Nella scheda secondaria Syslog delle Impostazioni di PhishER, puoi configurare i server Syslog collegati alla piattaforma PhishER. Il System Logging Protocol, o Syslog, è un protocollo che genera registri per i dispositivi o i server di rete. Integrando i server Syslog nella piattaforma PhishER potrai generare un registro dell’attivazione di ogni azione di PhishER.
Collegare un nuovo server Syslog
Per collegare un server Syslog alla tua piattaforma PhishER, effettua le seguenti operazioni:
- Accedi alla piattaforma PhishER.
- Vai su Settings (Impostazioni) > Syslog.
- Fai clic sul pulsante Nuovo Syslog nell’angolo in alto a destra della pagina.
- Nella finestra pop-up Aggiungi impostazioni Syslog visualizzata, configura le impostazioni del server Syslog. Per saperne di più su queste impostazioni, consulta la schermata e l’elenco qui sotto:
- Nome: in questo campo, inserisci un nome personalizzato per il tuo server Syslog.
- Protocollo: nel menu a discesa, seleziona uno dei seguenti protocolli: TCP, UDP, TLS o TLS_INSECURE.
- Host: in questo campo, inserisci l’indirizzo IP dell’host del tuo server Syslog.
- Porta: in questo campo, inserisci il numero di porta del tuo server Syslog.
- Formato: nel menu a discesa, seleziona uno dei seguenti formati di output del Syslog: JSON, CEF o LEEF. Per saperne di più su questi formati, consulta la sezione Formati di output del Syslog di questo articolo.
- Fai clic su Crea.
Una volta che il tuo server Syslog è stato integrato nella piattaforma PhishER, la tua organizzazione può tracciare e registrare gli eventi che si verificano nella piattaforma. Puoi collegare tutti i server Syslog che desideri. Se crei un’azione PhishER, puoi selezionare l’opzione Invia a Syslog nel passaggio Scegli come segnalare questa azione.
Quindi, puoi utilizzare il menu a discesa per selezionare uno dei tuoi server Syslog. Quando l’azione viene eseguita, il server Syslog registrerà l’evento.
Gestire le connessioni
Nella scheda secondaria Syslog delle Impostazioni di PhishER, puoi visualizzare tutte le connessioni al server Syslog. Puoi fare clic sul nome di un server Syslog per aprire la finestra pop-up Aggiornamento delle impostazioni Syslog. A questo punto, puoi aggiornare le informazioni relative al server Syslog specificato.
Per maggiori informazioni sulle impostazioni Syslog, consulta la schermata e l’elenco seguenti:
- Nuovo Syslog: fai clic su questo pulsante per creare una nuova connessione del server Syslog al tuo account PhishER.
- Nome: questa colonna mostra il nome del server Syslog.
- Host: questa colonna mostra l’indirizzo IP dell’host del server Syslog.
- Porta: questa colonna mostra il numero di porta del server Syslog.
- Protocollo: questa colonna mostra il protocollo che il server Syslog utilizza per trasportare i messaggi dal client al server.
- Formato: questa colonna mostra il formato di output dei rapporti del server Syslog.
- Azioni: questa colonna mostra le azioni disponibili per l’esecuzione di una voce Syslog. Puoi fare clic sull’icona cestino per eliminare la voce.
Formati di output del Syslog
Puoi selezionare un formato di output JSON, CEF o LEEF per i tuoi rapporti Syslog. Per visualizzare degli esempi di ciascun formato di output, consulta le sezioni secondarie che seguono.
JSON
Per un esempio di formato di uscita JSON, vedi di seguito:
{ "receivedAt":"2019-05-20T17:39:43.351851Z",
"reportedAt":"2019-05-20T17:39:39Z", "sender":"sender@example.com",
"reporter":"reporter@example.com", "subject":"JSON Syslog Example",
"priority":"medium", "category":"spam", "status":"received",
"action":"Action 1", "tags":"TagSet" "permalink":"[[Unique URL]]" }
Per maggiori informazioni sugli attributi di questo formato di output, consulta la tabella seguente:
| Attributo | Descrizione |
|---|---|
| receivedAt |
Questo attributo indica la data e l’ora in cui la Inbox (Posta in arrivo) di PhishER ha ricevuto il messaggio. Formato di data e ora: yyyy-MM-dd'T'HH:mm:ss.SSSSSS'Z' |
| reportedAt |
Questo attributo indica la data e l’ora in cui un utente ha segnalato il messaggio. Formato data e ora: yyyy-MM-dd’T’HH:mm:ss.SS’Z’ |
| sender | Questo attributo indica l’indirizzo e-mail associato alla fonte originale del messaggio. |
| reporter | Questo attributo indica l’indirizzo e-mail dell’utente che ha segnalato il messaggio. |
| subject | Questo attributo indica il testo presente nell’oggetto del messaggio originale. |
| priority | Questo attributo indica la priorità del messaggio. PhishER utilizza i seguenti livelli di priorità: Low (Bassa), Medium (Media), High (Alta), Critical (Critica) e Unknown (Sconosciuta). |
| category | Questo attributo indica la categoria del messaggio. PhishER utilizza le seguenti categorie: Clean (Pulito), Spam, Threat (Minaccia) e Unknown (Sconosciuto). |
| status | Questo attributo indica lo stato attuale dell’analisi di PhishER del messaggio. PhishER utilizza i seguenti stati: Received (Ricevuto), In Review (In revisione) e Resolved (Risolto). |
| action | Questo attributo indica il nome dell’azione di PhishER che ha attivato questo rapporto. |
| tag | Questo attributo indica l’etichetta allegata al messaggio in base agli attributi del messaggio stesso. |
| permalink | Questo attributo indica l’URL specifico del messaggio nella tua Inbox (Posta in arrivo) di PhishER. |
CEF
Per un esempio di formato di output CEF, vedi di seguito:
start=1543962447998 rt=1543962447998 duser=destUserName@example.com
suser=sourceUserName@example.com cat=unknown act=Action1 cs2Label=Status
cs2=received cs3Label=Subject cs3=CEF Syslog Example cs4Label=Tags
cs4=TagSet cs6Label=Permalink cs6=[[Unique URL]]
Per maggiori informazioni sugli attributi di questo formato di output, consulta la tabella seguente:
| Attributo | Descrizione |
|---|---|
| start |
Questo attributo indica la data e l’ora in cui la Inbox (Posta in arrivo) di PhishER ha ricevuto il messaggio. La data e l’ora sono riportate in millisecondi. Formato di data e ora: yyyy-MM-dd'T'HH:mm:ss.SSSSSS'Z' |
| rt |
Questo attributo indica la data e l’ora in cui un utente ha segnalato il messaggio. Formato data e ora: yyyy-MM-dd’T’HH:mm:ss.SS’Z’ |
| duser | Questo attributo indica l’indirizzo e-mail dell’utente che ha segnalato il messaggio. |
| suser | Questo attributo indica l’indirizzo e-mail associato alla fonte originale del messaggio. |
| cat | Questo attributo indica la categoria del messaggio. PhishER utilizza le seguenti categorie: Clean (Sicuro), Spam, Threat (Minaccia) o Unknown (Sconosciuto). |
| act | Questo attributo indica il nome dell’azione di PhishER che ha attivato questo rapporto. |
| cs2Label=Status | Questo attributo indica lo stato attuale dell’analisi di PhishER del messaggio. PhishER utilizza i seguenti stati: Received (Ricevuto), In Review (In revisione) o Resolved (Risolto). |
| cs3Label=Subject | Questo attributo indica il testo presente nell’oggetto del messaggio originale. |
| cs4Label=Tags | Questo attributo indica l’etichetta allegata al messaggio in base agli attributi del messaggio stesso. |
| cs6Label=Permalink | Questo attributo indica l’URL specifico del messaggio nella tua Inbox (Posta in arrivo) di PhishER. |
LEF
Per un esempio di formato di output LEEF, vedi di seguito:
start=1541008403775 rt=1541009403775 duser=destUserName@example.com
usrName=userName@example.com cat=Threat act=Test Action cs2Label=Status
cs2=Pending cs3Label=Priority cs3=High cs4Label=Subject cs4=Testing
Emailcs5Label=Tags cs5=Tag1,Tag2 cs6Label=Permalink cs6=[[Unique URL]]
Per maggiori informazioni sugli attributi di questo formato di output, consulta la tabella seguente:
| Attributo | Descrizione |
|---|---|
| start |
Questo attributo indica la data e l’ora in cui la Inbox (Posta in arrivo) di PhishER ha ricevuto il messaggio. La data e l’ora sono riportate in millisecondi. Formato di data e ora: yyyy-MM-dd'T'HH:mm:ss.SSSSSS'Z' |
| rt |
Questo attributo indica la data e l’ora in cui un utente ha segnalato il messaggio. Formato data e ora: yyyy-MM-dd’T’HH:mm:ss.SS’Z’ |
| duser | Questo attributo indica l’indirizzo e-mail dell’utente che ha segnalato il messaggio. |
| usrName | Questo attributo indica l’indirizzo e-mail associato alla fonte originale del messaggio. |
| cat | Questo attributo indica la categoria del messaggio. PhishER utilizza le seguenti categorie: Clean (Sicuro), Spam, Threat (Minaccia) o Unknown (Sconosciuto). |
| act | Questo attributo indica il nome dell’azione di PhishER che ha attivato questo rapporto. |
| cs2Label=Status | Questo attributo indica lo stato attuale dell’analisi di PhishER del messaggio. PhishER utilizza i seguenti stati: Pending (In attesa), Received (Ricevuto), In Review (In revisione) o Resolved (Risolto). |
| cs3Label=Priority | Questo attributo indica la priorità del messaggio. PhishER utilizza le seguenti priorità: Low (Bassa), Medium (Media), High (Alta), Critical (Critica) o Unknown (Sconosciuta). |
| cs4Label=Subject | Questo attributo indica il testo presente nell’oggetto del messaggio originale. |
| cs5Label=Tags | Questo attributo indica l’etichetta allegata al messaggio in base agli attributi del messaggio stesso. |
| cs6Label=Permalink | Questo attributo indica l’URL specifico del messaggio nella tua Inbox (Posta in arrivo) di PhishER. |