Configurar un servidor Syslog remoto
Una vez configurado, Cyberwatch enviara cada hora las ultimas CVE detectadas al servidor Syslog remoto.
- Hacer clic en Administración
- Hacer clic en Herramientas externas
- Hacer clic en la pestaña Servidor Syslog remoto
Configuración básica
- Dirección: dirección del servidor Syslog remoto
- Port: puerto usado para comunicarse con el servidor Syslog remoto
- Protocolo: protocolo usado para comunicarse con el servidor Syslog remoto
Ajustes avanzados
- Tamano del paquete: tamano maximo del paquete enviado al servidor Syslog remoto
- Cuerpo de la solicitud: mensaje que contiene los datos a enviar. Compatible con los Patrones
Ejemplo de log
El log siguiente es generado por el botón Test de la configuración syslog.
Oct 3 12:02:32 Cyberwatch Detection: node='master',active='true',computer_category='desktop',computer_criticality='criticality_medium',
computer_id='0',computer_name='test_syslog',computer_os='',computer_os_arch='',computer_os_name='',
created_at='2022-10-03 14:02:32 +0200',cve_code='CVE-XXXX-XXXX',cve_level='high',cve_published_at='2022-10-03 14:02:32 +0200'
,cve_score='10.0',epss='0.90484',cve_status='ignored',cvss_vector='CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L',fixed_at='',
groups='berlin,development',ignored='true',ip='127.0.0.1',source_node='cyberwatch',triage_status='under_review',
updated_at='2022-10-03 14:02:32 +0200'
Patrones
Cyberwatch usa el motor de plantillas Liquid para dar formato al cuerpo de las solicitudes syslog. Su documentación esta disponible en ingles en la dirección https://shopify.dev/docs/api/liquid.
Las siguientes variables de datos de Cyberwatch están disponibles:
| Variable | Descripción | Ejemplos de valores posibles |
|---|---|---|
| active | Indica si la vulnerabilidad esta presente actualmente en el activo | true |
| computer_category | Diferencia los puestos de trabajo de los servidores | server, desktop |
| computer_criticality | Criticidad del activo según se define en Cyberwatch | Medium |
| computer_id | ID del activo | 255 |
| computer_name | Hostname del activo | server01 |
| computer_os | Nombre único del sistema operativo para Cyberwatch. | debian_9_64, windows_2008... |
| computer_os_arch | Arquitectura del sistema operativo | AMD64, x86_64, i3686... |
| computer_os_name | Sistema operativo tal como lo reporta el activo | Debian GNU/Linux 9 (stretch), Microsoft(R) Windows Server(R) 2008 Standard... |
| created_at | Creación en Cyberwatch | 2022-10-03 14:08:25 +0200 |
| cve_code | Identificador único de la vulnerabilidad | CVE-2020-0850 |
| cve_level | Nivel de severidad de la vulnerabilidad según se configura en Cyberwatch | level_medium |
| cve_published_at | Publicación de la CVE | 2020-03-12 17:15:00 +0100 |
| cve_score | Puntuacion CVSS de la vulnerabilidad | 7.6 |
| cve_status | Estado de la vulnerabilidad en el activo | active, active_with_exploits, fixed, ignored |
| cvss_vector | Vector CVSS v3 o CVSS v4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:L |
| epss | Puntuacion EPSS | 0.7850 |
| fixed_at | Vulnerabilidad corregida en el activo el | 2022-10-03 14:08:25 +0200 |
| groups | Lista de grupos del activo | production, Paris |
| ignored | Indica que la vulnerabilidad fue ignorada en el activo | false |
| ip | Dirección IP del activo | 127.0.0.1 |
| source_node | Nombre del nodo que supervisa el activo | cyberwatch |
| triage_status | Indica el estado de análisis de la vulnerabilidad en el activo | under_review |
| updated_at | Ultima actualización | 2022-10-03 14:08:25 +0200 |