Creazione di un piano di inoltro SIEM per più clienti
Per risparmiare tempo, si può creare un unico piano di inoltro SIEM generico e applicarlo a più clienti. Nel farlo, bisogna scegliere un dispositivo protetto da Acronis per ciascun cliente partecipante che funga da dispositivo di scrittura e archivio dati.
Per creare un piano di inoltro SIEM generico per più clienti
-
Fare clic su Crea.
-
Cambiare il nome predefinito del piano.
-
Fare clic sull'icona della matita.
-
Modificare il nome.
-
Fare clic sul segno di spunta per accettare le modifiche.
-
-
Selezionare Metodo per il piano di inoltro SIEM:
-
File
Questo metodo può utilizzare un dispositivo Windows o un dispositivo Linux come dispositivo scrittore.
-
Server syslog
Questo metodo può utilizzare solo un dispositivo Linux come dispositivo scrittore.
Per ulteriori informazioni, consultare i metodi di piano di inoltro SIEM.
-
-
Metodo dei file
-
Fare clic sul campo Cliente.
Appare un elenco di tutti i propri clienti. Ogni cliente ha un elenco a discesa corrispondente di tutti i loro dispositivi protetti da Windows e Linux.
Per apparire nell'elenco a discesa, un dispositivo deve avere l'agente Acronis installato e deve essere online.
-
Dagli elenchi a discesa, selezionare un dispositivo scrittore per ciascun cliente a cui si vuole applicare il nuovo piano di inoltro SIEM.
Il dispositivo scrittore deve rimanere online in ogni momento affinché il piano di inoltro SIEM funzioni correttamente.
I clienti per i quali non si specifica un dispositivo di scrittura non utilizzeranno il nuovo piano di inoltro SIEM.
-
Fare clic su Fine.
-
Fare clic su Specificare per cambiare i valori predefiniti del Percorso file per gli archivi di dati SIEM sui dispositivi scrittori, quindi fare clic su Fine.
Se la directory specificata viene rimossa da un qualsiasi dispositivo di inoltro SIEM, l'inoltro SIEM si interrompe fino a quando non si ripristina la directory rimossa o si modifica il Percorso file in una directory valida.
Metodo del server syslog
-
Fare clic sul campo Cliente.
Appare un elenco di tutti i propri clienti. Ogni cliente ha un elenco a discesa corrispondente di tutti i loro dispositivi protetti da Linux.
Per apparire nell'elenco a discesa, un dispositivo deve avere l'agente Acronis installato e deve essere online.
-
Dagli elenchi a discesa, selezionare un dispositivo scrittore per ciascun cliente a cui si vuole applicare il nuovo piano di inoltro SIEM.
Il dispositivo scrittore deve rimanere online in ogni momento affinché il piano di inoltro SIEM funzioni correttamente.
I clienti per i quali non si specifica un dispositivo di scrittura non utilizzeranno il nuovo piano di inoltro SIEM.
-
Fare clic su Fine.
-
-
Modificare il Formato file.
-
CEF (predefinito)
Formato standardizzato e neutrale rispetto al fornitore, progettato per eventi di sicurezza e analisi dettagliata degli eventi.
-
JSON
Formato altamente flessibile che consente dati personalizzati e complessi. Ideale per le moderne piattaforme di gestione dei log.
Per ulteriori informazioni, consultare Formato dei dati SIEM ed esempi.
-
-
Selezionare i tipi di dati Acronis da includere nel piano di inoltro SIEM.
Per impostazione predefinita, tutti i tipi di dati Acronis disponibili sono inclusi.
-
Fare clic sul campo Dati.
-
Deselezionare le caselle di controllo dei tipi di dati Acronis che non si vuole includere nel piano di inoltro SIEM. I tipi di dati Acronis sono:
-
Avvisi
Aggiornamenti di messaggi critici o di errore che richiedono una risposta rapida.
-
Eventi
Dati del registro eventi con approfondimenti sulle prestazioni del sistema e interazioni dell'utente.
-
Attività
Tutti i messaggi di corretta esecuzione, informativi, di avviso, critici e di errore (ad es. DLP, filtro URL, backup).
-
Registro di audit
Eventi interni rilevanti per la sicurezza che possono avere conseguenze sulla salvaguardia e l'integrità dell'organizzazione.
I dati del registro di audit possono essere archiviati per scopi di conformità HIPAA se si utilizza il metodo File.
-
-
Fare clic su Fine.
-
-
Al termine, fare clic su Crea.