Access Gate generiert Erkennungen auf Basis von Verhaltensmustern und einer Reihe von Regeln, die im Menü Rules konfiguriert werden können.
Syslog-Ziel
Access Gate sendet Ereignisse über Syslog via TCP. Die meisten SIEMs unterstützen dies ohne zusätzliche Konfiguration: Splunk, Elastic, QRadar und Sentinel (über den Syslog-Connector) funktionieren ohne benutzerdefinierte Integration.
Syslog-Ziel konfigurieren
- Navigieren Sie zu Regeln → Weiterleitung konfigurieren.
- Geben Sie Hostname/IP, Port (z. B.
514) und Transport ein. - Wählen Sie durch Aktivieren der Kontrollkästchen in der Liste aus, welche Regeln an dieses Ziel gesendet werden sollen.
Zusammenfassung
Wir haben Access Gate auf ein SIEM ausgerichtet, indem wir im Menü Rules ein TCP-Syslog-Ziel hinzugefügt und ausgewählt haben, welche Regeln dorthin weitergeleitet werden. Greifen Sie darauf zurück, wenn Warnmeldungen, Flows und Audit-Ereignisse in Splunk, Elastic, QRadar oder Sentinel landen sollen, um sie zentral zu korrelieren und aufzubewahren.
Verwandte Themen
- Protokollweiterleitung an Wazuh SIEM, Wazuh-seitiger Decoder und Regeln
- Protokollweiterleitung an Elastic SIEM, Logstash-Pipeline und Kibana-Einrichtung
- Protokollweiterleitung an Splunk SIEM, TCP-Eingang, Sourcetype und Warnmeldungen
- Erkennung und Warnmeldungen, was den Warnmeldungsstrom befüllt
- Systemprotokolle und Diagnoseinformationen, lokale Protokolle zur Fehlerbehebung
- Änderungsverlauf von Enklaven anzeigen, Inhalt des Audit-Streams