。
-
每当出现攻击时:Tenable Identity Exposure 会针对每个异常 IoA 检测发出通知。
-
每当运行状况检查状态更改时:Tenable Identity Exposure 会在运行状况检查状态发生更改时发出通知。
-
-
在“配置文件”框中,点击以选择要用于此 Syslog 警报的配置文件(如适用)。
-
在初始分析阶段检测到异常行为时发送警报:执行下列操作之一(如适用):
-
选中复选框:当系统重新启动触发警报时,Tenable Identity Exposure 会发出大量电子邮件通知。
-
取消选中复选框:当系统重新启动触发警报时,Tenable Identity Exposure 不会发出电子邮件通知。
-
-
严重性阈值:点击下拉框的箭头以选择 Tenable Identity Exposure 发送警报的阈值(如适用)。
-
根据您之前选择的警报触发器:
-
事件变更:如果将警报设置为“在变更时”触发,请输入表达式以触发事件通知。
您可以点击
图标以使用搜索向导,也可以在搜索框中输入查询表达式并点击“验证”。有关更多信息,请参阅“自定义跟踪事件流查询”。 -
风险暴露指标:如果将警报设置为每当出现异常行为时触发,请点击每个严重程度旁边的箭头,展开风险暴露指标列表,并选择要为其发送警报的指标。
-
攻击指标:如果将警报设置为每当出现攻击时触发,请点击每个严重程度旁边的箭头,展开攻击指标列表,并选择要为其发送警报的指标。
-
运行状况检查状态更改:点击“运行状况检查”,选择要触发警报的运行状况检查类型,然后点击“按所选结果筛选”。
-
-
点击“域”框以选择 Tenable Identity Exposure 为其发出警报的域。
出现“林和域”窗格。
-
选择林或域。
-
单击“按所选结果筛选”。
-
-
点击“测试配置”。
此时会出现一条消息,确认 Tenable Identity Exposure 已向服务器发送了 Syslog 警报。
-
点击“添加”。
此时会出现一条消息,确认 Tenable Identity Exposure 已创建 Syslog 警报。
编辑 Syslog 警报的步骤
-
在 Tenable Identity Exposure 中,点击“系统”>“配置”>“Syslog”。
-
在 Syslog 警报列表中,将鼠标悬停在要修改的警报上,然后点击行末的
图标。此时会出现“编辑 Syslog 警报”窗格。
-
按照前述步骤“添加新的 Syslog 警报的步骤”进行必要的修改。
-
单击“编辑”。
此时会出现一条消息,确认 Tenable Identity Exposure 已更新警报。
删除 Syslog 警报的步骤
-
在 Tenable Identity Exposure 中,点击“系统”>“配置”>“Syslog”。
-
在 Syslog 警报列表中,将鼠标悬停在要删除的警报上,然后点击行末的
图标。此时会显示一条消息,要求您确认删除。
-
点击“删除”。
此时会出现一条消息,确认 Tenable Identity Exposure 已删除警报。
另请参阅: