ePO 5.3.2 引進了一項功能,就是將收到的威脅事件直接轉寄到 Syslog 伺服器。此伺服器在 ePO 中定義為已註冊的伺服器。 本文會指引您完成在 Windows 環境中設定可用來測試的 Syslog 伺服器。
附註:本文並不具有決定性。 Windows 及各種類型的 UNIX 上還有許多不同的 Syslog 實作;本文的定位是做為幫助 ePO 管理員設定 Windows Syslog 環境進行測試的快速指南。
先決條件開始之前,您必須安裝 ePO 5.9,或安裝已套用修正程式 1185471 的 ePO 5.3.2。 若未將修正程式 1185471 套用到 ePO 5.3.2,雖然您可以完成 Syslog 伺服器的安裝,但 ePO 將
無法與 Syslog
伺服器通訊。
重要事項:如果您使用已套用修正程式 1185471 的 ePO 5.3.2,且您有其他的代理程式處理常式,則必須採取額外的步驟,將代理程式處理常式上的兩個檔案取代成從 ePO 伺服器取得的修正程式版本。 如需詳細資料,請參閱
KB87469。
附註:ePO 平台提供技術人員機制,以支援整合協力廠商的 Syslog 伺服器,但
不支援安裝、設定或疑難排解協力廠商 Syslog 伺服器。
{GENAA.ZH_TW}
本文需要下列軟體:
在代管 Syslog 伺服器的系統上:
- 安裝 OpenSSL 並接受預設值 (例如安裝至預設目錄 C:\OpenSSL-Win32)。
- 安裝 Bitnami Elk Stack 並接受預設值 (例如安裝至預設目錄 C:\Bitnami\elk-5.6.3-0)。
- 安裝結束時,選取 Launch Bitnami Elk Stack (啟動 Bitnami Elk Stack) 選項,然後按一下 OK (確定)。
網頁瀏覽器及 Bitnami Elk Stack 管理工具將會開啟。
- 關閉網頁瀏覽器。 在管理工具中,按一下 Manage Servers (管理伺服器) 標籤,然後按一下 Stop All (全部停止) 來停止 Elk Stack 服務。
- 為 Syslog 伺服器產生自我簽署憑證。
- 開啟管理員命令提示字元。
- 將目錄 (cd) 變更為:C:\OpenSSL-Win32\bin
- 執行下列命令:
openssl req -newkey rsa:2048 -nodes -keyout C:\syslogselfsigned.key -x509 -days 365 -out C:\syslogselfsigned.crt -config openssl.cfg
附註:您可以視需要變更 -keyout 與 -out 的路徑與檔案名稱。 您也可以調整 -days 選項以定義憑證的有效期間。 在此範例中,設為 365 天。
- 當出現提示時鍵入相關資訊,例如國家/地區代碼。 對於通用名稱,輸入 Syslog 伺服器的完整網域名稱 (FQDN)。
此步驟應該會產生 C:\syslogselfsigned.crt 和 C:\syslogselfsigned.key。
- 在 C:\Bitnami\elk-5.6.3-0\logstash 中建立名為 SSL 的資料夾。
- 將 C:\syslogselfsigned.crt 和 C:\syslogselfsigned.key 複製 (或移動) 至 C:\Bitnami\elk-5.6.3-0\logstash\SSL 資料夾。
- 編輯 C:\Bitnami\elk-5.6.3-0\logstash\conf\logstash.conf。 將現有內容取代成為以下內容,然後儲存檔案:
input {
tcp {
port => 6514
ssl_cert => 'c:\bitnami\elk-5.6.3-0\logstash\ssl\syslogselfsigned.crt'
ssl_key => 'c:\bitnami\elk-5.6.3-0\logstash\ssl\syslogselfsigned.key'
ssl_enable => true
ssl_verify => false
}
}
output {
elasticsearch {
hosts => ["127.0.0.1:9200"]
}
}
- 如果您在步驟 4 中修改憑證或金鑰檔案的名稱,請確定您在 logstash.conf 中設定正確的值。 如果您未修改名稱,請移至下個步驟。
- 在 Elk Stack 管理工具中,按一下 Manage Servers (管理伺服器) 標籤,然後按一下 Start All (全部啟動) 來啟動服務。
- 按一下 Welcome (歡迎使用) 標籤,然後按一下 Go To Application (前往應用程式)。 這將在網頁瀏覽器中啟動 Elk 主控台。 按一下 Access ELK (存取 ELK),然後輸入您在安裝期間指定的認證。 隨即顯示 Kibana 介面。
其中顯示 Configure an index pattern (設定索引模式)。
- 為了進行測試,請建立「每一項」模式,做法是取消選取 Index contains time-based events (索引包含具時效性事件) 選項,然後在 Index name or pattern (索引名稱或模式) 欄位中輸入星號 *。
Create (建立) 按鈕現在會顯示。
- 按一下 Create (建立) 以建立名為 * 的模式。
- 按一下左側選項列上的 Discover (探索) 標籤;其中會顯示所有事件。 極有可能只有一個項目。
在 ePO 伺服器上:
- 設定 ePO 伺服器使用新建立的 Syslog 伺服器:
- 新增已註冊的伺服器,然後將類型選取為 Syslog。
- 輸入 Syslog 伺服器的 FQDN。
- 為連接埠輸入 6514 (若有變更,則輸入在 logstash.conf 中指定的任何連接埠)。
- 選取啟用事件轉寄。
- 按一下測試連線。
您將會看見 Syslog 連線成功訊息。 如果您重新整理 Syslog 伺服器上的 Kibana 主控台,您應會看見已從 ePO 伺服器收到測試事件。
- 在 ePO 伺服器上,按一下儲存以儲存 Syslog 已註冊的伺服器。
ePO 收到的所有威脅事件現在應自動轉寄到 Syslog 伺服器。