将事件转发到外部 Syslog 或 SIEM 服务器

仅可用于适用于 Azure Marketplace 的趋势科技服务器深度安全防护系统管理中心 VM

如果使用其他版本的趋势科技服务器深度安全防护系统,请参阅将趋势科技服务器深度安全防护系统事件转发到外部 syslog 或 SIEM 服务器

趋势科技服务器深度安全防护系统记录以下两种类型的事件:

  • 系统事件:管理事件或与系统相关的事件(例如管理员登录或客户端软件升级)。这些事件由趋势科技服务器深度安全防护系统管理中心生成。
  • 安全事件:在触发防护模块规则或条件时记录这种事件。这些事件由趋势科技服务器深度安全防护系统客户端生成。

可以将趋势科技服务器深度安全防护系统配置为将这两种类型的事件转发到外部 syslog 或安全信息和事件管理 (SIEM) 服务器。转发的所有事件均为明文,且消息日志的内容和格式会根据消息的发送对象是趋势科技服务器深度安全防护系统管理中心还是客户端计算机而稍有不同。有关格式的详细信息,请参阅 Syslog 消息格式

转发的事件包括两种不同类型,它们需要分别配置:

即使启用了转发到 syslog 或 SIEM 服务器的事件,趋势科技服务器深度安全防护系统仍会记录所有系统事件和安全事件,并将它们显示在趋势科技服务器深度安全防护系统管理中心的报告和图形中。

如果要将 Splunk 用作 syslog 或 SIEM 服务器,请考虑使用适用于 Splunk 的趋势科技服务器深度安全防护系统应用程序,此应用程序会提供控制台和已保存的搜索。

将系统事件转发到 syslog 或 SIEM 服务器

系统事件属于由趋势科技服务器深度安全防护系统管理中心生成的事件,它们会显示在“事件和报告”页面上。这些事件不会发送到客户端。您可以将趋势科技服务器深度安全防护系统管理中心配置为将这些事件转发到 syslog 或 SIEM 服务器。

  1. 转至管理 > 系统设置 > 事件转发
  2. 在 SIEM 部分选择将系统事件转发到远程计算机 (通过 Syslog)
  3. 指定以下信息,然后单击保存

    设置 注释
    应该向其发送事件的主机名或 IP 地址

    syslog 或 SIEM 服务器和任何路由器、防火墙和安全组都必须允许来自趋势科技服务器深度安全防护系统管理中心的入站连接,以确保事件转发正常运行。

    注意:如果正使用趋势科技服务器深度安全防护系统即服务,请确保可通过 Internet 访问 syslog 或 SIEM 服务器且 DNS 主机名可解析。有关详细信息,请参阅趋势科技服务器深度安全防护系统客户端端口(适用于趋势科技服务器深度安全防护系统即服务)

    应该向其发送事件的 UDP 端口

    这通常是端口 514。

    有关更多信息,请参阅端口号

    Syslog 设备 记录消息的程序或进程类型。
    Syslog 格式 日志消息的格式。有关格式的详细信息,请参阅 Syslog 消息格式

如果使用 适用于 AWS Marketplace 的趋势科技服务器深度安全防护系统 AMI,您还必须将趋势科技服务器深度安全防护系统管理中心的 IP 地址添加到 /etc/hosts 文件中,以确保正确将事件转发到 syslog 或 SIEM 服务器。例如,如果趋势科技服务器深度安全防护系统管理中心的 IP 地址为 10.100.20.150,则需要将以下条目添加到 /etc/hosts 文件:
10.100.20.150 ip-10-100-20-150

将安全事件转发到 syslog 或 SIEM 服务器

安全事件是由每个模块的客户端生成的事件。转发这些类型的事件时可选择以下两个选项之一:它们可以由客户端计算机实时直接转发,或者可以由趋势科技服务器深度安全防护系统管理中心在每个波动信号收集到事件后转发:

最佳做法是使用总体父策略在整个环境中传播配置设置,而对于趋势科技服务器深度安全防护系统中的其他设置,则可为特定策略或计算机覆盖事件转发设置。要在计算机上覆盖这些继承的设置,请找到要配置的计算机,打开计算机,转至设置,然后单击 SIEM 选项卡。要指示此计算机忽略任何继承的设置,请选择将事件转发到,然后输入不同 syslog 或 SIEM 服务器的详细信息,或选择不转发事件来完全禁止事件转发。按照相同的过程覆盖策略上的这些设置。

直接从客户端计算机将安全事件实时转发到 syslog 或 SIEM 服务器

  1. 转至策略
  2. 双击要用于让计算机直接将事件转发到 syslog 服务器的策略。
  3. 转至设置 > SIEM,然后为每个适用的防护模块选择将事件转发到 > 直接转发
  4. 指定直接从客户端计算机转发事件时所需的以下信息,然后单击保存
  5. 设置 注释
    应该向其发送事件的主机名或 IP 地址

    syslog 或 SIEM 服务器和任何路由器、防火墙和安全组都必须允许来自客户端 IP 地址的入站连接,以确保事件转发正常起作用。

    如果计算机能够路由消息,这可以是一个内部 SIEM。

    应该向其发送事件的 UDP 端口

    这通常是端口 514。

    有关更多信息,请参阅端口号

    Syslog 设备 记录消息的程序或进程类型。
    Syslog 格式

    日志消息的格式。有关格式的详细信息,请参阅 Syslog 消息格式

    只有从趋势科技服务器深度安全防护系统管理中心发送的消息支持 LEEF 格式。

从客户端计算机通过趋势科技服务器深度安全防护系统管理中心转发安全事件

  1. 转至策略
  2. 双击要用于让计算机通过趋势科技服务器深度安全防护系统管理中心转发安全事件的策略。
  3. 转至设置 > SIEM,然后为每个适用的防护模块选择将事件转发到 > 通过管理中心中继
  4. 指定通过趋势科技服务器深度安全防护系统管理中心中继事件时所需的以下信息,然后单击保存
  5. 设置 注释
    应该向其发送事件的主机名或 IP 地址

    syslog 或 SIEM 服务器和任何路由器、防火墙和安全组都必须允许来自趋势科技服务器深度安全防护系统管理中心的入站连接,以确保事件转发正常运行。

    注意:如果正使用趋势科技服务器深度安全防护系统即服务,请确保可通过 Internet 访问 syslog 或 SIEM 服务器且 DNS 主机名可解析。有关详细信息,请参阅趋势科技服务器深度安全防护系统客户端端口(适用于趋势科技服务器深度安全防护系统即服务)

    应该向其发送事件的 UDP 端口

    这通常是端口 514。

    有关更多信息,请参阅端口号

    Syslog 设备 记录消息的程序或进程类型。
    Syslog 格式

    日志消息的格式。有关格式的详细信息,请参阅 Syslog 消息格式

    只有从趋势科技服务器深度安全防护系统管理中心发送的消息支持 LEEF 格式。

    趋势科技服务器深度安全防护系统管理中心将在波动信号时从客户端收集安全事件,然后将它们发送到 syslog 或 SIEM 服务器(可在此处进行配置):管理 > 系统设置 > 事件转发