Sumo Logic als SIEM-Protokollierungsendpunkt hinzufügen

Fügen Sie Sumo Logic als SIEM-Protokollierungsendpunkt hinzu, um den Server zu konfigurieren, an den Auditprotokolle gesendet werden sollen.

Vorbereitungen

Anmerkung:

Um die Aufgabe ausführen zu können, müssen Sie ein Control Room-Administratorkonto haben und über die erforderlichen Rechte und Berechtigungen verfügen.

Prozedur

  1. Navigieren Sie zu Administration > Einstellungen > SIEM-Integration konfigurieren.
    Zugriff auf Konfiguration einer SIEM-Integration
  2. Klicken Sie auf das Symbol Bearbeiten. (Symbol „Bearbeiten“)
  3. Wählen Sie Aktiviert und fügen Sie den SIEM-Server-Endpunkt ein, den Sie zuvor im Abschnitt Sumo Logic als SIEM-Protokollierungsendpunkt hinzufügen kopiert haben.
    SIEM-Endpunkt-Server
    Anmerkung: Ziehen Sie die Dokumentation Ihres SIEM-Anbieters zu Rate, um Informationen über die HTTP-Header und die Anforderungen bezüglich JSON-Attributen (Anforderungstext) zu erhalten.
  4. Wählen Sie die HTTP-Methode POST aus, da Sumo Logic Eingaben als POST-Methode akzeptiert.
    Anmerkung: Das SIEM-Tool-Zertifikat ist optional und hängt vom SIEM-Anbieter ab. Bei einigen SIEM-Anbietern müssen Sie ein gültiges Zertifikat für das SIEM-Tool eingeben.
  5. Geben Sie einen Namen für das Ereignis-Attribut ein (zum Beispiel Audit oder Nachricht). Dieser Wert dient als Schlüssel, um die an Ihre SIEM-Lösung gesendeten Audit-Ereignisse zu finden. Alle Prüfungsereignisse werden unter dieser Kategorie aufgezeichnet.
    Anmerkung: Das Zeitstempel-Attribut ist ein optionales Feld und hängt von der Zuordnung Ihres SIEM-Anbieters für dieses Feld ab. Für Splunk muss der Wert zum Beispiel vom Typ Zeit und einem der Zeitstempelfelder zugeordnet sein. Die maximal zulässige Länge beträgt 256 Zeichen. Alle Sonderzeichen außer Backslash (\) und doppelten Anführungszeichen (") sind erlaubt. Diese Zeichen müssen per Escape-Sequenz eingefügt werden.
  6. Klicken Sie auf das Plus-Zeichen (+), um einige Schlüssel-Wert-Paare für Anforderungstext (statische Attribute) einzugeben, die zusammen mit den Protokollen verschickt werden. Die Schlüssel-Wert-Paare können auch Sonderzeichen als Eingabe enthalten. Sie können maximal 50 Attribute konfigurieren.
    SIEM-Schlüssel-Wert-Paare
  7. Klicken Sie auf das Pluszeichen (+), um ein Schlüssel-Wert-Paar einzugeben, das mit jedem Audit-Ereignis als HTTP-Header gesendet wird, indem Sie das Feld Schlüssel-Wert-Paare für Header verwenden. Die Header-Daten sind spezifisch für den SIEM-Anbieter. Zum Beispiel unterstützt Sumo Logic Header-Namen, die mit dem Buchstaben X beginnen (z. B. X-Sumo-Felder). Sie können maximal 50 Header konfigurieren.
    Header-Schlüssel-Wert-Paare
    Weitere Informationen über Header-Daten entnehmen Sie bitte der Dokumentation des jeweiligen SIEM-Anbieters.
    Anmerkung:
    Die folgenden HTTP-Header werden als Teil aller Audit-Ereignisse gesendet, die an Ihre SIEM-Lösung weitergeleitet werden. Daher sollten sie nicht als Teil der Schlüssel-Wert-Paare aufgenommen werden, die mit einem Audit-Ereignis verbunden sind:
    • Content-Type: application/json
    • Accept: application/json