Alertas de SYSLOG

Algunas organizaciones utilizan SIEM (administración de eventos e información de seguridad) para recopilar registros sobre posibles amenazas e incidentes de seguridad. Tenable Identity Exposure puede enviar información de seguridad relacionada con Active Directory a los servidores SYSLOG de SIEM para mejorar los mecanismos de alerta.

  1. En Tenable Identity Exposure, haga clic en Sistema > Configuración > SYSLOG.

  2. Haga clic en el botón Agregar una alerta de SYSLOG a la derecha.

    Aparece el panel Agregar una alerta de SYSLOG.

  3. En la sección Información principal, indique lo siguiente:

    • Si la red usa Secure Relay: en el cuadro Relay, haga clic en la flecha para seleccionar de la lista desplegable una instancia de Relay para que se comunique con la solución de SIEM.

    • En el cuadro Dirección IP o nombre de host del recopilador, escriba la dirección IP o el nombre de host del servidor que recibe las notificaciones.

    • En el cuadro Puerto, escriba el número de puerto del recopilador.

    • En el cuadro Protocolo, haga clic en la flecha para seleccionar “UDP” o “TCP”.

      • Si elige “TCP”, seleccione la casilla de la opción TLS si quiere habilitar el protocolo de seguridad TLS para cifrar los registros.

    • En el cuadro Descripción, escriba una descripción breve del recopilador

  1. En la lista desplegable Desencadenar la alerta, seleccione una opción:

    • Cuando hay cambios: Tenable Identity Exposure envía una notificación cada vez que se produce un evento que se especificó.

    • Con cada anomalía: Tenable Identity Exposure envía una notificación tras cada detección de un IoE anómalo.

    • Con cada ataque: Tenable Identity Exposure envía una notificación tras cada detección de un IoA anómalo.

    • Cuando cambia el estado de verificación de estado: Tenable Identity Exposure envía una notificación cada vez que cambia el estado de una verificación de estado.

  1. En el cuadro Perfiles, haga clic para seleccionar el perfil que quiere usar para esta alerta de SYSLOG (si corresponde).

  2. Enviar alertas cuando se detecten anomalías durante la fase de análisis inicial: siga uno de los procedimientos a continuación (si corresponde):

    • Seleccione la casilla: Tenable Identity Exposure envía un gran volumen de notificaciones de correo electrónico cuando un reinicio del sistema desencadena alertas.

    • Anule la selección de la casilla: Tenable Identity Exposure no envía notificaciones de correo electrónico cuando un reinicio del sistema desencadena alertas.

  1. Umbral de gravedad: haga clic en la flecha del cuadro desplegable para seleccionar el umbral en el que Tenable Identity Exposure envía alertas (si corresponde).

  2. Según el desencadenante de alertas que haya seleccionado anteriormente:

    • Cambios de eventos: si configura las alertas para que se desencadenen cuando hay cambios, escriba una expresión para desencadenar la notificación del evento.

      Puede hacer clic en el ícono para usar el asistente de búsqueda o escribir una expresión de consulta en el cuadro de búsqueda y hacer clic en Validar. Para obtener más información, consulte Personalizar las consultas de Trail Flow.

    • Indicadores de exposición: si configura alertas para que se desencadenen con cada anomalía, haga clic en la flecha junto a cada nivel de gravedad para expandir la lista de indicadores de exposición y seleccione aquellos para los cuales quiere enviar alertas.

    • Indicadores de ataque: si configura alertas para que se desencadenen con cada ataque, haga clic en la flecha junto a cada nivel de gravedad para expandir la lista de indicadores de ataque y seleccione aquellos para los cuales quiere enviar alertas.

    • Cambios de estado de verificación de estado: haga clic en Verificaciones de estado para seleccionar el tipo de verificación de estado que desencadenará una alerta y haga clic en Filtrar selección.

  1. Haga clic en el cuadro Dominios para seleccionar los dominios para los que Tenable Identity Exposure envía alertas.

    Aparece el panel Bosques y dominios.

    1. Seleccione el bosque o el dominio.

    2. Haga clic en Filtrar selección.

  1. Haga clic en Probar la configuración.

    Un mensaje confirma que Tenable Identity Exposure envió una alerta de SYSLOG al servidor.

  2. Haga clic en Agregar.

    Un mensaje confirma que Tenable Identity Exposure creó la alerta de SYSLOG.

  1. En Tenable Identity Exposure, haga clic en Sistema > Configuración > SYSLOG.

  2. En la lista de alertas de SYSLOG, pase el cursor por la que quiere modificar y haga clic en el ícono al final de la línea.

    Aparece el panel Editar una alerta de SYSLOG.

  3. Haga las modificaciones necesarias según se describe en el procedimiento anterior (“Para agregar una nueva alerta de SYSLOG:”).

  4. Haga clic en Editar.

    Un mensaje confirma que Tenable Identity Exposure actualizó la alerta.

  1. En Tenable Identity Exposure, haga clic en Sistema > Configuración > SYSLOG.

  2. En la lista de alertas de SYSLOG, pase el cursor por la que quiere eliminar y haga clic en el ícono al final de la línea.

    Aparece un mensaje para pedirle que confirme la eliminación.

  3. Haga clic en Eliminar.

    Un mensaje confirma que Tenable Identity Exposure eliminó la alerta.

Consulte también