SIEM日志

介绍SIEM日志规则的相关信息。

介绍

统一内容安全管理平台UCSS使用SIEM服务器即安全信息与事件管理服务器记录系统的日志、告警等安全日志,并支持向多个服务器上送定制的日志内容,方便管理员进行实时事件监控、历史分析和应急处理。

选择系统 > 基本设置 > SIEM进入SIEM日志规则列表页面,所添加的SIEM服务器显示于列表,并显示名称、描述、状态、服务器、传输、端口、创建时间和创建者等信息。

SIEM功能默认为全局禁用状态,滑动状态条可以开启该功能。

基本信息

一条SIEM日志规则包含以下基本信息。
  • 名称 - 注意填写区别于其他条目的名称。
    注: 名称支持中英文,数字,以及部分特殊符号,输入系统不支持的特殊符号将导致保存失败。
    注: 系统预置条目的名称不得修改。
  • 描述 - 需说明其用途。
    提示: 描述需包含安全管理员对条目进行长期管理所需的必要信息。
    注: 不能与现有或内置的条目名称相同。
    注: 系统预置条目的描述不得修改。
  • 启用状态 - 点击滑动按钮,启用或禁用该项目。

SIEM设置

一条SIEM日志规则包含以下SIEM服务器设置的相关信息。
  1. 主机名/IP:输入SIEM服务器的IP地址。
  2. 端口:输入SIEM服务器的端口号(默认端口514)。
  3. 传输方式:选择传输协议,支持UDP和TCP。
    注: 当传输格式为TCP时,选择是否启用安全连接(SSL)加密上送信息。

    配置完成后,点击发送测试信息按钮,验证Syslog服务器的连通性。

  4. 分隔符设置:(可选)选择是否设置自定义分隔符用于日志内容。
  5. 空值设置:(可选)选择是否上送空值N/A至日志服务器。

选择发送至SIEM服务器的内容

一条SIEM日志规则中可配置以下发送至SIEM服务器的内容。
  • 系统日志:发送统一内容安全管理平台UCSS以及全部注册设备的系统日志所选的日志字段内容至服务器。
  • 网络事件:发送网络事件日志所选的日志字段内容至服务器。
  • 发现事件:发送发现事件日志所选的日志字段内容至服务器。
  • 终端事件:发送终端事件日志所选的日志字段内容至服务器。
  • 移动事件:发送移动事件日志所选的日志字段内容至服务器。
  • ASWG代理日志:发送增强型Web安全网关ASWG的代理日志所选的日志字段内容至服务器。
  • 邮件日志:发送统一内容安全管理平台UCSS以及全部注册设备的邮件日志所选的日志字段内容至服务器。
  • 邮件连接日志:发送统一内容安全管理平台UCSS以及全部注册设备的邮件连接日志所选的日志字段内容至服务器。
  • API流量日志:发送API流量日志所选的日志字段内容至服务器。
  • 审计日志:发送统一内容安全管理平台UCSS的审计日志中的所选的日志字段内容至服务器。