缺省情况下,Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心会在每次有波动信号时从客户端/设备收集事件。收集的数据量取决于受保护的计算机数目、计算机的活动状态和事件记录设置。
列出了 Vulnerability Protection 趋势科技服务器深度安全防护系统的所有系统事件,并且可在管理 > 系统设置 > 系统事件选项卡上对这些事件进行配置。可以设置是否记录单个事件以及是否将其转发给 SIEM 系统。
每个防护模块会在触发规则或满足其他配置条件时生成事件。一些安全事件生成是可以配置的。
可对计算机上生效的防火墙状态配置进行修改,以启用或禁用 TCP、UDP 和 ICMP 事件日志记录。要编辑防火墙状态配置的属性,请转至策略 > 通用对象 > 其他 > 防火墙状态配置。日志记录选项位于防火墙状态配置属性窗口的 TCP、UDP 和 ICMP 选项卡中。
您可以通过入侵防御模块禁用单个规则的事件日志记录。要禁用某个规则的事件日志记录,请打开规则的属性窗口,然后在入侵防御属性选项卡的事件区域中选择禁用事件日志记录。
入侵防御模块可记录导致触发规则的数据。因为不可能每次触发单个规则时都记录所有数据,Vulnerability Protection 趋势科技服务器深度安全防护系统将仅记录指定时间段(缺省为五分钟)内首次触发规则时的数据。要配置 Vulnerability Protection 趋势科技服务器深度安全防护系统是否记录此数据,请转至策略/计算机编辑器 > 入侵防御 > 高级> 事件数据。您可以通过在策略/计算机编辑器 > 设置 > 网络引擎 > 高级网络引擎设置中调整在期间内仅记录一个数据包的期间设置来配置时间段。
可将日志审查模块配置为仅在触发的日志审查规则包含的条件超出指定的严重性级别时才记录事件。要设置开始记录日志审查事件的严重性级别,请转至策略/计算机编辑器 > 日志审查 > 高级严重性剪辑。
以下是有助于最大化事件收集有效性的一些建议: