Creación de un plan de reenvío SIEM para múltiples clientes

Para ahorrar tiempo, puede crear un único plan de reenvío SIEM genérico y aplicarlo a múltiples clientes. Cuando haga esto, debe elegir un dispositivo protegido por Acronis para cada cliente participante para que actúe como el dispositivo de escritura y almacenar datos.

Pasos para crear un plan de reenvío SIEM genérico para múltiples clientes

  1. Abra su lista de planes de reenvío SIEM de partner.

  2. Haga clic en Crear.

  3. Cambie el nombre predeterminado del plan.

    1. Haga clic en el icono del lápiz.

    2. Edite el nombre.

    3. Haga clic en la marca de verificación para aceptar los cambios.

  4. Seleccione Método para el plan de reenvío SIEM:

    • Archivos

      Este método puede usar un dispositivo Windows o Linux como el dispositivo escritor.

    • Servidor de syslog

      Este método solo puede usar un dispositivo Linux como el dispositivo escritor.

    Para más información, consulte métodos de plan de reenvío SIEM.

  5. Método de archivos

    1. Haga clic en el campo Cliente.

      Aparece una lista de todos sus clientes. Cada cliente tiene una lista desplegable correspondiente de todos sus dispositivos Windows y Linux protegidos.

      Para aparecer en la lista desplegable, un dispositivo debe tener el agente de Acronis instalado y debe estar en línea.

    2. Desde las listas desplegables, seleccione un dispositivo escritor para cada cliente en el que desee usar el nuevo plan de reenvío SIEM.

      El dispositivo escritor debe permanecer en línea en todo momento para que el plan de reenvío SIEM funcione correctamente.

      Los clientes para los cuales no especifique un dispositivo escritor no utilizarán el nuevo plan de reenvío SIEM.

    3. Haga clic en Listo.

    4. Haga clic en Especificar para cambiar los valores predeterminados de Ruta de archivo para los almacenes de datos SIEM en los dispositivos escritores y luego pulse en Listo.

      Si se elimina el directorio especificado en cualquiera de los dispositivos de reenvío SIEM, el reenvío SIEM se detiene hasta que restaure el directorio eliminado o modifique la ruta del archivo a un directorio válido.

    Método del servidor syslog

    1. Haga clic en el campo Cliente.

      Aparece una lista de todos sus clientes. Cada cliente tiene una lista desplegable correspondiente de todos sus dispositivos Linux protegidos.

      Para aparecer en la lista desplegable, un dispositivo debe tener el agente de Acronis instalado y debe estar en línea.

    2. Desde las listas desplegables, seleccione un dispositivo escritor para cada cliente en el que desee usar el nuevo plan de reenvío SIEM.

      El dispositivo escritor debe permanecer en línea en todo momento para que el plan de reenvío SIEM funcione correctamente.

      Los clientes para los cuales no especifique un dispositivo escritor no utilizarán el nuevo plan de reenvío SIEM.

    3. Haga clic en Listo.

  6. Cambie el Formato del archivo.

    • CEF (predeterminado)

      Formato estandarizado y neutral del proveedor, diseñado para eventos de seguridad y análisis detallado de eventos.

    • JSON

      Formato altamente flexible que permite datos personalizados y complejos. Ideal para plataformas modernas de gestión de registros.

    Para obtener más información, consulte Formato de datos SIEM y ejemplos.

  7. Seleccione los tipos de datos de Acronis para incluir en el plan de reenvío SIEM.

    Por defecto, se incluyen todos los tipos de datos de Acronis disponibles.

    1. Haga clic en el campo Datos.

    2. Desmarque las casillas de verificación de los tipos de datos de Acronis que no desea incluir en el plan de reenvío SIEM. Los tipos de datos de Acronis son:

      • Alertas

        Actualizaciones de mensajes críticos o de error que requieren una respuesta rápida.

      • Eventos

        Datos de registro de eventos con información sobre el rendimiento del sistema y las interacciones del usuario.

      • Actividades

        Todos los mensajes de éxito, informativos, de aviso, críticos y de error (por ejemplo, DLP, filtrado de URL, copias de seguridad).

      • Registro de auditoría

        Eventos internos relevantes para la seguridad que pueden afectar la salvaguarda e integridad de la organización.

        Los datos del registro de auditoría pueden almacenarse para fines de cumplimiento con HIPAA si utiliza el método Archivos.

    3. Haga clic en Listo.

  8. Cuando haya terminado, haga clic en Crear.