Einen SIEM-Weiterleitungsplan für mehrere Kunden erstellen

Wenn Sie Zeit einsparen möchten, können Sie einen einzigen, generischen SIEM-Weiterleitungsplan erstellen und diesen für mehrere Kunden anwenden. In diesem Fall müssen Sie für jeden teilnehmenden Kunden ein durch Acronis geschütztes Gerät auswählen, das als Sendegerät (auch Schreibgerät genannt) und Datenspeicher fungiert.

So können Sie einen generischen SIEM-Weiterleitungsplan für mehrere Kunden erstellen

  1. Öffnen Sie Ihre Partner-SIEM-Weiterleitungsplanliste.

  2. Klicken Sie auf Erstellen.

  3. Ändern Sie den Standardnamen des Plans.

    1. Klicken Sie auf das Stiftsymbol.

    2. Bearbeiten Sie den Namen.

    3. Klicken Sie auf das Häkchensymbol, damit die Änderungen übernommen werden.

  4. Wählen Sie die Methode für den SIEM-Weiterleitungsplan aus:

    • Dateien

      Bei dieser Methode kann ein Windows- oder Linux-Gerät als Sendegerät (auch Schreibgerät genannt) verwendet werden.

    • Syslog-Server

      Diese Methode kann nur ein Linux-Gerät als Sendegerät (auch Schreibgerät genannt) verwenden.

    Für weitere Informationen siehe Methoden für SIEM-Weiterleitungspläne.

  5. Dateien-Methode

    1. Klicken Sie auf das Feld Kunde.

      Es wird eine Liste mit all Ihren Kunden angezeigt. Für jeden Kunden gibt es ein entsprechendes Listenfeld, in dem alle entsprechenden Windows- und Linux-geschützten Geräte des Kunden aufgeführt sind.

      Damit ein Gerät im Listenfeld angezeigt wird, muss der Acronis Agent installiert sein und das Gerät muss online sein.

    2. Wählen Sie aus den Listenfeldern für jeden Kunden, für den Sie den neuen SIEM-Weiterleitungsplan verwenden möchten, ein Sendegerät (auch Schreibgerät genannt) aus.

      Das Sendegerät (auch Schreibgerät genannt) muss jederzeit online bleiben, damit der SIEM-Weiterleitungsplan korrekt funktioniert.

      Kunden, für die Sie kein Sendegerät (auch Schreibgerät genannt) spezifizieren, werden den neuen SIEM-Weiterleitungsplan nicht verwenden.

    3. Klicken Sie auf Fertig.

    4. Klicken Sie auf Spezifizieren, um die vorgegebenen Dateipfad-Werte für die SIEM-Datenspeicher auf den Sendegeräten zu ändern. Klicken Sie anschließend auf Fertig.

      Wenn das spezifizierte Verzeichnis von einem der SIEM-Weiterleitungsgeräte entfernt wird, wird die SIEM-Weiterleitung angehalten, bis Sie entweder das entfernte Verzeichnis wiederherstellen oder den Dateipfad in ein gültiges Verzeichnis ändern.

    Syslog-Server-Methode

    1. Klicken Sie auf das Feld Kunde.

      Es wird eine Liste mit all Ihren Kunden angezeigt. Für jeden Kunden gibt es ein entsprechendes Listenfeld, in dem alle entsprechenden Linux-geschützten Geräte des Kunden aufgeführt sind.

      Damit ein Gerät im Listenfeld angezeigt wird, muss der Acronis Agent installiert sein und das Gerät muss online sein.

    2. Wählen Sie aus den Listenfeldern für jeden Kunden, für den Sie den neuen SIEM-Weiterleitungsplan verwenden möchten, ein Sendegerät (auch Schreibgerät genannt) aus.

      Das Sendegerät (auch Schreibgerät genannt) muss jederzeit online bleiben, damit der SIEM-Weiterleitungsplan korrekt funktioniert.

      Kunden, für die Sie kein Sendegerät (auch Schreibgerät genannt) spezifizieren, werden den neuen SIEM-Weiterleitungsplan nicht verwenden.

    3. Klicken Sie auf Fertig.

  6. Ändern Sie das Dateiformat.

    • CEF (Standard)

      Herstellerneutrales, standardisiertes Format, das für Sicherheitsereignisse und detaillierte Ereignisanalysen entwickelt wurde.

    • JSON

      Hochflexibles Format, das benutzerdefinierte, komplexe Daten ermöglicht. Am besten für moderne Protokollverwaltungsplattformen geeignet.

    Weitere Informationen finden Sie im Abschnitt „SIEM-Datenformat und Beispiele“.

  7. Wählen Sie die Acronis Datentypen aus, die im SIEM-Weiterleitungsplan enthalten sein sollen.

    Standardmäßig sind alle verfügbaren Acronis Datentypen enthalten.

    1. Klicken Sie auf das Feld Daten.

    2. Deaktivieren Sie die Kontrollkästchen für die Acronis Datentypen, die Sie nicht in den SIEM-Weiterleitungsplan aufnehmen möchten. Die Acronis Datentypen sind:

      • Alarmmeldungen

        Aktualisierungen von kritischen Meldungen oder Fehlermeldungen, die eine schnelle Reaktion erfordern.

      • Ereignisse

        Ereignisprotokolldaten mit Einblicken in die Systemleistung und Benutzerinteraktionen.

      • Aktivitäten

        Alle Erfolgs-, Informations-, Warn-, kritischen Meldungen und Fehlermeldungen (z.B. DLP, URL-Filterung, Backups).

      • Überwachungsprotokoll

        Interne sicherheitsrelevante Ereignisse, die die Sicherheit und Integrität der Organisation beeinträchtigen können.

        Überwachungsprotokolldaten können für HIPAA-Compliance-Zwecke gespeichert werden, wenn Sie die Methode Dateien verwenden.

    3. Klicken Sie auf Fertig.

  8. Klicken Sie zum Abschluss auf Erstellen.