Sie können in den PhishER-Einstellungen auf der Unterregisterkarte Syslog die mit Ihrer PhishER-Plattform verbundenen Syslog-Server konfigurieren. Das „System Logging Protocol“, kurz Syslog, ist ein Protokoll, das Protokolle für Netzwerkgeräte oder -server erstellt. Bei einer Integration von Syslog-Servern in Ihre PhishER-Plattform kann protokolliert werden, wenn PhishER-Aktionen ausgelöst werden.
Verbinden eines neuen Syslog-Servers
Gehen Sie wie folgt vor, um einen Syslog-Server mit Ihrer PhishER-Plattform zu verbinden:
- Melden Sie sich bei der PhishER-Plattform an.
- Navigieren Sie zu Settings > Syslog.
- Klicken Sie oben rechts auf der Seite auf die Schaltfläche New Syslog.
- Konfigurieren Sie im daraufhin angezeigten Pop-up-Fenster Add Syslog Settings Ihre Syslog-Servereinstellungen. Weitere Informationen zu diesen Einstellungen finden Sie im Screenshot und in der folgenden Liste:
- Name: Geben Sie in diesem Feld einen benutzerdefinierten Namen für Ihren Syslog-Server ein.
- Protocol: Wählen Sie im Drop-down-Menü eines der folgenden Protokolle aus: TCP, UDP, TLS oder TLS_INSECURE.
- Host: Geben Sie in diesem Feld die Host-IP-Adresse Ihres Syslog-Servers ein.
- Port: Geben Sie in diesem Feld die Portnummer Ihres Syslog-Servers ein.
- Format: Wählen Sie im Drop-down-Menü eines der folgenden Syslog-Ausgabeformate aus: JSON, CEF oder LEEF. Weitere Informationen zu diesen Formaten finden Sie im Abschnitt Syslog-Ausgabeformate.
- Klicken Sie auf Create.
Sobald Ihr Syslog-Server in Ihre PhishER-Plattform integriert ist, kann Ihre Organisation Ereignisse auf Ihrer Plattform verfolgen und protokollieren. Sie können so viele Syslog-Server verbinden, wie Sie möchten. Wenn Sie eine PhishER-Aktion erstellen, können Sie im Schritt „Choose how you would like to report this action“ die Option „Send to Syslog“ auswählen.
Anschließend können Sie über das Drop-down-Menü einen Ihrer Syslog-Server auswählen. Wenn Ihre Aktion ausgeführt wird, wird dieses Ereignis von Ihrem Syslog-Server protokolliert.
Verwalten Ihrer Verbindungen
All Ihre Syslog-Servereinstellungen finden Sie in den PhishER-Einstellungen auf der Unterregisterkarte Syslog. Sie können auf den Namen eines Syslog-Servers klicken, um das Pop-up-Fenster Update Syslog Settings zu öffnen. Anschließend können Sie die Informationen für diesen Syslog-Server aktualisieren.
Weitere Informationen zu den Syslog-Einstellungen finden Sie im Screenshot und in der folgenden Liste:
- New Syslog: Klicken Sie auf diese Schaltfläche, um eine neue Syslog-Serververbindung zu Ihrem PhishER-Konto zu erstellen.
- Name: Diese Spalte enthält den Namen des Syslog-Servers.
- Host: Diese Spalte enthält die Host-IP-Adresse des Syslog-Servers.
- Port: Diese Spalte enthält die Portnummer des Syslog-Servers.
- Protocol: Diese Spalte enthält das Protokoll, das der Syslog-Server für die Übermittlung von Nachrichten vom Client zum Server verwendet.
- Format: Diese Spalte enthält das Ausgabeformat für die Reports des Syslog-Servers.
- Actions: Diese Spalte enthält die Aktionen, die für einen Syslog-Eintrag ausgeführt werden können. Klicken Sie auf das Papierkorbsymbol, um den Eintrag zu löschen.
Syslog-Ausgabeformate
Als Syslog-Ausgabeformat kann JSON, CEF oder LEEF ausgewählt werden. Beispiele für jedes Ausgabeformat finden Sie in den folgenden Unterabschnitten.
JSON
Hier ist ein Beispiel für ein JSON-Ausgabeformat:
{ "receivedAt":"2019-05-20T17:39:43.351851Z",
"reportedAt":"2019-05-20T17:39:39Z", "sender":"sender@example.com",
"reporter":"reporter@example.com", "subject":"JSON Syslog Example",
"priority":"medium", "category":"spam", "status":"received",
"action":"Action 1", "tags":"TagSet" "permalink":"[[Unique URL]]" }
Weitere Informationen zu den Attributen in diesem Ausgabeformat finden Sie in der folgenden Tabelle:
| Attribut | Beschreibung |
|---|---|
| receivedAt |
Dieses Attribut verweist auf Datum und Uhrzeit des Eingangs der Nachricht in der PhishER Inbox. Format für Datum und Uhrzeit: jjjj-MM-tt'T'HH:mm:ss.SSSSSS'Z' |
| reportedAt |
Dieses Attribut verweist auf Datum und Uhrzeit der Meldung der Nachricht durch einen Nutzer oder eine Nutzerin. Format für Datum und Uhrzeit: jjjj-MM-tt'T'HH:mm:ss.SS'Z' |
| sender | Dieses Attribut verweist auf die E-Mail-Adresse, die mit der ursprünglichen Quelle der Nachricht verknüpft ist. |
| reporter | Dieses Attribut verweist auf die E-Mail-Adresse des Nutzers oder der Nutzerin, von dem bzw. der die Nachricht gemeldet wurde. |
| subject | Dieses Attribut verweist auf den Text aus der Betreffzeile der ursprünglichen Nachricht. |
| priority | Dieses Attribut verweist auf die Priorität der Nachricht. PhishER verwendet die folgenden Prioritätsstufen: „Low“, „Medium“, „High“, „Critical“ und „Unknown“. |
| category | Dieses Attribut verweist auf die Kategorie der Nachricht. PhishER verwendet die folgenden Kategorien: „Clean“, „Spam“, „Threat“ und „Unknown“. |
| status | Dieses Attribut verweist auf den aktuellen Stand der PhishER-Analyse der Nachricht. PhishER verwendet die folgenden Status: „Received“, „In Review“ und „Resolved“. |
| action | Dieses Attribut verweist auf den Namen der PhishER-Aktion, die diesen Report ausgelöst hat. |
| tags | Dieses Attribut verweist auf die Kennzeichnung, die einer Nachricht anhand ihrer Attribute zugewiesen wurde. |
| permalink | Dieses Attribut verweist auf die spezifische URL der Nachricht in Ihrer PhishER Inbox. |
CEF
Hier ist ein Beispiel für ein CEF-Ausgabeformat:
start=1543962447998 rt=1543962447998 duser=destUserName@example.com
suser=sourceUserName@example.com cat=unknown act=Action1 cs2Label=Status
cs2=received cs3Label=Subject cs3=CEF Syslog Example cs4Label=Tags
cs4=TagSet cs6Label=Permalink cs6=[[Unique URL]]
Weitere Informationen zu den Attributen in diesem Ausgabeformat finden Sie in der folgenden Tabelle:
| Attribut | Beschreibung |
|---|---|
| start |
Dieses Attribut verweist auf Datum und Uhrzeit des Eingangs der Nachricht in der PhishER Inbox. Datum und Uhrzeit werden in Millisekunden aufgeführt. Format für Datum und Uhrzeit: jjjj-MM-tt'T'HH:mm:ss.SSSSSS'Z' |
| rt |
Dieses Attribut verweist auf Datum und Uhrzeit der Meldung der Nachricht durch einen Nutzer oder eine Nutzerin. Format für Datum und Uhrzeit: jjjj-MM-tt'T'HH:mm:ss.SS'Z' |
| duser | Dieses Attribut verweist auf die E-Mail-Adresse des Nutzers oder der Nutzerin, von dem bzw. der die Nachricht gemeldet wurde. |
| suser | Dieses Attribut verweist auf die E-Mail-Adresse, die mit der ursprünglichen Quelle der Nachricht verknüpft ist. |
| cat | Dieses Attribut verweist auf die Kategorie der Nachricht. PhishER verwendet die folgenden Kategorien: „Clean“, „Spam“, „Threat“ oder „Unknown“. |
| act | Dieses Attribut verweist auf den Namen der PhishER-Aktion, die diesen Report ausgelöst hat. |
| cs2Label=Status | Dieses Attribut verweist auf den aktuellen Stand der PhishER-Analyse der Nachricht. PhishER verwendet die folgenden Status: „Received“, „In Review“ oder „Resolved“. |
| cs3Label=Subject | Dieses Attribut verweist auf den Text aus der Betreffzeile der ursprünglichen Nachricht. |
| cs4Label=Tags | Dieses Attribut verweist auf die Kennzeichnung, die einer Nachricht anhand ihrer Attribute zugewiesen wurde. |
| cs6Label=Permalink | Dieses Attribut verweist auf die spezifische URL der Nachricht in Ihrer PhishER Inbox. |
LEF
Hier ist ein Beispiel für ein LEEF-Ausgabeformat:
start=1541008403775 rt=1541009403775 duser=destUserName@example.com
usrName=userName@example.com cat=Threat act=Test Action cs2Label=Status
cs2=Pending cs3Label=Priority cs3=High cs4Label=Subject cs4=Testing
Emailcs5Label=Tags cs5=Tag1,Tag2 cs6Label=Permalink cs6=[[Unique URL]]
Weitere Informationen zu den Attributen in diesem Ausgabeformat finden Sie in der folgenden Tabelle:
| Attribut | Beschreibung |
|---|---|
| start |
Dieses Attribut verweist auf Datum und Uhrzeit des Eingangs der Nachricht in der PhishER Inbox. Datum und Uhrzeit werden in Millisekunden aufgeführt. Format für Datum und Uhrzeit: jjjj-MM-tt'T'HH:mm:ss.SSSSSS'Z' |
| rt |
Dieses Attribut verweist auf Datum und Uhrzeit der Meldung der Nachricht durch einen Nutzer oder eine Nutzerin. Format für Datum und Uhrzeit: jjjj-MM-tt'T'HH:mm:ss.SS'Z' |
| duser | Dieses Attribut verweist auf die E-Mail-Adresse des Nutzers oder der Nutzerin, von dem bzw. der die Nachricht gemeldet wurde. |
| usrName | Dieses Attribut verweist auf die E-Mail-Adresse, die mit der ursprünglichen Quelle der Nachricht verknüpft ist. |
| cat | Dieses Attribut verweist auf die Kategorie der Nachricht. PhishER verwendet die folgenden Kategorien: „Clean“, „Spam“, „Threat“ oder „Unknown“. |
| act | Dieses Attribut verweist auf den Namen der PhishER-Aktion, die diesen Report ausgelöst hat. |
| cs2Label=Status | Dieses Attribut verweist auf den aktuellen Stand der PhishER-Analyse der Nachricht. PhishER verwendet die folgenden Status: „Pending“, „Received“, „In Review“ oder „Resolved“. |
| cs3Label=Priority | Dieses Attribut verweist auf die Priorität der Nachricht. PhishER verwendet die folgenden Prioritäten: „Low“, „Medium“, „High“, „Critical“ oder „Unknown“. |
| cs4Label=Subject | Dieses Attribut verweist auf den Text aus der Betreffzeile der ursprünglichen Nachricht. |
| cs5Label=Tags | Dieses Attribut verweist auf die Kennzeichnung, die einer Nachricht anhand ihrer Attribute zugewiesen wurde. |
| cs6Label=Permalink | Dieses Attribut verweist auf die spezifische URL der Nachricht in Ihrer PhishER Inbox. |