Syslog-Warnmeldungen

Einige Unternehmen verwenden SIEM (Security Information and Event Management), um Protokolle über potenzielle Bedrohungen und Sicherheitsvorfälle zu erfassen. Tenable Identity Exposure kann Sicherheitsinformationen, die sich auf Active Directory beziehen, an die SIEM-Syslog-Server weiterleiten, um deren Warnmechanismen zu verbessern.

So fügen Sie eine neue Syslog-Warnung hinzu:

  1. Klicken Sie in Tenable Identity Exposure auf System > Konfiguration > Syslog.

  2. Klicken Sie auf der rechten Seite auf die Schaltfläche SYSLOG-Warnung hinzufügen.

    Daraufhin öffnet sich der Bereich SYSLOG-Warnung hinzufügen.

    Syslog-Konfiguration

  3. Geben Sie unter dem Abschnitt Hauptinformationen Folgendes an:

    • Wenn Ihr Netzwerk Secure Relay verwendet: Klicken Sie im Feld Relay auf den Pfeil, um aus der Dropdown-Liste ein Relay auszuwählen, das mit Ihrem SIEM kommunizieren soll.

    • Geben Sie im Feld IP-Adresse oder Hostname des Collectors die IP-Adresse oder den Hostnamen des Servers ein, der die Benachrichtigungen empfängt.

    • Geben Sie in das Feld Port die Portnummer für den Collector ein.

    • Klicken Sie im Feld Protokoll auf den Pfeil, um entweder UDP oder TCP auszuwählen.

      • Wenn Sie „TCP“ wählen, aktivieren Sie das Kontrollkästchen der Option TLS, wenn Sie das TLS-Sicherheitsprotokoll zur Verschlüsselung der Protokolle aktivieren möchten.

    • Geben Sie in das Feld Beschreibung eine kurze Beschreibung für den Collector ein.

  1. Wählen Sie in der Dropdown-Liste Warnung auslösen eine der folgenden Optionen:

    • Bei Änderungen: Tenable Identity Exposure sendet eine Benachrichtigung, wenn ein von Ihnen angegebenes Ereignis eintritt.

    • Bei jeder Abweichung: Tenable Identity Exposure sendet eine Benachrichtigung bei jeder abweichenden IoA-Erkennung.

    • Bei jedem Angriff: Tenable Identity Exposure sendet eine Benachrichtigung bei jeder abweichenden IoA-Erkennung.

    • Bei Integritätsprüfung-Statusänderung: Tenable Identity Exposure sendet eine Benachrichtigung, wenn sich der Status für eine Integrationsprüfung ändert.

  1. Klicken Sie in das Feld Profile, um das Profil auszuwählen, das für diese Syslog-Warnung verwendet werden soll (falls zutreffend).

  2. Warnungen senden, wenn während der anfänglichen Analysephase Abweichungen festgestellt werden: Führen Sie eine der folgenden Aktionen aus (falls zutreffend):

    • Aktivieren Sie das Kontrollkästchen: Tenable Identity Exposure verschickt eine große Anzahl von E-Mail-Benachrichtigungen, wenn ein Systemneustart Warnungen auslöst.

    • Deaktivieren Sie das Kontrollkästchen: Tenable Identity Exposure verschickt keine E-Mail-Benachrichtigungen, wenn ein Systemneustart Warnungen auslöst.

  1. Schweregrad-Schwellenwert: Klicken Sie auf den Pfeil des Dropdown-Feldes, um den Schwellenwert auszuwählen, bei dem Tenable Identity Exposure Warnungen sendet (falls zutreffend).

  2. Abhängig von dem zuvor ausgewählten Warnungsauslöser:

    • Ereignisänderungen: Wenn Sie festlegen, dass Warnungen bei Änderungen ausgelöst werden, geben Sie einen Ausdruck ein, um die Ereignisbenachrichtigung auszulösen.

      Sie können entweder auf das Symbol klicken, um den Suchassistenten zu verwenden, oder eine Abfrage in das Suchfeld eingeben und auf Validieren klicken. Weitere Informationen finden Sie unter Trail Flow-Abfragen anpassen.

    • Indicators of Exposure: Wenn Sie festgelegt haben, dass Warnungen bei jeder Abweichung ausgelöst werden, klicken Sie auf den Pfeil neben den einzelnen Schweregradstufen, um die Liste der Indicators of Exposure zu erweitern und die Indikatoren auszuwählen, für die Warnungen gesendet werden sollen.

    • Indicators of Attack: Wenn Sie festgelegt haben, dass Warnungen bei jedem Angriff ausgelöst werden, klicken Sie auf den Pfeil neben jeder Schweregradstufe, um die Liste der Indicators of Attack zu erweitern und die Indikatoren auszuwählen, für die Warnungen gesendet werden sollen.

    • Bei Integritätsprüfung-Statusänderung: Klicken Sie auf Integritätsprüfungen, um den Typ der Integritätsprüfung auszuwählen, bei dem eine Warnung ausgelöst werden soll. Klicken Sie dann auf Auswahlbasierter Filter.

  1. Klicken Sie auf das Feld Domänen, um die Domänen auszuwählen, für die Tenable Identity Exposure Warnungen versendet.

    Der Fensterbereich Gesamtstrukturen und Domänen wird angezeigt.

    1. Wählen Sie die Gesamtstruktur oder Domäne aus.

    2. Klicken Sie auf Auswahlbasierter Filter.

  1. Klicken Sie auf Konfiguration testen.

    Eine Meldung bestätigt, dass Tenable Identity Exposure eine Syslog-Warnung an den Server gesendet hat.

  2. Klicken Sie auf Hinzufügen.

    Eine Meldung bestätigt, dass Tenable Identity Exposure die Syslog-Warnung erstellt hat.

Siehe auch